Stockage et gestion du data sanitaire

Comment stocke-t-on les données de santé ?

Avant de s’intéresser de façon plus spécifique aux données de santé, il paraît important d’étudier dans un premier temps ce qui permet à ces dernières d’être stockées : l’hébergeur.

L’hébergeur est une entreprise qui loue de l’espace sur ses serveurs. Ces données peuvent être stockées sur un Datacenter (« centre de données » en français) ou sur le cloud computing (« informatique en nuage » en français). S'ils ont des caractéristiques différentes , tout deux ont pour objectif de fournir des services de stockage et d’hébergement.

Sur ces hébergeurs sont ainsi conservées des données personnelles de santé, que l’on appellera plus précisément des « données sensibles ». On leur attribue ce nom pour la raison qu’elles « sont relatives à la santé physique ou mentale, passée, présente ou future, d’une personne physique qui révèlent les informations sur l’état de santé de cette personne ». À cause de leur caractère sensible, tous les hébergeurs ne sont pas permis d’héberger ces données. En effet, pour être autorisé à le faire, le fournisseur de service est obligé d’avoir la certification « Hébergeurs de Données de Santé » (HDS) avant de pouvoir proposer ses services d’hébergement de données de santé personnelles. Cette certification demande à ces derniers de disposer de mesures de sécurité comme des procédures d’authentification puissantes pour ne pas laisser n’importe quelle personne y accéder, des systèmes de sauvegarde fiables pour que ces informations soient en sécurité, des méthodes de chiffrement puissantes afin de ne pas permettre leur compréhension, etc.

À ce jour, 66 hébergeurs en France ont reçus la certification d’hébergeur de santé par le ministre chargé de la santé. Parmi ceux-ci, nous noterons en particulier le fournisseur de services Microsoft considéré comme le premier fournisseur répondant aux exigences françaises en matière de stockage des données de santé, et qui a été sollicité pour la plateforme Health Data Hub afin de faire office d’hébergeur.

Bibliographie

• Agence du numérique en santé, Hébergement des données de santé
• Astuce & Aide informatique, Qu'est-ce que le cloud ?
• Commission nationale de l’informatique et des libertés, Qu'est-ce qu'une donnée sensible ?
• Commission nationale de l’informatique et des libertés, Donnée sensible

Éthique et data sanitaire

Les évolutions technologiques en ce qui concerne le stockage des données de santé posent des questions éthiques d’une grande importance. Le Comité Consultatif National d’Éthique s’est penché sur ces questions dans l’ Avis 130 « Données massives et santé : une nouvelle approche des enjeux éthiques » , avis dans lequel le CCNE explique que ces évolutions doivent être accompagnées afin qu’elles soient saines et en accord avec les droits de l’Homme.

La première interrogation que pose ces données est dans leur partage, leur accessibilité et par la leur caractère privé. Quelles limites entre le privé et le publique, et plus en profondeur entre le privé et l’intime ? C’est la question que posent Yann Levy et Laurent Tarnaud dans leur revue  Vie privée et intimité  

C’est aussi la notion de consentement « libre et éclairé », selon les termes de CCNE, de la part du patient à laquelle l’éthique s’intéresse. En effet, le partage des données permet un traitement plus rapide des patients, le médecin étant préalablement au courant des différentes situations, ce qui permet ainsi au patient de ne pas avoir à répéter à chaque entrevue, et au médecin d’être plus efficace. 

Néanmoins, le rapport humain, la « garantie humaine » selon les mots du CCNE est alors mise en péril : la compréhension du patient est moins complète et son implication dans les décisions est réduite. Dans  Éthique et consentement : la place de l’autonomie au sein des relations médicale , Michela Marzano traite cette question du consentement, notamment par le biais du statut soignant-patient : elle questionne la capacité du patient à faire des choix dans une position de vulnérabilité et de détresse. Son consentement est alors remis en question.

