Participatif
ACCÈS PUBLIC
19 / 07 / 2018 | 12 vues
Eric Antoine / Membre
Articles : 2
Inscrit(e) le 19 / 07 / 2018

Données de santé : mais où est passée la CNIL ?

La Commission nationale de l’informatique et des libertés (CNIL) a pour mission de protéger les citoyens français de l’usage abusif des données personnelles et de garantir que l’informatique ne porte pas atteinte à la vie privée. Pourtant, depuis quelques années, elle semble plus soucieuse de donner des gages aux industriels que de réellement protéger les données des citoyens, notammenti concernant les données de santé. L’entrée en vigueur du règlement général européen sur la protection des données (RGPD) le 25 mai dernier semble avoir encore accentué l’écart entre les attributions nationales de la CNIL et la réalité de ses actions sur le terrain.

Les défibrillateurs automatiques implantables : un système faillible

L'e-santé a définitivement fait son entrée dans la médecine et les objets connectés ont déjà des résultats très prometteurs. Chaque année, en France, plus de 6 000 patients sont équipés de défibrillateurs automatiques implantables (DAI). Ceux-ci permettent de détecter les anomalies du rythme cardiaque et de le rétablir par des chocs électriques contrôlés, si besoin. Par un système de télésurveillance permanent, des alertes sont transmises au médecin qui peut ainsi suivre son patience à distance.

Cependant, sur certains dispositifs, les alertes sont trop nombreuses et risquent de polluer le suivi médical et c’est là que surgit la problématique en termes de confidentialité. En effet, pour être efficaces et ne pas être négligées par un effet de saturation, ces alertes ont besoin d’être triées. Mais par qui ? Certains industriels préconisent une intervention de techniciens entre l’objet connecté et le médecin mais la loi ne prévoit pas que ceux-ci aient accès à des données médicales confidentielles.

En effet, en 2008, Biotronik (entreprise de technologie biomédicale basée en Allemagne) présentait le livre blanc de la télécardiologie, une étude qui portait notamment sur les DAI. Cette présentation explique : « après traitement par le centre de service, les données sont communiquées au centre de cardiologie du patient via internet ». Des industriels ont donc des employés « soumis à confidentialité » qui ont accès à ces données avant le médecin. Mais la confidentialité que peut prévoir une entreprise et le secret médical couvert par loi sont très différents. Effectivement, en France, le secret médical prescrit que des informations médicales ne peuvent absolument pas être transmises sans la présence d’un médecin.

On voit déjà ici un certain hiatus entre la réglementation et la pratique de certaines entreprises. Isabelle Falque-Pierrotin, présidente de la CNIL, affirmait pourtant : « Les données de santé sont des données sensibles, susceptibles de révéler l’intimité de la vie privée. À ce titre, le droit leur reconnaît un statut particulier et impose le respect de règles ayant pour objet de garantir leur confidentialité, auquel la CNIL veille depuis près de trente ans ». Avec l’arrivée de ces nouveaux objets connectés, la CNIL assume-t-elle réellement toute sa responsabilité de protection des citoyens ? On est en droit de se le demander.

Une règle nationale et un jeu mondial

Les données médicales récoltées par ces objets connectés sont stockées sur des serveurs avant d’être rendues accessibles au personnel médical. La localisation géographique de ces serveurs pose également une grave question. S’ils ne sont pas situés sur le sol français mais aux États-Unis, par exemple, où la réglementation est très différente, comment faire respecter la loi française quant au traitement de ces données ? Pour s’assurer du respect de la loi, la France a créé un agrément : pour pouvoir vendre sur le marché français, les industriels des produits de santé connecté doivent être « hébergeurs agrées de données de santé (HADS) ». Les demandes d’agrément sont analysées par l’ASIP de santé et par la CNIL puis le Ministère de la Santé donne son accord si tous les feux sont verts. En théorie, tout se passe bien, comme à l’accoutumée. Mais le secteur de la cardiologie connectée donne une idée des défaillances du système en pratique. Les premières solutions de cardiologie connectées sont arrivées sur le marché français entre 2011 et 2012 (Biotronik, Boston Scientific, Medtronic…), date à laquelle elles ont été inscrites sur la liste LPP et donc remboursés par la Sécurité sociale. Problème : Biotronik et Boston Scientific n’ont reçu l’agrément HADS qu’en 2015 et Medtronic n’en dispose toujours pas. Entre-temps, des industriels ont obtenu que des produits qui contrevenaient à la réglementation française soient remboursés par la Sécurité sociale. Cette situation ubuesque n’étonnera pas forcément quand on apprend par exemple que le Dr Arnaud Lazarus, salarié de Biotronik depuis 1994, a été en 2012 coordinateur de la contribution commune du Conseil national professionnel de cardiologie (CNPC) et du Conseil national de l’Ordre des médecins (CNOM) intitulée « Réflexion économique pour une prise en charge de la télésurveillance ambulatoire des porteurs de stimulateurs et défibrillateurs cardiaques ».

