Comme BI&T l’a signalé en ce début d’année 2017, les décrets d’application du nouveau système national des données de santé et de la nouvelle procédure de demande de traitement de données à caractère personnel ont été publiés. La Direction de la Recherche, des Etudes, de l’Evaluation et des Statistiques (DREES) a rapidement publié un guide destiné à comprendre comment sera mis en œuvre ce nouveau système qui, rappelons-le, découle de l’article 193 de la loi de modernisation de notre système de santé, ou loi Touraine, du 26 janvier 2016.
Cette clarification est bienvenue tant la loi santé est sibylline dans sa rédaction. Reste à savoir si cela annonce un progrès dans l’accès aux données de santé comme l’affirmait Marisol Touraine, ou un durcissement des conditions d’accès comme le craignaient bon nombre d’acteurs du secteur sanitaire.
Le nouveau système national des données de santé disponible dès avril 2017
Le décret relatif au système national des données de santé, ou SNDS, prévoit une entrée en vigueur au 1er avril 2017. Dans un premier temps, la DREES précise que seules les données de l’assurance maladie issues du système national d’informations inter-régimes de l’assurance maladie (SNIIRAM), et les données hospitalières issues du programme de médicalisation des systèmes d’information (PMSI) seront disponibles. Ce premier point est intéressant car il s’agit des données de santé les plus convoitées.
Ensuite, à partir de juin 2017, le SNDS devrait également proposer les données relatives aux causes médicales de décès issues de la base du centre d’épidémiologie sur les causes médicales de décès de l’Institut national de la santé et de la recherche médicale (CépiDC de l’Inserm).
Puis ce n’est qu’à partir de 2018 que les données relatives au handicap provenant de la Caisse nationale de solidarité pour l’autonomie (CNSA) seront intégrées.
Enfin, l’échantillon de données en provenance des organismes complémentaires n’arrivera qu’en 2019.
Dans l’hypothèse la plus optimiste, l’intégralité des données annoncées ne sera donc proposée par le SNDS qu’au cours de l’année 2019.
A noter que le SNDS sera piloté par la CNAMTS, déjà responsable de la gestion du SNIIRAM.
Le SNDS ou les données de santé pour tous ?
La procédure d’accès au nouveau système national des données de santé est unique pour toutes les structures, qu’elles soient publiques ou privées, à but lucratif ou non.
L’un des décrets publiés le 28 décembre 2016 réforme cette procédure d’accès qui entrera en vigueur à la date à laquelle seront intervenues l’approbation de la convention constitutive de l’Institut national des données de santé (INDS) et l’installation du comité d’expertise pour les recherches, les études et les évaluations dans le domaine de la santé (CEREES).
Pour que l’accès au SNDS soit opérationnel le 1er avril 2017, il faudra donc que ce décret soit préalablement publié et entré en vigueur.
Comme souvent, le mécanisme d’accès qui est prévu contient des ramifications qui viennent complexifier l’ensemble. Mais compte tenu du caractère sensible des données et de l’objectif d’intérêt public qui est visé, ces éléments peuvent sembler justifiés.
Une procédure uniforme d’accès aux données de santé
Chaque demandeur d’accès devra nécessairement passer par une demande déposée auprès de l’INDS, dont le rôle est d’évaluer les demandes mais aussi de guider les demandeurs dans leur démarche. En étroite collaboration avec le CEREES, l’INDS sera chargé de fournir, à propos de chaque demande d’accès, un avis motivé à la Commission nationale de l’informatique et des libertés (CNIL).
Ce processus devrait permettre à la CNIL de rendre ses décisions beaucoup plus rapidement qu’aujourd’hui. En effet, actuellement, les demandes d’accès au SNIIRAM accusent de plusieurs mois de retard dans leur traitement, ce qui peut être rapidement incompatible avec les recherches envisagées.
L’ambition affichée du SNDS est de permettre à tous d’accéder à des données de santé destinées à la recherche, à une étude, ou une évaluation présentant un intérêt public.
Les entreprises du secteur sanitaire soumises à une procédure durcie
A toute règle, il existe une exception en droit français. Ici, à la règle de la procédure unique d’accès aux données de santé se greffe l’exception visant directement les entreprises du secteur sanitaire.
En effet, une attention toute particulière est portée sur les entreprises qui produisent des produits de santé et les assureurs en santé qui devront :
– soit passer par un bureau d’études ou un organisme indépendant pour effectuer leur demande d’accès aux données de santé ;
– soit démontrer que leur accès aux données du SNDS n’a pas pour objectif de promouvoir des produits de santé en direction des professionnels de santé ou d’établissements de santé, ou bien d’adapter un contrat d’assurance en fonction des risques détectés chez un individu ou un groupe d’individus.