De plus le traitement des données par l’intermédiaire des Big Data center permettrait des avancées majeures en médecine grâce à la comparaison des cas d’innombrables patients. Le consentement entre ici d’autant plus en jeu dans l’optique du partage des données : on parle bien ici de données privées, voire intime, qui sont utilisées à des fins collectifs. Jérôme Béranger et Ryad Bouadi dans  Approche éthico-juridique de l’usage des données médicales à caractère personnel  affirment que la transparence, le secret médical, la protection des données et le respect de la vie privé font partie intégrante de ces partages, ainsi le consentement libre et éclairé est crucial d’un point de vue éthique. Ce problème est d’autant plus présent comme l’explique Nicolas Lechopier à la page 48 du Big Data et pratiques biomédicales  car : « les chercheurs en informatiques reconnaissent ne pas être en mesure d’entamer une discussion et de recueillir le consentement à chaque opération de traitement, avec la foule d’individus concernés ». Doit-on alors rester dans un modèle de participation individuelle ? C’est la question qu’il se pose dans la partie « le big data et la dilution du consentement » du dossier. 

Enfin, le traitement massif des données de santés individuelle pose le problème éthique de l’intervention humaine. En effet l’intervention croissante du numérique dans le traitement des données médicales tend vers autonomisation des flux de celles-ci, problème éthique particulièrement important. C’est ce qu’explique Nicolas Lechopier dans la partie « l’autonomisation des données » du dossier Big Data et pratiques biomédicales  : la distinction entre publique et privé est brouillé par ce nouveau fonctionnement, et les données circulent hors de ces notions, elles sont accessibles, sans être pour autant publiques au sens juridique du terme. Nicolas Lechopier se demande alors s’il ne faut pas réfléchir à la création de nouvelles notions pour définir le statut, et la réglementations de ces données.

Bibliographie ^[1]Accédez aux articles en cliquant sur chaque source. :

• CCNE ; Avis 130 « Données massives et santé : une nouvelle approche des enjeux éthiques » .
• Yann Levy et Laurent Tarnaud; Vie privée et intimité ; La Revue des Sciences de Gestion – mai 2020.
• Michela Marzano ; Éthique et consentement : la place de l’autonomie au sein des relations médicale ; Éthique en action médicale précoce ; 2019.
• Jérôme Béranger et Ryad Bouadi ; Approche éthico-juridique de l’usage des données médicales à caractère personnel ; Problématiques juridiques et technologies numériques ; 2014.
• Emmanuel Hirsch ;  Big Data et pratiques biomédicales  ; 2015.

Une protection juridique du data sanitaire ?

L’avènement du big data dans le domaine de la santé pose de nombreuses questions, y compris du point de vue juridique. Avec une accélération très rapide de l’utilisation des serveurs, de l’accumulation et du partage des données personnelles de santé, c’est la législation qui a dû statuer, a posteriori, sur les questions soulevées. Il est alors souvent compliqué de s’y retrouver, les textes étant nombreux, se chevauchant parfois, traitant de problèmes très précis et pourtant jamais exactement identiques. La juridiction sur la protection des données personnelles de santé est plus ou moins floue, résultat d’un travail très rapide, qui a du constamment s’adapter au rythme effréné du développement du big data.

Des articles pour comprendre^[2]A chaque fois, cliquez pour accéder au résumé, et au lien menant à la source :

• Lorsque l’on s’intéresse aux données personnelles de santé et au big data, on se pose donc plusieurs questions, résumées dans cet article :
  • Brando, Théo. «  Ce que vous ne savez pas sur vos données de santé « , Contrepoints, avril 2011.
• Plus récemment, cet article énumère les différents textes juridiques et leur hiérarchie :
  • Levray, Nathalie. «  La protection des données de santé après le RGPD « , La Gazette Santé Social, 2 octobre 2018.

Les textes de loi :

• Le texte de référence : le Règlement Général sur la Protection des Données (RGPD), adopté par le Parlement européen en 2016 .
• La loi Informatique et Libertés (LIL), adopté par le Parlement français en 1978 .
• La loi du 20 juin 2018 relative à la protection des données personnelles .
• La loi du 26 janvier 2016 de modernisation de notre système de santé .

Pour aller plus loin et comprendre les difficultés auxquelles fait face le droit français :

• Dubois, Jean-Pierre. « Nos droits face aux « big data » : quels enjeux, quels risques, quelles garanties ? » , Après-demain, vol. n ° 37, nf, no. 1, 2016, pp. 6-9.
• Bachert-Peretti, Audrey. « La protection constitutionnelle des données personnelles : les limites de l’office du Conseil constitutionnel face à la révolution numérique » , Revue française de droit constitutionnel, vol. 118, no. 2, 2019, pp. 261-284.

