Vous êtes dans : Accueil > Tribunes libres >

Les données de santé et les assureurs : approche du débat par le risque systémique

Cédric Cartau, MARDI 21 NOVEMBRE 2023

Même quand on est dans le ventre mou de l’actualité cyber (entre Halloween et Noël ou entre Noël et le ski), il se passe toujours quelque chose sur la planète des données et leur protection.

Je suis donc récemment tombé sur un article[1] qui développe, entre autres, l’idée selon laquelle « le lobby des assureurs déplore de ne pas pouvoir accéder aux données de santé ». Et l’article de citer une lettre de la fédération Insurance Europe mentionnant le fait qu’« une grande disponibilité des données anonymes peut permettre aux assureurs de proposer des tarifs plus abordables, de nouveaux services innovants axés sur la prévention et l’atténuation des risques et d’offrir une assurance pour des risques qui n’étaient pas assurables auparavant ».

En gros, le débat est toujours le même : adapter les tarifs au profil de risque de l’assuré (ce qui engendre des risques d’exclusion ou de surfacturation) versus proposer un profil d’assuré unique, ce qui uniformise les tarifs (mais génère forcément d’autres risques). L’article utilise explicitement le terme de « lobby », qui dans le monde anglo-saxon, à la différence de la France, n’est pas péjoratif.

L’exclusion d’une partie des acteurs de la société civile de l’Espace européen des données de santé (EHDS) pose question, et ce pour plusieurs motifs. D’abord l’objectif affiché de l’EHDS (« libérer le potentiel des données de santé inutilisées afin d’ouvrir de nouvelles opportunités pour des services de santé et d’améliorer les résultats pour les patients ») est en contradiction avec l’article 35 de la proposition de règlement du Parlement européen (qui interdit de demander l’accès aux données de santé pour « la prise de décision à l’égard d’une personne physique ou d’un groupe de personnes physiques, les excluant du bénéfice d’un contrat d’assurance ou modifiant leurs cotisations et leurs primes d’assurance ») : on ne peut pas avoir le beurre et la petite monnaie en même temps. Au passage, toutes les mutuelles santé ou presque indexent la cotisation mensuelle sur l’âge du souscripteur, ce qui ne semble émouvoir personne.

Le problème est que le discours selon lequel les assureurs (ou d’autres acteurs privés du marché de la santé) sont les méchants du système se heurte à un constat factuel : tous les acteurs d’un système ont leurs propres intérêts qui induisent leurs propres biais de raisonnement et de fonctionnement. Dit autrement, si votre objectif est de gagner des sous, vous allez tenter de le maximiser (au détriment d’autre chose, telle la santé des personnes), alors que si votre objectif est la santé des personnes, vous choisirez de la maximiser… mais pas toujours, car justement une analyse financière pourrait vous permettre de lever des loups.

L’affaire des prothèses PIP[2] en est l’archétype : un opérateur privé chercherait par tous les moyens à détecter le plus vite possible le genre de cas qui plombe ses comptes, alors qu’un opérateur sans but lucratif n’y serait nullement incité (et c’est d’ailleurs ce qui s’est produit).

On peut déjà prévoir la suite du débat : l’anonymisation. Si transmettre des données trop précises à des assureurs est jugé dérangeant, il serait possible de transmettre des données agrégées avec un niveau de précision (ou d’imprécision) tel qu’il éviterait un ciblage trop précis par les assureurs. C’est sans compter sur l’évolution des techniques et la position de la Cnil, qui considère qu’une donnée anonyme à un instant T ne le restera pas éternellement du fait des possibilités de croisement en général et de la technologie de façon plus large.

Dit autrement encore une fois, il va falloir faire le choix des biais sociétaux en santé auxquels les populations seront soumises, car il n’existe pas de non-choix sur cette question.

C’est le moment exact où vous vous dites que votre serviteur va vous proposer une approche novatrice, une vision décalée de la question qui permette de sortir de ce débat circulaire. Désolé, je n’ai rien en stock, il va falloir vivre avec ça.

Bonne semaine quand même !

[1]   https://www.nextinpact.com/lebrief/72651/le-lobby-europeen-assureurs-deplore-ne-pas-pouvoir-acceder-aux-donnees-sante 

[2]   https://www.lemonde.fr/societe/article/2012/01/18/les-grandes-dates-du-scandale-des-implants-pip_1625045_3224.html 

L'auteur

Responsable Sécurité des systèmes d’information et correspondant Informatique et Libertés au CHU de Nantes, Cédric Cartau est également chargé de cours à l’École des hautes études en santé publique (EHESP). On lui doit aussi plusieurs ouvrages spécialisés publiés par les Presses de l’EHESP, dont La Sécurité du système d’information des établissements de santé.

#données de santé#HDS#sécurité