N°2, Avril 2019
Article publié par Bénédicte BEVIERE-BOYER, Docteure en Droit, Maître de Conférences-HDR en Droit Privé à l’UFR de l’Université de Paris 8 (Unité de Formation et de Recherche). Elle est Directrice adjointe du Centre de recherche en droit privé et droit de la santé EA 1581. Elle assure la co-direction scientifique d’un Cycle de Droit et Bioéthique à la Cour de Cassation (entrée libre), de portée nationale et internationale. Elle organise régulièrement des colloques sur des thématiques d’actualité en rapport avec le Droit de la Santé, le numérique, en collaboration avec des Universités chinoises et québécoises.
Relire la 1ère partie de son article publié en Février 2019
L’affirmation d’une protection suffisante des données de santé par le RGDP
Le fort potentiel de l’exploitation des données de santé, par le biais de l’IA en matière de développement de connaissances scientifiques et médicales, ne saurait restreindre la protection de celles-ci, d’autant qu’elles sont dites « sensibles » en ce qu’elles impactent directement la vie privée des personnes. La difficulté est, qu’en raison du contexte de concurrence et de compétition économique internationale, des tensions existent. Apparaît la crainte de « marchandisation et de pillage des données de santé ».
Pourtant, Monsieur Touraine, rapporteur, considère « très protecteurs » les dispositifs mis en place par le RGPD du 25 mai 2018 et la loi du 20 juin 2018 relative à la protection des données personnelles, en matière de conditions de collecte et de traitement, de conservation des données à caractère personnel, relevant directement des personnes physiques identifiées ou identifiables directement ou indirectement. Il s’appuie sur le large champ d’application du RGPD qui « englobe le traitement des données à caractère personnel non seulement par un acteur européen, mais également par un acteur non-européen dès lors que les données traitées concernent des ressortissants européens dans une perspective d’offre de biens ou de services ou de suivi du comportement de ces ressortissants », ce qui vise directement les ressortissants européens en leur offrant un « très haut niveau de protection ». Aussi, dès lors que la qualification de donnée de santé est envisagée, l’article 9 alinéa 1er du RGPD est applicable, lequel interdit par principe le traitement des données à caractère personnel concernant la santé[1]. Il en est ainsi, par exemple, des applications mobiles en santé lorsqu’elles comportent une connexion extérieure (sauvegarde sur un cloud) ou assurent un suivi à distance des données de l’utilisateur[2].
Toutefois, des dérogations sont envisagées par l’article 9 alinéa 2 pour des finalités spécifiques (par exemple, le traitement justifié par les intérêts vitaux de la personne, traitement nécessaire aux fins de diagnostics médicaux, de prise en charge sanitaire, à des fins de recherches scientifiques, etc.) et sous réserve de l’accord préalable de la personne concernée. Dans ces circonstances, le rapport insiste sur le renforcement du principe de responsabilisation continue des acteurs pendant toute la durée du projet de recherche en termes de pseudonymisation, de minimisation des données utilisées (privacy by design), de limitation strictement aux données nécessaires (privacy by default). Sont aussi mises en exergue les sanctions envisagées par le RGPD à l’égard des acteurs ne respectant pas les dispositions protectrices des données (pour les cas les plus graves : amendes allant jusqu’à 20 millions d’euros ou 4% du chiffre d’affaires annuel mondial total de l’exercice précédent). In fine, le rapport reprend la position émise par le Conseil d’Etat, dans son étude sur la révision de la loi de bioéthique, considérant le «caractère très protecteur du cadre juridique actuel » et s’en remettant au législateur estimant que « les règles issues du RGPD sont suffisamment protectrices ».
Les questionnements éthiques liés au consentement des personnes sur l’utilisation de leurs données et à l’accessibilité aux données de santé par des tiers (assureurs, chercheurs)
Le rapport envisage la pertinence du consentement des personnes concernant le recueil, le stockage, l’accès et l’exploitation des données de santé à l’égard de leur traitement, notamment concernant la recherche médicale et le développement d’algorithmes. En termes de restriction de l’accessibilité de telles données, particulièrement dans le cadre des maladies orphelines, il estime que ce serait pénalisant pour la recherche. Il note toutefois qu’il existe, en parallèle, de possibles pressions au détriment des individus concernés. Le consentement éclairé des personnes est aussi envisagé en termes de risques potentiels possibles concernant leur capacité réelle à « maîtriser leur devenir ».