Les données de santé, un enjeu géopolitique

A l’heure du Big Data et du monopole des GAFAM sur le marché du numérique, les mégadonnées sont devenues une source de richesse et de convoitises dans le monde. Alors que Shoshana Zuboff met en garde dans son livre L’âge du capitalisme de surveillance quant à l’industrie opaque, avide et tout-puissante des géants du web qui menace notre intégrité à des fins lucratives, les données de santé pour leur part deviennent également un enjeu géopolitique. D’après l’article “Sizing up big data” publié par Nature Medicine en janvier 2020, les données de santé représentent un volume en croissance exponentielle. 

Convoitées, les données sont en proie aux multiples dangers de cyberattaques. En 2017, une attaque informatique mondiale avait touché le NHS, équivalent britannique de notre Sécurité sociale. Plus récemment, le 21 juillet 2020 la plate-forme Doctolib, utilisée par 38 millions de Français, a été victime d’un acte malveillant : des pirates ont pu accéder à 6 128 rendez-vous médicaux. Ces incidents révèlent l’extrême sensibilité des données de santé : informations intimes, elles constituent des mines d’or. « Elles sont aussi précieuses que les données bancaires » (Guillaume de Landtsheer, directeur général de NetApp France).

Les géants du web restent aujourd’hui les Etats-Unis, qui diffusent leur influence partout dans le monde, par le biais de Google, Microsoft, Amazon, Facebook ou encore Apple qui conservent des clouds d’informations gigantesques et représentent des multinationales milliardaires. En matière de législation, la loi américaine est beaucoup plus permissive qu’en Europe, elle permet d’acquérir et de céder très facilement des dossiers médicaux; or cette libéralisation n’est pas en faveur d’un principe de sécurité et de confidentialité absolu, mais davantage dans l’optique de produire de la valeur ajoutée. Un article de Médiapart explique ce phénomène d’ Open Data institué par le gouvernement américain.

Dans le cadre d’une course sur le marché du numérique, en termes de digitalisation et d’avancées numériques, l’Asie n’est pas la dernière du classement, et c’est dans ces conditions que l’IA médicale et e-santé se sont rapidement développés. Un article de SQLI digital experience, nous informe notamment sur la Santé digitale en Asie. Ainsi, la confidentialité des données n’est pas non plus à l’ordre du jour dans des pays tels que la Chine où la protection des données personnelles est quasi inexistante.

Qu’en est t-il de la place de la France et de l’Europe dans la géopolitique des datas face à ces deux géants?

La France dispose d’une des bases de données les plus riches au monde, celle de l’Assurance maladie : un fichier de 67 millions de personnes sur plusieurs décennies. Lancé dans la foulée du plan Villani et opérationnel depuis janvier 2020, le projet de Health Data Hub vise à déverrouiller ces accès pour les chercheurs notamment. Le HDH pourrait permettre a posteriori de rationaliser les dépenses de santé publique, sachant que même s’il n’est pour le moment qu’à l’état embryonnaire, la mise en place du système a déjà coûté 10 millions d’euros à l’Etat. Comme beaucoup de pays européens, la France fait ici appel à un hébergeur américain, Microsoft, pour stocker ses mégadonnées.

Toutefois beaucoup de projets européens visent à concevoir un modèle local pour échapper à l’emprise américaine. C’est notamment le cas de l'Allemagne . D’après un article des Echos, en mars 2020 le ministre de la Santé, Jens Spahn, exprimait la volonté d’échapper aux « modèles de surveillance policière ou capitaliste qui ne sont pas les nôtres », en développant un dispositif purement européen.

Pour aller plus loin …

• Amaël CATTARUZZA, Géopolitique des données numériques – Pouvoir et conflits à l’heure du Big Data , La Cavalier Bleu, 2019
• Florent Parmentier, Elodie CHAPEL, David GRUSON, Delphine JAAFAR, Pierre LOULERGUE, Judith MEHL et Anaïs PERSON, La révolution du pilotage des données de santé – enjeux juridiques, éthiques, et managériaux , LEH édition, 2019