Ces entreprises privées ancrées dans le secteur sanitaire seront donc soumises à un contrôle bien plus important que les autres acteurs. Elles n’accéderont donc pas si facilement aux données de santé dont elles ont besoin pour leurs projets. Par cette exception, le législateur souhaite prévenir le mésusage qui pourrait être fait des données récupérées. Il sera intéressant de voir si l’application concrète du dispositif permettra tout de même à ces entreprises de recevoir des données dans des délais raisonnables.
L’accès permanent aux données de santé réservé à une liste exhaustive d’organismes
Le décret relatif au SNDS publié le 28 décembre 2016 donne une liste de 25 types d’organismes qui auront un accès permanent aux données de santé à caractère personnel du SNDS.
Cet accès n’est pas identique pour tous les organismes et dépendra de leur mission et des objectifs visés.
Parmi ces organismes on retrouve notamment la DREES, les Agences régionales de santé (ARS), la Haute autorité de santé (HAS) ou encore l’Agence nationale de sécurité du médicament et des produits de santé (ANSM).
Des procédures simplifiées d’accès aux données de santé : la future norme ?
En plus de cette procédure unique tout de même agrémentée d’exceptions, des procédures simplifiées d’accès aux données de santé sont désormais possibles.
Trois possibilités de procédures simplifiées sont envisagées :
– des méthodologies de référence seront proposées sur le site internet de la CNIL. Elles auront été établies en concertation avec le CEREES et les représentants des organismes privés et publics. D’après la DREES, il suffira au demandeur de s’engager à se conformer à l’une des méthodologies prédéfinies, cela vaudra automatiquement autorisation de la CNIL. Ces méthodologies sont en cours d’élaboration d’après la DREES.
– des autorisations uniques correspondant à plusieurs traitements de données de santé pourront être délivrées par la CNIL. Les traitements concernés devront avoir la même finalité, porter sur des catégories de données identiques et ayant des catégories de destinataires identiques.
– la mise à disposition de jeux de données agrégées ou d’échantillons par l’INDS. Cette mise à disposition devra avoir été validée par la CNIL dans un délai de 3 mois. Son refus devra être motivé. La DREES précise que la procédure est en cours d’élaboration et devrait être mise en œuvre à la mi 2017.
Par ces trois types de procédures simplifiées, l’intention est de favoriser les accès fréquents et rapides aux données de santé dans un cadre contrôlé.
Le but, louable, semble être de faire de ces procédures simplifiées le moteur principal de l’accès aux données de santé. Si cela fonctionne correctement, cela peut être une réelle avancée pour la recherche et l’innovation.
Le lecteur avisé aura remarqué que le nouveau système d’accès aux données de santé repose encore sur de nombreuses hypothèses. Pour que tout soit opérationnel, il faudra que tous les rouages soient bien huilés.
Le nouveau système d’accès aux données de santé fonctionnera-t-il ?
Le nouveau mécanisme d’accès aux données de santé paraît assez bien ficelé malgré la complexité du dispositif. Mais son bon fonctionnement repose sur bon nombre de facteurs qui sont déterminants et dont la viabilité reste à constater.
D’abord, le futur accès aux données de santé repose principalement sur le désengorgement des services de la CNIL par l’examen préalable des dossiers par l’INDS et le CEREES. Or si la lenteur de la CNIL dans le traitement des dossiers de demande d’accès aux données est malheureusement connue de tous, rien ne nous assure que cela s’améliorera dans le nouveau circuit. Au mieux l’INDS et le CEREES seront opérationnels immédiatement et parviendront à traiter toutes les demandes en “mâchant” le travail de la CNIL qui n’aura plus qu’à approuver ou non les dossiers. Au pire, les services de l’INDS et du CEREES seront eux aussi submergés par les demandes et n’auront pas le temps de se prononcer sur tous les sujets dans les temps impartis : la CNIL aurait alors à traiter des demandes complètes et le temps d’attente des demandeurs s’en verrait grandement affecté.
Ensuite, l’utilisation vertueuse des nouveaux types d’accès aux données de santé induit un contrôle à postériori de l’utilisation qui en est faite. Or actuellement les services de contrôle de la CNIL ne semblent pas aptes à prendre en charge cette mission hautement importante avec toute l’efficacité nécessaire. Une réflexion devrait donc être menée sur ce sujet avant la pleine mise en œuvre du dispositif.
Enfin, la question du prix d’accès au SNDS reste un mystère et il faudra attendre encore plusieurs semaines avant d’avoir un premier aperçu de ce qu’il en coûtera aux entreprises. La seule certitude est la gratuité d’accès dans le cadre des recherches menées pour l’autorité publique et dans le cadre des recherches réalisées pour les besoins des services publics administratifs.
L’accès aux données de santé tel qu’il est prévu par le nouveau système s’accompagne donc d’exceptions et de nombreux aléas qui laissent présager un démarrage progressif au cours des prochaines années. Si à la lecture des décrets il semble que l’accès aux données de santé sera plus aisé, le système devra prouver sa viabilité dès son entrée en vigueur en avril prochain. Patience donc…