Les conflits d’intérêts peuvent en effet être légion dans un secteur où se côtoient de très près médecins, industriels et fonds publics. À l’heure du big data et dans un monde au sein duquel les données personnelles constituent un véritable marché de plusieurs centaines de milliards de dollars dans le monde, ces données médicales intéressent les assurances ou les publicitaires qui trouvent là des informations très précieuses. Le danger de l’utilisation des données médicales personnelles à des fins mercantiles est plus grand que jamais.

Pourtant, la CNIL semble plus soucieuse de rassurer les industriels et les entreprises que de protéger les citoyens. Celle-ci se plaît en effet à se montrer de moins en moins coercitive, à l’instar de Sophie Nerbonne, directrice de la conformité à la CNIL : « Hésiter à se lancer dans le traitement des données par peur d’une sanction revient à avoir une vision passéiste de la CNIL ». Nul doute que ces encouragements ont été entendus des industriels, qui ont très vite compris tout l’intérêt qu’il pouvait y avoir à conserver un accès à ces données. Autre élément rassurant et non des moindres : le pouvoir politique cautionne ou, à tout le moins, encourage.

La CNIL prétend donc vouloir mener une politique de prévention et d’accompagnement des entreprises plutôt qu’un simple exercice de sanction. Mais les exemples de Medtronic, Biotronik et Boston Scientific qui se retrouvent sur le marché sans avoir obtenu l’agrément hébergeur de données de santé semblent contredire cette stratégie. Si elle ne sanctionne pas ni ne prévient la fraude, la question demeure : où est passée la CNIL ?

Le développement de la télémédecine : une volonté politique

On sait que le gouvernement voudrait développer la télémédecine pour lutter contre les déserts médicaux mais ce projet politique ne doit pas faire oublier les principes élémentaires du respect de la vie privée et de la protection des données. La CNIL est une autorité autonome qui ne dépend pas des pouvoirs publics mais le gouvernement est toutefois représenté par un commissaire (la magistrate Nacima Belkacem), censé représenter le Premier Ministre auprès de la commission.

Tout en respectant l’indépendance légitime de la CNIL, le gouvernement serait en droit de s’assurer que le développement de ces nouvelles technologies, dont les bienfaits pour la santé publique sont indéniables, soit effectué dans le respect de la vie privée des patients dont le consentement, en situation médicale fragile, peut facilement être éludé. Il est aujourd’hui regrettable de constater que la CNIL, une institution qui aurait toutes les raisons de faire notre fierté, considère avec une légèreté coupable le traitement des données de santé relatives à un marché des objets connectés médicaux en plein boum.

Afficher les commentaires

Bonjour, Avatar e-citoyen français ! Du seul fait d'être membre de la République Française, depuis peu numérique (2.0), nous, sujets de droit & citoyens français, sommes tous avatars e-citoyens de notre territoire numérique français. Mais, cyber-sujet de quel droit ? Si notre télémédecine est restreinte (par qui ?) à notre territoire numérique français, alors, pourquoi avoir dévoilé, au grand public français, il y a dix ans le web symbiotique (4.0) ? Tout potentiel télé patient de la télémédecine est à même de se poser la question en publique.