La montée en importance du phénotypage digital

Comme nous avons pu le constater, les datas sanitaires sont le sujets de nombreuses discordances dans tous les domaines qui sont amenés à les réguler, à les utiliser, à les protéger, les produire ou les héberger. Nous allons ici aborder une nuance dans le traitement des data sanitaires puisqu’il existe tout un pan de ces données, considéré par les chercheurs médicaux comme le nouvel atout de leur domaine, qui ne tombe pas sous la coupe des régulations des data sanitaires. Pour être englobées dans cette catégorie, les données doivent provenir de flots générés par des appareils médicaux, reconnus comme tels par l’HIPAA ^[3]HIPAA, Health Insurance Portability and Accountability Act, 1996 : https://fr.wikipedia.org/wiki/Health_Insurance_Portability_and_Accountability_Act (aux États-Unis), ou par la Régulation des Dispositifs Médicaux ^[4] Régulation du Conseil et du Parlement Européen, en anglais à cette adresse : https://eur-lex.europa.eu/legal-content/EN/TXT/PDF/?uri=CELEX:32017R0745 (Union Européenne), par exemple. Dans la dernière décennie, l’intérêt des chercheurs en santé pour les données digitales non sanitaires n’a cessé de grandir. Ce sont les données générées par les appareils avec lesquels nous interagissons chaque jours qui attirent leur intérêt : téléphones, montres et accessoires connectés de manière générale. En effet, notre utilisation de ces objets donne lieu à la création d’une quantité énorme de données, qui constituent nos comportements digitaux. Ces derniers renferment des informations de toutes sortes, et qui, sous étude scientifique et sous calcul par certains algorithmes, sont des marqueurs de notre état de santé. De la même manière qu’un médecin va s’enquérir de l’alimentation de son patient, de ses rapports familiaux, de son rythme de travail, amassant ainsi des métadonnées qui permettent de contextualiser, de placer, et de mieux comprendre les données de santé brutes comme son rythme cardiaque ou son poids, les données digitales permettent de donner une profondeur et une vision inédite à la connaissance scientifique sur la santé humaine. Les motifs qui peuvent être retrouvés dans notre emprunte digitale sont des indicateurs de santé qui se montrent particulièrement viables.

Multiples travaux et articles détaillent les apports de ces données dans la recherche sanitaire, reliant certains usages digitaux à certains comportements humains et ainsi à certains problèmes de santé : c’est le phénotypage digital. L’utilisation que nous faisons de l’outil digital (téléphones mobiles, sites internet) peut donner des renseignements sur les fonctions humaines et sur les performances de nos corps à un point rarement observés par la recherche puisque ces données relèvent de notre intimité la plus secrète et la plus banale, celle que nous ne voulons pas divulguer ou celle que nous ne jugeons pas importante. Ces données digitales peuvent permettre de détecter des symptômes dans un stade particulièrement jeune de la maladie, qu’elle soit principalement physique, comme la maladie de Parkinson qui peut être détectée selon la manière de typographier, ou mentale. C’est davantage la détection, et les indicateurs de maladies psychologiques qui intéressent les chercheurs dans le phénotypage digital, puisque leur diagnostic repose, jusqu’ici, principalement sur la détection de symptômes qui ne sont pas physiques par le patient lui-même. Les marqueurs digitaux, s’ils étaient rendus disponibles au domaine de la santé et exploités par des intelligences artificielles, pourraient bouleverser la façon dont la force médicale fonctionne actuellement.

« Les gens ne se rendent pas compte que les plus petits indicateurs de données, qui sont continuellement surveillés, peuvent être très prédictifs des comportements et de la santé, et c’est ce qui m’inquiète. »

Dr. Mona SOBHANI, All your data is health data, The New York Times, 13/08/2019

Mais, les données digitales en question, appartenant principalement aux géants de la technologie, ne sont pas des données sanitaires puisque les appareils dont ils proviennent ne sont pas des appareils médicaux. Or, pour avancer vers une utilisation saine, éthique et transparente de ces données, en essayant de maintenir une collaboration entre les chercheurs de médecine, les utilisateurs, et les entreprises de technologie. Certains échanges ont été signés, par exemple entre Google et le NHS , mais la gestion des données par les deux parties prouve que des renforcements et des remises en question restent à être faites dans l’éventualité d’une utilisation plus courante des données digitales par la recherche sanitaire.

Bibliographie

• Michael Hanak, How to use data to achieve health equity , 2018
• Kit Huckvale, Svetha Venkatesh & Helen Christensen, Toward clinical digital phenotyping: a timely opportunity to consider purpose, quality, and safety , 2019 
• Charlie Warzel, All your data is health data , New York Times, 13/08/2019
• Megan Lam, How your digital data can help mental health research , TEDx Talk, 2018