Un arrêté du ministère de la Santé interdisait jusque-là l’accès aux données de santé aux organismes de recherche à but lucratif.
À chaque fois que vous allez chez votre médecin, à la pharmacie ou à l’hôpital, toutes les informations vous concernant sont enregistrées et stockées au sein du Sniiram (Système national d’information inter-régimes de l’Assurance-maladie). Au total, cette base de données voit transiter chaque année 1,2 milliard de feuilles de soins, 500 millions d’actes médicaux et 11 millions de séjours hospitaliers. Cette mine d’or, l’une des plus grandes bases médico-administratives au monde, comprend deux catégories de données : les données agrégées, traitées afin d’obtenir des informations anonymes sur des groupes d’individus ayant des caractéristiques communes (hommes de 50 ans présentant un diabète de type 2, par exemple), et les données à caractère personnel.
Jusque-là, si l’accès aux données personnelles était partiellement ouvert aux organismes de recherche publique, un arrêté du ministère de la Santé basé sur une loi de 2013 en interdisait l’accès aux organismes à but lucratif (compagnie d’assurances, laboratoire pharmaceutique…). Mais le 20 mai, une secousse a bousculé le monde très verrouillé des données de santé. Jugeant l’arrêté en question illégal, le Conseil d’État a demandé son annulation sous quatre mois au ministère de la Santé. En conséquence, toutes les structures voulant mener une étude d’intérêt général pourront bientôt prétendre accéder aux précieuses données.
Ré-identification
Reste que cette décision intervient précisément au moment où une nouvelle loi santé, qui prévoit un accès très contrôlé à ces données, est en train d’être mise en place. Cette loi, promulguée en janvier 2016, confirme l’ouverture inconditionnelle et gratuite à tous des données agrégées (Open Data), qui ne représentent aucun risque pour la vie privée. En revanche, elle prévoit des conditions d’accès très strictes aux données de la seconde catégorie, à caractère personnel. Celles-ci peuvent en effet permettre de réidentifier une personne. Même si son nom, son prénom et son identifiant sont cryptés de manière définitive, il est possible, en croisant les informations et en possédant plusieurs éléments précis la concernant, de la retrouver par déduction. « Si une personne a été hospitalisée à deux reprises et que vous connaissez ses dates d’hospitalisation, son âge et son code postal, vous pouvez la retrouver à coup sûr », explique Dominique Blum, un médecin qui a été parmi les premiers à détecter la faille du système.
Un risque qui a conduit à une levée de boucliers. Du coup, la nouvelle loi santé prévoit d’autoriser l’accès aux données personnelles à des organismes à but lucratif ou non, mais sous plusieurs conditions. D’abord, seuls ceux dont l’objectif est de réaliser une étude d’intérêt public pourront y prétendre.