Est aussi évoquée la question de la communication, par les particuliers, des données dites de « bien-être » aux assureurs, susceptibles de confusion avec les données de santé. Ces derniers pourraient ensuite, par la connaissance de ces données, et à l’encontre du droit au respect de la vie privée, conditionner le remboursement ou pas de certaines prestations et traitements à l’observance du traitement médical et à l’hygiène de vie, comme une activité physique. Est aussi soulevée la question de « l’interdiction – aux sociétés d’assurance santé complémentaire – de l’accès aux données de santé, patronymisées ou anonymisées, qu’elles ont le moyens de rapprocher des données individuelles en leur possession ». Cette problématique est mise en exergue à la fois par l’Office parlementaire d’évaluation des choix scientifiques et technologiques (OPECST) et par le Sénat à l’occasion des travaux préparatoires de la loi du 20 juin 2018 relative à la protection des données personnelles.
Toutefois, en parallèle le rapport note l’importance de l’innovation par la collecte et le traitement des données de santé qui ne devrait pas être trop restreinte dans la mesure où peuvent en découler des applications profitables à la santé des citoyens. A ce titre, la valorisation des données de santé reste un enjeu majeur, laquelle peut être envisagée par la création d’un Health Data hub national, nouvelle plateforme des données plus accessibles au profit de la recherche et de l’innovation.
De la valorisation des données de santé stockées par le système national des données de santé (SNDS) à la création d’un Health Data hub national
Bien que le système national des données de santé (SNDS) constitue une opportunité en matière de centralisation des données de santé, sa complexité le rend difficilement utilisable, notamment dans le domaine de la recherche en intelligence artificielle, ce qui justifie la création d’un Health Data hub national.
Le système national des données de santé (SNDS) : un potentiel de données de santé sous-exploité en raison de sa complexité
Créé par la loi de modernisation de notre système de santé du 26 janvier 2016, le SDNS centralise les données de l’assurance maladie, particulièrement les feuilles de soins (SNIIRAM), les données des hôpitaux (base PMSI), les données relatives aux causes médicales de décès (base CépiDC de l’Inserm) et prochainement les données relatives au handicap (en provenance des maisons départementales des personnes handicapées MDPH) et un échantillon de données des organismes d’assurance maladie complémentaire. Ces données diverses sont psydonymisées, un code alphanumérique remplaçant les informations identifiantes (noms, prénoms, adresses et numéro d’inscription au répertoire national d’identification des personnes physiques). Ce système, unique au monde, couvant 99% de la population française, géré par la Caisse nationale de l’assurance maladie (CNAM), est particulièrement attractif en matière de recherche.
A cet effet, les jeux de données agrégées ou les échantillons, extraits de ces bases, ont vocation à être ouverts à tous, pourvu que l’anonymisation soit garantie, sous réserve d’une homologation accordée par la CNIL. Toutefois, en cas de risque de ré-identification, le principe d’accès demeure restreint à un usage d’intérêt public. Dans cette hypothèse, certaines institutions et organismes, chargés d’une mission de service public, y ont un accès direct et permanent. Les autres utilisateurs sont tenus de requérir une autorisation de la CNIL pour des projets spécifiques, sauf pour « les catégories les plus usuelles de traitement » où une procédure d’examen simplifiée est organisée. Les finalités de promotion commerciale des produits de santé et de modulation des contrats d’assurances sont écartées. Deux circuits de prises de décisions distincts sont organisés selon les types de recherches entreprises. Pour les recherches impliquant la personne humaine, l’avis d’un comité de protection des personnes est nécessairement recueilli préalablement à l’autorisation accordée par la CNIL. Pour les études, évaluation ou recherches n’impliquant pas la personne humaine, les demandes d’accès au SNDS doivent être déposées auprès de l’Institut national des dépenses de santé (INDS), guichet unique, qui les transmets ensuite au comité d’expertise pour les recherches, les études et les évaluation dans le domaine de la santé (CEREES) chargé de délivrer un avis précédant l’autorisation de la CNIL[3].
