Accueil / Contenu privé / Données personnelles de santé : un trésor envié et sous-exploité

Données personnelles de santé : un trésor envié et sous-exploité

Alors que Marisol Touraine lance une grande consultation citoyenne sur le Big Data au travers d'une plateforme où chacun peut faire sa proposition, la Cour des Comptes vient de publier un rapport sur les données personnelles gérées par l’Assurance maladie. Une mine de données de santé, d'une grande qualité et d'une grande richesse, quasiment unique au monde, souvent sous-utilisée et peu partagée. L'article 193 de la loi de santé, en ouvrant davantage l'accès et le recours à cette base de données, interroge les limites et les failles (notamment sécuritaires) du système actuel. D'autant qu'un nouveau règlement européen relatif à la protection des données personnelles, publié ce mercredi 4 mai, donne une définition commune des "données de santé" pour les pays de l'Union Européenne et précise de nouvelles obligations (articles 25, 35 ou 37), notamment la création d'un délégué à la protection des données (DPO).

Créé par la loi de financement de la sécurité sociale de 1999, le Système national d’information interrégimes de l’assurance maladie (SNIIRAM) centralise l’ensemble des données de liquidation des prestations de tous les bénéficiaires des régimes d’assurance maladie obligatoire de base. Géré par la CNAMTS, cet "entrepôt de données" n’a été mis en service qu’en 2004 à partir d’un retraitement des feuilles de soins de ville. En 2010, ces données ont été chaînées avec les informations médico-administratives sur les séjours hospitaliers issues du PMSI. En 10 ans, le SNIIRAM est devenu l'"une des plus importantes bases de données médicoadministratives au monde" (p.13) : 204 variables, 500 millions d’actes médicaux annuels, 1,2 milliards de feuilles de soins, 11 millions de séjours hospitaliers MCO. "Des données d’une ampleur et d’une finesse sans guère d’équivalent" (p.25).

Depuis 2013, la CNAMTS s’est dotée d’un nouvel ordinateur "d’une capacité de 450 téraoctets", de 8 serveurs de calcul, 23 serveurs de stockage de données et 2 serveurs d’applications permettant de diviser par 50 le temps de requête pour interroger les bases.

Un choix "pertinent" pour la Cour notamment au regard des évolutions qu’introduit l’article 193 de la loi de modernisation de notre système de santé puisque différentes "briques" seront rajoutées à cet entrepôt et davantage d’utilisations seront autorisées. Au total cinq types de données seront proposés :

  • les données issues des systèmes d'information hospitaliers (données PMSI gérées par l’ATIH);
  • les données du SNIIRAM ;
  • les données sur les causes de décès (base CepiDc gérée par l’INSERM) ;
  • les données médico-sociales du système d'information mentionné à l'article L. 247-2 du code de l'action sociale et des familles ;
  • un échantillon représentatif des données de remboursement par bénéficiaire transmises par des organismes d'assurance maladie complémentaire et défini en concertation avec leurs représentants.

La construction du SNIIRAM

Profitant de la dématérialisation des feuilles de soins, dorénavant transmises électroniquement dans le cadre du dispositif Sésame-Vitale, et pour répondre aux besoins croissants de maîtrise des dépenses, une base légale et harmonisée des systèmes nationaux inter-régimes (SNIR) a été proposée dans le cadre d’une convention d’objectif et de gestion signée entre la CNAMTS et l’État sur la période 1997-1999 qui s’est traduit dans la loi de financement de la sécurité sociale pour 1999 par la création du SNIIRAM.

Mais la LFSS de 1999 renvoyait les modalités techniques de gestion de la base à un simple protocole négocié entre les régimes. Il aura donc fallu attendre le 15 octobre 2001 (et son arrêté du 11 avril 2002) pour qu’un protocole fixe les "modalités d’alimentation et de contrôle qualité de la base, les régimes d’accès aux données et le dispositif de pilotage du système". Ce n'est donc qu'en 2004 que la CNAMTS a fusionné les deux SNIR dans ce nouvel environnement. En 2010, les données du SNIIRAM ont été chaînées avec celles issues de la tarification hospitalière du PMSI, "progrès majeur permettant le suivi des consommations individuelles de soins pour un même patient à la fois en ville et à l’hôpital".

Le pilotage de cette énorme base repose dès 2001 sur un comité d’orientation et de pilotage de l’information interrégimes (COPIIR), la gestion technique étant confiée à la CNAMTS. Mais les rôles et la gouvernance n'ont pas clairement été définis. "Absent des grandes orientations, l’État a une part de responsabilité indéniable dans cette situation." (p.20) "Il en est résulté un manque patent d’investissement stratégique des pouvoirs publics. Malgré la participation régulière du ministère aux différentes instances de gouvernance, les évolutions du contenu de la base ont été très peu impulsées par l’État. Ceci illustre tout autant un manque d’intérêt pour la base que l’étroitesse de ses marges de manœuvre comparées à celles du gestionnaire de celle-ci. Son absence de réaction face aux problèmes de gouvernance est à cet égard caractéristique. Le COPIIR s’est réuni à un rythme inférieur à celui exigé par les textes puis a définitivement cessé de se tenir depuis le 18 avril 2013. La direction de la sécurité sociale a considéré, avec la CNAMTS, qu’il n’y avait pas lieu de le convoquer tant que les réflexions sur l’ouverture des données de santé n’avaient pas abouti. Elle porte ainsi une responsabilité importante dans la paralysie de cette instance." (p.23) Grosso modo, c'est la CNAMTS, tel le Griffon gardien des trésors d'Apollon, qui en a assuré l'enrichissement et la structuration.

