Données de santé : point d’étape sur le Health Data Hub
Un rapport visant à poser les bases d’une feuille de route en matière de réutilisation des données de santé a été publié le 18 janvier 2024. Ce rapport intitulé « Fédérer les acteurs de l’écosystème pour libérer l’utilisation secondaire des données de santé » a été sollicité par le ministre de l’Économie, des finances et de la souveraineté industrielle et numérique, la ministre de l’Enseignement supérieur et de la recherche et le ministre de la Santé et de la prévention afin de faciliter l’utilisation secondaire des données de santé pour favoriser la recherche et l’innovation, le pilotage ou encore l’amélioration de la qualité des soins, avec en filigrane le développement de l’intelligence artificielle.
Le rapport part du constat que la France est à la traîne et que les acteurs, y compris français, utilisent des données se trouvant aux États-Unis, en Israël et au Royaume-Uni. En effet, si la France possède un patrimoine de données de santé important, les données restent cloisonnées en raison du manque d’interopérabilité et d’appariement des données. Les bases de données sont encore éparpillées, leur contenu hétérogène et leur documentation insuffisante. En outre les démarches réglementaires restent complexes et donc longues. Il est relevé que la France est un des rares pays, au niveau européen, à avoir maintenu un régime d’autorisation préalable par une agence de protection des données pour la recherche et les études nécessitant un accès aux données de santé, obligatoire en cas d’appariement entre plusieurs bases : il est nécessaire pour mener un projet d’obtenir un avis d’un comité scientifique et éthique (pour les recherches n’impliquant pas la personne humaine, le Comité éthique et scientifique pour les recherches, les études et les évaluations dans le domaine de la santé – CESREES) et une autorisation de la CNIL, qui s’ajoutent éventuellement à l’avis donné par un comité scientifique et éthique d’un entrepôt de données de santé ou d’une cohorte.
La Plateforme des données de santé (Health Data Hub), créée en 2019, n’a pas encore permis de changer la donne alors pourtant qu’elle fonctionne comme un guichet unique pour ces procédures d’avis. Par ailleurs l’existence de différentes procédures simplifiées qui permettent de se dispenser de l’autorisation de la CNIL, voire de l’avis du CESREES (accès permanents aux données de la base principale du SNDS, méthodologies de référence, référentiels, décisions uniques, …) ne suffit pas à fluidifier le système, du fait de la complexité du cadre général réglementaire que les acteurs peinent à s’approprier. Les exigences en matière d’information des patients à chaque réutilisation de leurs données contribuent à accentuer la complexité du cadre juridique.
Les difficultés d’accès aux données de la base principale du système national des données de santé (SNDS) sont pointées du doigt : la mise à disposition des données de la Caisse nationale de l’assurance maladie (CNAM) est particulièrement longue.
Le Health Data Hub n’a pas encore pris le relai de la CNAM en raison du blocage du transfert des données de la base principale du SNDS, lié au choix de la solution logicielle Azure de Microsoft pour le Health Data Hub. Ainsi ce dernier, en dépit des importants investissements dont il a bénéficié, n’est pas en mesure de remplir une de ses missions centrales. Il est également regretté que le Comité stratégique des données de santé, lui aussi créé en 2019, ne joue pas davantage son rôle d’impulsion et de coordination de la politique d’utilisation secondaire des données de santé.
Le rapport salue toutefois les premiers travaux du comité stratégique sur les entrepôts de données de santé et relève que le Health Data Hub s’est imposé comme un partenaire central de l’écosystème des données de santé.
L’accompagnement qu’il offre aux porteurs de projets est apprécié. Ses capacités techniques sont également reconnues. Il reste à simplifier les procédures, à surmonter les réticences au partage des données et en premier lieu à régler la question de l’hébergement de la copie de la base principale du SNDS par le Health Data Hub. À défaut, le système de partage serait bloqué et le Health Data Hub un échec.
Le rapport contient trente-sept recommandations assez pragmatiques classées en fonction de sept objectifs. Elles identifient respectivement les autorités concernées et, le cas échéant, le vecteur législatif approprié.
D’abord et de façon préalable, il faut régler la question de l’hébergement de la copie de la base principale du SNDS par le Health Data hub. À défaut, le système de partage apparaît bloqué et le Health Data Hub serait un échec.
Le second objectif est l’allègement des contraintes réglementaires. Cela peut passer par le règlement sur l’espace européen des données de santé, la réforme de la loi informatique et libertés et du code de la santé publique, L’une des voies préconisées est la refonte des méthodologies de référence dont le champ d’application devrait s’étendre afin que l’autorisation de la CNIL pour le recueil, le traitement et le chaînage des données de santé devienne l’exception. En outre il est suggéré de dispenser les projets de recherche n’impliquant pas la personne humaine et respectant un cahier des charges national d’un avis du CESREES.