Le rapport souligne que la SNDS reste sous exploitée en raison des limites tenant aux interconnexions des bases[4], à « l’éclatement des jeux de données », aux « données hétérogènes impliquant des efforts importants pour les numériser, les collecter, les rassembler et les harmoniser », à la « faible interopérabilité sémantique des données », à la « complexité des procédures d’accès aux données avec des gouvernances discrétionnaires, spécifiques à chaque source et organisées en silo »[5]. Est mentionnée son inadaptation en matière de développement de la recherche en intelligence artificielle[6] dans la mesure où les conditions d’accès restent trop rigides et inadaptées en termes d’architecture technique puisque cette base n’a pas été conçue à l’origine pour des « finalités de recherche, d’innovation ou de mise en place de nouvelles applications ». Il demeure par ailleurs difficile pour les concepteur d’anticiper en amont les capacités d’exploration et d’expérimentation, la démonstration préalable d’une finalité d’intérêt publique étant peu compatible avec cette démarche. De plus, l’obligation de non-réidentification empêche de suivre le patient dans son parcours de soins. Par conséquent, compte-tenu de ces divers obstacles, le rapport en vient à considérer que « cette complexité dissuade l’élaboration de projets conçus autour de ces bases de données, les délais d’accès étant peu compatibles avec le temps de l’innovation, surtout dans un contexte d’intensité concurrentielle ». Aussi, afin de remédier à ces difficultés, la création d’une nouvelle plateforme nationale, un Health Data hub national, est préconisée.
L’opportunité de créer un Health Data hub national au profit du développement de l’intelligence artificielle
De manière quasi-unanime, que ce soit par l’intermédiaire du rapport Villani ou par les experts auditionnés, la création d’un Health Data hub national a été mise en avant en vue d’assurer la « valorisation des données de santé » pour un meilleur accès, une plus grande mutualisation des données et un partage plus large des données « dans des conditions de sécurité satisfaisantes et selon des modalités d’accès fluidifiées, lisibles et standardisées ». Le Président de la République a annoncé sa création en l’érigeant en « axe majeur de la stratégie nationale d’intelligence artificielle » [7].
Plateforme de stockage et de traitement sécurisé, en vue de favoriser l’innovation, l’accès à l’ensemble des données du catalogue serait facilité et assorti d’exigences de qualité à l’égard de la donnée partagée et en matière de sécurisation élevée du traitement, ce, au profit des droits des patients en matière de la protection de leurs données personnelles. L’articulation de cette plateforme devra être envisagée pour être en lien avec le SNDS par des règles d’accès communes avec les bases de données existantes. Il est noté que « certaines évolutions législatives seront probablement nécessaires, notamment pour permettre l’appariement des données médico-administratives du SDNS avec les données provenant d’autres sources, telles que des données cliniques ou même des données génomiques », cette option étant pour l’instant interdite avec toutefois des dérogation pour un projet spécifique. A ce titre, outre le défi technique lié au matériel de niveau, aux certifications et à la cybersécurité et le défi légal et éthique concernant les délais de délivrances des autorisations nécessaires pour engager des projets de recherche, il conviendra de répondre au défi de la gouvernance afin de « décider comment les données vont être accessibles, par qui, qui aura la responsabilité, qui pourra décider de donner tel ou tel accord, etc »[8]. Un juste équilibre devra être trouvé entre l’exploitation des données et la protection des personnes dans la mesure où la pseudonymisation reste limitée et n’empêche pas la réitification des individus. Aussi, afin d’éviter une anonymisation trop brutale par le mélange de données de plusieurs individus, le rapport se réfère au rapport Villani préconisant la mise en place d’une « confidentialité différentielle » afin de « délivrer uniquement l’information nécessaire pour mener une recherche donnée, dans un cadre donné ».
Si la création d’un Health Data hub national a pour objectif d’assurer de meilleurs moyens de stockage et d’utilisation des données en vue du développement de la recherche et de l’innovation par de nouvelles modalités d’accessibilités et de partage, on pourra regretter que rien n’est envisagé concernant l’amélioration du système national des données de santé (SNDS), qui certes présente des écueils mais qui pourrait être amélioré par des règles similaires à celles envisagées pour le Health Data hub national. Par exemple, pourraient être préconisées des modalités d’enregistrement communes des données afin de pouvoir croiser les différentes sources de données. Quoi qu’il en soit, différentes propositions interviennent sur la qualité et la pertinence des données, ce qui constitue un gage majeur d’une meilleure utilisation de l’intelligence artificielle au profit de l’innovation.
