Le nouvel accès aux données de santé, prévu par la loi du 26 janvier 2016, est opérationnel depuis la fin du mois d’août 2017. Depuis lors, les acteurs privés à but lucratif peuvent déposer une demande d’accès aux données du SNDS (système national des données de santé) au même titre que n’importe quel autre acteur public ou privé à but non lucratif. Dès lors que la finalité est de faire de la recherche dans le domaine de la santé avec une finalité d’intérêt public, toutes les demandes sont susceptibles d’être autorisées par la CNIL.
Nous avons déjà souligné que les acteurs privés avaient pu déposer 62 demandes d’accès au SNDS d’après le rapport mis en ligne par l’INDS (Institut national des données de santé, chargé du secrétariat unique pour l’accès au SNDS) sur son ancien site internet (avec le nouveau site internet de l’INDS, ce rapport est introuvable…) . Il est intéressant de savoir que sur ces 62 demandes, 35 proviennent d’industriels de santé. Or, si l’on examine les modalités d’accès et de traitement qu’ils ont choisies, on se rend compte que tous les industriels sont passé par un bureau d’études, ce qui amène des commentaires.
L’accès aux données de santé par procuration est la nouvelle norme pour les industriels
L’analyse du rapport mis en ligne par l’INDS en juin 2018 permet de constater que sur les 35 demandes d’accès déposées par des industriels de la santé, 12 ont, pour le moment, été autorisée à l’issue de la procédure d’examen. Cette donnée est encourageante car il faut savoir que sur l’ensemble des dossiers déposés depuis septembre 2017, 33 autorisations seulement ont été délivrées, tous types de demandeurs confondus. Cela signifie que les entreprises de la santé ont obtenu 36% du total des autorisations délivrées par la CNIL depuis le lancement du nouveau système d’accès aux données de santé.
Cependant, un point précis attire notre attention : c’est le mode de réalisation du traitement des données obtenues. On remarque que l’ensemble des 35 demandes d’accès aux données de santé émises par le secteur privé à but lucratif a fait appel à un organisme tiers pour réaliser le traitement. Il s’agit souvent d’un bureau d’études privé, mais il peut aussi s’agit d’un CHU, de l’INSERM-CNRS, d’un Centre de lutte contre le cancer, ou d’un laboratoire d’école ou d’université.
Pourquoi une telle décision de déléguer le traitement plutôt que de le réaliser directement ? Pour le comprendre il faut lire l’article L. 1461-3 II du code de la santé publique. Cet article précise que l’industriel de la santé, pour pouvoir traiter des données du SNDS, doit :
– soit démontrer que les modalités de mise en œuvre du traitement rendent impossible toute utilisation des données pour l’une des finalités interdites par la loi (promotion de produits de santé, exclusion de garanties d’un contrat d’assurance ou modification de cotisations d’un contrat) ;
– soit recourir à un laboratoire de recherche ou à un bureau d’études, publics ou privés, pour réaliser le traitement.
Face à ce choix, tous les industriels de la santé ont, pour le moment, choisi de ne pas prendre le risque de réaliser le traitement de données de santé eux-mêmes. Cela démontre que personne ne sait vraiment comment apporter la garantie que le traitement réalisé par une entreprise de la santé exclut la possibilité d’atteindre l’une des finalités interdites par la loi.
En conséquence, l’accès des acteurs privés à but lucratif du secteur de la santé est déséquilibré en ce sens que le choix proposé par la loi, entre la faculté de réaliser le traitement soi-même ou de le déléguer à un tiers, est en fait un “non-choix”. Pour inverser la donne, il faudrait que la CNIL publie un référentiel indiquant précisément la nature des garanties à fournir pour que les industriels de la santé puissent choisir sereinement de réaliser eux-mêmes le traitement.