Les limites de la base SNIIRAM

Deux limites structurelles ont été relevées par la Cour. "Par construction, aucune donnée relative aux soins non remboursés ou à ceux pris en charge par une assurance maladie complémentaire n’y figure. On ne peut donc pas exploiter le SNIIRAM pour étudier les pratiques d’automédication ni pour évaluer les restes à charge réels des patients. On n’y trouve également que très peu d’informations permettant de caractériser le profil socio-économique des assurés, la seule donnée à cet égard étant l’éventuel bénéfice de la CMU-C."
La deuxième limite tient à la faible qualité des informations médicales. En soins de ville, les seules informations médicales disponibles concernent les affections de longue durée (ALD), soit 16 % de la population assurée. De plus, "en matière d’alimentation du SNIIRAM le retard dans les mises aux normes techniques et l’absence de certaines données transmises à la CNAMTS limitent la qualité globale des flux en provenance des autres régimes." La CNAMTS elle-même continue de produire une grande partie de ses analyses (dont le suivi de l’ONDAM) à partir des seules informations "régime général". (pp.28-29)

Les rythmes d'alimentation de la base n'est pas le même; le flux PMSI est mensuel pour le MCO et l'HAD mais le chaînage ne s'effectue qu'une fois l'année comptable liquidée, entraînant des retards allant parfois jusqu’à 18 mois (p.30).

Mais la principale alerte que lance la Cour des Comptes concerne les failles sécuritaires observées. Citant un rapport de test d’intrusion remontant à 2010, "un attaquant n’ayant pas de compte sur le portail ne pouvait réaliser aucune action dangereuse pour le SNIIRAM, mais que toute personne ayant un compte sur le portail du SNIIRAM, même en accès très limité, pouvait rebondir sur une grande partie du système d’information de la CNAMTS". Plusieurs risques étaient en partie classés comme étant d’une gravité majeure, avec une probabilité ou un impact "catastrophiques" (p.39). Alors que la CNAMTS s'apparente pleinement à un "hébergeur de données de santé", elle n'a pas besoin de solliciter un quelconque agrément (notamment demandé aux hébergeurs privés), profitant d'un aménagement législatif de 2015. L'agrément n'est ainsi obligatoire que pour les hébergeurs assurant un "dépôt et une restitution de données sans réutilisation de celles-ci pour d’autres fins". Ce qui n'est pas le cas pour le SNIIRAM où les données peuvent être réutilisées à d’autres fins... De plus, comme la CNAMTS n'est pas classée comme un "opérateur d’importance vitale", elle n'est soumise à aucune inspection de la sécurité de ses systèmes d'information.
Et les perspectives qu'ouvrent la loi de santé dans son article 193 (diversité des sources et élargissement des utilisateurs) font craindre le pire. "La grande ampleur du SNIIRAM et du SNDS, la réutilisation accrue et l’ouverture annoncée des données aggravant les risques, l’État devrait imposer a minima à la CNAMTS les mêmes contraintes que celles imposées aux autres hébergeurs, au-delà de celles de la politique de sécurité des systèmes d’information du secteur public". La Cour rappelle aussi les conclusions de la CNIL qui pointaient du doigt les vulnérabilités des clés de cryptage des données en cas d'attaque ou de compromission.

Le Ministère s'est attaché à fixer des prescriptions de sécurité "drastiques", conformes aux normes internationales en matière de piratage mondialisé, mais ne "s’est pas assuré de la faisabilité technique et budgétaire de leur mise en œuvre effective". (p.45)

Le brouillard de la gouvernance

Les concurrences entre instances dues à "l’imprécision des textes en vigueur" génère parfois des blocages (p.54) et marque un sérieux coup d'arrêt au mouvement d'ouverture amorcé. En témoigne les demandes, notamment de la DREES et de l’ATIH, bien que validées par le COPIIR, sont restées lettre morte depuis 3 ans. "Il était de la pleine responsabilité  [de l'État] de modifier le cadre juridique, en particulier les  textes réglementaires et dans une moindre mesure le protocole interrégimes ou la convention de l’IDS, pour clarifier les procédures et les compétences respectives. À l’inverse, l’administration a laissé cette situation infructueuse perdurer. Dès lors, la tutelle, responsable en dernier ressort du contenu de l’arrêté, a bloqué l’ouverture des droits d’accès permanents au SNIIRAM, arguant du refus de la CNIL d’examiner un nouveau projet d’arrêté dans l’attente d’un audit de sécurité du système par la CNAMTS."

