Vous êtes dans : Accueil > Tribunes libres >

Partage et réutilisation des données de santé, dénominateur commun des projets SIH

Cedric Cartau et Me Brac de La Perrière, MARDI 15 FéVRIER 2022

Le partage de données recouvre des réalités très différentes : au sein d’une équipe de soins, entre professionnels pour avis médical, etc. Me Marguerite Brac de La Perrière, associée Santé numérique du cabinet Lerins & BCW, est l’une des spécialistes en France du droit de la santé et du numérique[1]. L’occasion pour Cédric Cartau, RSSI et DPO du CHU de Nantes, d’un échange avec elle sur ce sujet de premier plan au cœur duquel se place le consentement du patient.

Cédric Cartau : Depuis la loi Kouchner (4 mars 2002) et les suivantes, et surtout depuis le début de l’informatisation massive du cœur de métier, nulle pratique médicale n’est raisonnablement possible sans échange ni partage de données au sein d’une équipe de soins, laquelle est de plus en plus étendue et déborde le cadre de l’établissement avec l’avènement des GHT. Quelle définition peut-on donner du partage et de l’échange de données ?

Me Brac de La Perrière : En droit de la santé, le partage de données de santé vise la mise à disposition de plusieurs professionnels, fondés à les connaître, de données de santé nécessaires à la prise en charge sanitaire ou médico-sociale.
Le partage est défini a contrario de l’échange, qui consiste en un flux de données visant à communiquer des données de santé à un ou à plusieurs destinataires clairement identifiés.

Le partage, tout comme l’échange, constitue une dérogation au principe du secret médical. Le régime applicable est différencié selon que les professionnels constituent ou non une équipe de soins au sens de la réglementation.

Le partage d’informations nécessaires à la prise en charge sanitaire ou médico-sociale d’un patient, entre professionnels participant à cette prise en charge, intervient après information de celui-ci et sauf opposition de sa part lorsque les données sont partagées au sein d’une équipe de soins (appréciée très largement depuis 2016) ou après recueil du consentement du patient lorsque les données sont partagées en dehors de l’équipe de soins.

Une remarque importante : dès lors que la finalité de l’échange ou du partage est la prise en charge sanitaire ou médico-sociale, le régime est le même que l’acte soit réalisé en présentiel ou à distance.

CC : La question des entrepôts de données de santé (EDS) s’est posée avec l’arrivée de l’IA et avec celle du Covid. C’est très clairement un point dur : qu’est-ce qui caractérise un EDS, qu’est-ce qu’une « simple » cohorte et quelles différences juridiques existe-t-il entre ces notions ?

MBDLP : Le sujet est ici la réutilisation des données de santé.
L’IA est développée et alimentée à partir de données et, dans le secteur de la santé, de données de santé. Il est parfois possible d’utiliser pour ce faire des données de santé anonymisées, notamment en matière d’imagerie médicale, auquel cas le RGPD ne s’applique qu’au traitement d’anonymisation lui-même, et non à l’utilisation de données anonymisées.

Remarque importante : le sous-traitant peut être autorisé par le responsable de traitement à réutiliser les données pour une finalité compatible avec la finalité initiale, dont l’amélioration de ses outils, sous réserve de mesures de sécurité appropriée telle que l’anonymisation, voire la pseudonymisation.

Lorsqu’il est nécessaire d’établir des corrélations entre les données et de les « chaîner », ce sont des données pseudonymisées qui sont donc utilisées. Or, pour mémoire, la pseudonymisation constitue une simple mesure de sécurité, de sorte que les données pseudonymisées restent des données à caractère personnel. Dès lors, leur réutilisation doit être autorisée et/ou encadrée. C’est notamment le cas s’agissant de la réutilisation des données des EDS.
Les premiers EDS ont vu le jour il y a près d’une vingtaine d’années, mais ils répondaient à un cadre juridique moins harmonisé et transparent que celui d’aujourd’hui.

Ces éléments de contexte posés, j’en reviens à la question posée sur les différences entre une « simple » cohorte et un EDS.
Dans le cadre d’une recherche, d’une étude ou d’une évaluation (n’impliquant pas la personne humaine), la réutilisation de données intervient pour les seuls besoins de mise en œuvre du protocole de cette recherche, étude ou évaluation. La base de données est constituée pour la seule durée de la recherche, limitée et connue.

Lorsque la recherche présente un caractère d’intérêt public, les traitements de données de santé peuvent faire l’objet d’un engagement de conformité à la méthodologie de référence MR-004. À défaut, ils doivent faire l’objet d’une demande d’autorisation de recherche.

Dans le cadre d’un EDS, la réutilisation des données intervient pour plusieurs recherches, études ou évaluations. La base de données est constituée pour une durée longue (plus de dix ans) et sa création a pour but de disposer de données massives.
Dès lors, ce sont deux régimes successifs qui s’appliquent, l’un relatif à la constitution de l’EDS, l’autre à la réutilisation des données de l’EDS. Chaque projet de réutilisation doit donc ensuite répondre à l’une des finalités définies dans le référentiel EDS ou à une finalité de recherche, d’étude ou d’évaluation et être mené dans le respect du régime juridique correspondant.
Lorsque l’EDS est constitué par des responsables de traitement qui souhaitent, dans le cadre de leur mission d’intérêt public, réunir des données en vue de leur réutilisation, ils peuvent réaliser un engagement de conformité au référentiel publié le 7 octobre 2021.

CC : Ajoutons un commentaire. Les premiers EDS (AP-HP et CHU de Nantes, entre autres) constituent une vraie rupture de paradigme dans la prise en charge médicale, avec des développements de concepts telle l’avatarisation utilisée par la Clinique des données (présentée par le Pr Gourraud dans une conférence mémorable à l’Apssis). La question du consentement constitue la pierre angulaire juridique de ces outils.

À suivre…

mbracdelaperriere@lerinsbcw.com 

[1] https://www.lerinsbcw.com/donnees-de-sante-defi-de-securite-et-necessite-de-reutilisation/ 

 

#données de santé#HDS#patient#chu#chu de nantes#numérique#rssi#cédric cartau#sécurité#RGPD#