Le troisième objectif est l’accélération de la mise à disposition des données du SNDS avec une responsabilisation accrue des responsables de traitement en termes de minimisation des données. Les porteurs de projet auraient un accès temporaire à une copie intégrale de la base principale et pourraient extraire les données selon des méthodes de référence validées selon les cas par le CESREES et la CNIL. L’étape d’extraction s’en trouverait considérablement accélérée.
Ce troisième objectif s’articule avec le quatrième qui propose de repenser le Health Data Hub en rendant facultatif le versement des données du SNDS sur le Health Data Hub. C’est ainsi montrer que la solution globale qu’entendait être le Health Data Hub est trop ambitieuse. Néanmoins, il devrait être l’unique organisme responsable de l’accès aux données de santé (HDAB) au sens du futur règlement sur l’espace européen des données de santé (EHDS). L’avis conforme de la CNIL pour l’octroi de certaines autorisations d’accès resterait néanmoins nécessaire.
Le cinquième objectif concerne la gouvernance. Il faut augmenter la visibilité des bases de données de santé, clarifier l’articulation entre les projets en cours dont le pilotage devrait être confié au Comité stratégique des données de santé. Il faut aussi faciliter le fonctionnement des infrastructures des données de santé (entrepôts, registres, cohortes) en prévoyant des normes d’interopérabilité et des financements pérennes, en mettant en place des grilles tarifaires pour l’accès aux données. Il est également suggéré de mettre en place des standards pour la réutilisation des données concernant la durée d’embargo et la publication. Le Health Data Hub devrait pour cela être piloté par le Comité stratégique des données de santé dont il est suggéré qu’il soit co-présidé par le ministre chargé de la Santé et le ministre chargé de la Recherche.
Les patients sont l’objet d’une autre série de recommandations (6e objectif). Leur droit à l’information et leur droit d’opposition devraient gagner en effectivité au moyen de la mise en place d’une plateforme unique. L’intérêt de l’utilisation secondaire de leurs données devrait être mentionné dans leurs espaces numériques de santé.
Enfin, l’accent est mis sur le développement des usages secondaires en multipliant les appels à projet pour créer de nouvelles bases de données et en facilitant l’utilisation et l’interopérabilité de données issues d’autres champs (environnemental, social) au sein de « hubs » sectoriels, notamment pour améliorer la prévention en santé.
Les premières recommandations ont d’ores et déjà été suivies. En effet, la question de l’hébergement à titre transitoire de la copie de la base principale du SNDS par le Health Data Hub vient d’être tranchée. On sait que le gouvernement s’est engagé à organiser à terme la migration de la plateforme du Health Data Hub sur un cloud souverain dit « SecNumCloud ». Pour l’instant, mais les acteurs le contestent, aucun cloud souverain présentant les qualités attendues ne paraît disponible, il a donc été décidé de poursuivre avec Microsoft Azure pour une durée de trois ans, là où le rapport jugeait qu’une durée de deux ans serait suffisante.
Cette solution a été validée non sans regret par la CNIL dans une délibération du 21 décembre 2023 qui a été publiée le 31 janvier 2024 : elle autorise le choix de Microsoft dans le cadre d’un projet européen d’entrepôt de données de santé appelé « EMC2 », qui correspond pour partie au Health Data Hub.
La CNIL indique avoir reçu les conclusions d’expertise des clouds souverains, dont il ressort qu’« aucun prestataire potentiel ne propose d’offres d’hébergement répondant aux exigences techniques et fonctionnelles du (HDH) pour la mise en œuvre du projet EMC2 dans un délai compatible avec les impératifs ce dernier ».
Elle déplore qu’aucun prestataire susceptible de répondre actuellement aux besoins exprimés par le Health Data Hub ne protège les données contre l’application de lois extraterritoriales de pays tiers ». Sans le dire, c’est admettre que la solution retenue à titre provisoire est celle d’une société américaine soumise aux lois américaines, ce qui conduit à rendre les données accessibles aux services de renseignement américains en vertu notamment du Cloud Act. La localisation des centres de données de Microsoft Azure en Europe n’y change rien.
La CNIL déclare « regretter que la stratégie mise en place pour favoriser l’accès des chercheurs aux données de santé n’ait pas fourni l’occasion de stimuler une offre européenne. Mais pour tenir les engagements pris vis-à-vis de l’Agence européenne des médicaments, l’autorité qui a émis l’appel d’offres remporté par le Health Data Hub, la CNIL autorise Microsoft à héberger l’entrepôt EMC2 pour une durée de trois ans. La politique du fait accompli sort triomphante de la partie de bras de fer que la CNIL a un temps joué avec Microsoft et le gouvernement français (v. CNIL, délib. n° 2020-044 du 20 avr. 2020). Cette décision a été immédiatement discutée. Une pétition « Sortons nos données de santé de chez Microsoft » adressée à la présidente de la CNIL circule depuis le 1er février.
© Lefebvre Dalloz