Il faut en moyenne 18 mois pour obtenir une extraction de données du SNIIRAM dans le cadre d’un accès ponctuel : entre 2 et 4 mois pour l’avis de l’IDS, puis entre 6 mois et un an pour l’autorisation de la CNIL avec des délais très variables et difficilement prévisibles, et enfin 3 mois pour la réalisation de l’extraction par la CNAMTS (p.58).

Ce n'est certainement pas du à la restriction imposée par le code de la commune de résidence du patient. Un rapport de la commission Open Data en santé avait déjà soulevé le problème de l'utilisation du NIR du patient (pp.19-20). Pourtant, le recours plus fréquent à cette variable sensible n’est pas "exempte de contradiction avec la préoccupation d’une plus grande territorialisation des politiques de santé, par exemple en matière d’épidémiologie environnementale, qui pour prospérer doivent bénéficier d’études à ce niveau de finesse (p.59). Car la richesse et la profondeur historique du SNIIRAM permet de documenter, souvent à la suite  d’alertes de pharmacovigilance, de nombreux effets des médicaments sur la santé des patients. Cela avait été le cas pour le Médiator® en 2009. La CNAMTS avait alors confirmé le lien entre la consommation du médicament et le développement de valvulopathies et d’hypertension artérielle pulmonaire. "Depuis, ont été conduites une dizaine d’études de cette nature comme celle sur les effets de la consommation de Dépakine chez les femmes enceintes démarrée à l’été 2015 à la suite d’une alerte de l’ANSM. Ces quelques études, dont certaines sont coordonnées avec l’ANSM, restent néanmoins marginales". (p.67)

Conformément aux objectifs élaborés lors de sa création, le SNIIRAM est utilisé dans le cadre de programmes d’efficience du système de soins en favorisant le retour à domicile des patients tout en limitant les risques de réhospitalisation (comme le PRADO). Néanmoins, "leur rôle dans la maîtrise des dépenses n’est pas encore à la hauteur des enjeux. Des initiatives timides de maîtrise médicalisée des dépenses ont par exemple été prises en matière de pratiques individuelles des professionnels de santé" (p.68).

Toutefois, "malgré l’élargissement des finalités assignées au SNIIRAM, la diversification de ses utilisations en dehors de l’assurance maladie est freinée par la complexité et la lenteur des procédures d’accès aux données qu’il s’agisse d’accès permanents ou ponctuels. (...) Les pouvoirs publics font un usage du SNIIRAM anormalement limité au regard de l’apport que pourrait représenter la base, en matière de suivi des dépenses d’assurance maladie et d’amélioration des connaissances sur les patients, les professionnels de santé et les parcours de soins. L’État se prive ainsi d’un outil précieux pour le pilotage du système de santé et s’en remet largement à la CNAMTS pour obtenir des analyses destinées à en assurer la tutelle. (p.75)  Pas d'utilisation au ministère des Finances, au Trésor ou à la  direction du budget.

Sous la pression de l'union nationale des professionnels de santé, hostile à l'utilisation par les ARS des données de santé, le ministère de la santé a entériné dans l’article 48-VI de la loi de financement de la sécurité sociale pour 2013 une forte limitation de l'accès des agences aux données individuelles. Les professionnels de santé "devaient, selon  l'union nationale des professionnels de santé, être protégés au
même titre que les assurés. Malgré les demandes récurrentes des ARS, les alertes de l’IDS et les recommandations de la Cour, les droits d’accès définis par l’arrêté relatif au SNIIRAM sont restés anormalement étroits pour les ARS et n’ont pas été substantiellement modifiés jusqu’à l’article 193 de la loi de modernisation de notre système de santé".(p.79)

La Cour conclut le chapitre de manière lapidaire : "alors que la France a constitué une base exceptionnelle aux potentialités, certes perfectibles, mais déjà considérables, elle s’interdit de l’exploiter pleinement alors que les enjeux sont cruciaux, notamment en matière de santé publique, de veille sanitaire et également de maîtrise des dépenses de l’assurance maladie. La garantie de la préservation de la vie privée des personnes concernées constitue un enjeu certes absolument majeur, mais il est souhaitable que les acteurs concernés, notamment la CNIL, fassent évoluer leurs pratiques dans un sens moins restrictif pour répondre aux enjeux tout aussi vitaux touchant la santé des Français, dans un cadre juridique européen et français rénové."

Crédits photos : Pimthida.

À propos de Vincent Fromentin

Blogueur santé et directeur de publication de La Lettre de Galilée. Voir tous ses articles.
Contenu non disponible.
Merci d’accepter les cookies en cliquant sur « Accepter » sur la bannière.
x

Lisez-aussi

La Lettre de Galilée

[Re]vue de Web : une santé à deux vitesses ?

L'actualité santé cette semaine hésite entre ubérisation et étatisation. Une fois de ...

En continuant à utiliser le site, vous acceptez l’utilisation des cookies. Plus d’informations

Les paramètres des cookies sur ce site sont définis sur « accepter les cookies » pour vous offrir la meilleure expérience de navigation possible. Si vous continuez à utiliser ce site sans changer vos paramètres de cookies ou si vous cliquez sur "Accepter" ci-dessous, vous consentez à cela.

Fermer