La nécessité absolue d’agir sur la qualité et la pertinence des données au profit d’une recherche performante
Le rapport fait état de risques de biais dans l’apprentissage susceptibles de dégrader significativement la qualité des résultats produits par les algorithmes. Ceux-ci sont liés à la qualité et à la pertinence discutable, insuffisante voire parfois erronée des données imprécises ou mal qualifiés. Ces risques sont d’autant plus importants que les utilisateurs ont tendance à leur donner une confiance excessive et démesurée.
Les biais existent tout d’abord à travers les données contestables issues de certaines revues scientifiques peu scrupuleuses et générées par les chercheurs sous pression compte-tenu du contexte concurrentiel intense. D’autres biais peuvent apparaître compte-tenu de l’absence de différenciation entre les types de données recueillies, soit à l’occasion de consultations médicales ou paramédicales, soit en dehors de toute relation de soin, par le biais d’applications de santé ou via des capteurs localisés dans des objets de santé apportant des informations diverses telles que les calories ingérées, le rythme cardiaque, le nombre de pas journaliers. Bien que cette manne de données présente une opportunité majeure pour l’alimentation des algorithmes, elle présente néanmoins des risques dans le domaine de la santé si elle n’est pas rigoureusement exploitée en termes de pertinence. Ceci peut alors conduire à des « erreurs d’appréciation (qui) peuvent avoir des conséquences extrêmement dommageables, à l’occasion du diagnostic ou dans la détermination du traitement ». Certains biais peuvent aussi intervenir par l’absence de prise en considération des « signaux faibles » compte-tenu des limites du traitement statistique des données par les algorithmes ou encore par la tendance à délaisser des données dites aberrantes car rattachées à un élément individuel, les résultats privilégiant l’intérêt collectif.
Le rapport met en avant l’attention à apporter à la conception des bases de données en matière d’échantillonnage, notamment concernant la représentation effective de l’ensemble des catégories de personnes, condition sine qua non de la représentativité des données utilisées par les algorithmes. Par exemple, un effort doit être réalisé concernant la faiblesse du recueil des données des personnes âgées en raison de l’utilisation plus limitée de celles-ci aux outils du numérique. Les algorithmes, ne bénéficiant pas de données les concernant, risquent de ne pas diagnostiquer des pathologies qui leur sont propres.
Au-delà des risques de biais liés à la qualité et à la pertinence des données, le rapport met en avant la nécessité de développer leur annotation (adjoindre à une donnée diverse mentions appelées métadonnées, pour en qualifier le contenu), leur catégorisation (classement tel que données cliniques, génétique, environnementales, etc) et leur harmonisation afin de faciliter leur exploitation optimale par les algorithmes. L’enjeu est ainsi « de transformer une donnée brute en une information valorisable par l’algorithme » au profit d’une utilisation utile comme cela a été le cas en imagerie médicale pour le diagnostic de la rétinopathie diabétique grâce à l’étiquetage par les ophtalmologues de photographies du fond de l’œil. Ces efforts de rigueur concernant la qualité, la pertinence, l’annotation des données sont d’autant plus justifiés que les algorithmes deviendront de plus en plus autonomes par la suite.
Force est de constater que le rapport insiste opportunément sur toute l’organisation technique et qualitative des données exploitées par l’intelligence artificielle au profit d’un niveau satisfaisant des recherches menées dans un contexte de concurrence internationale et d’exigence de diagnostics performants en matière de santé au profit des patients. Le rapport met par ailleurs en avant toute une réflexion éthique et normative sur les incidence de l’intelligence artificielle, ce qui constitue un autre défi pour le législateur.
Lire la suite de cet article le mois prochain
Notes :
[1] : «….le traitement des données génétiques, des données biométriques aux fins d’identifier une personne physique de manière unique, des données concernant la santé ou des données concernant la vie sexuelle ou l’orientation sexuelle d’une personne physique sont interdits ».
[2] Les données personnelles stockées localement et sans possibilités de connexions et de partage avec l’extérieur ne sont pas soumises à la réglementation susvisée.
[3] Le rapport se rapporte pour ce descriptif à : Mme Albane Gaillot, Avis présenté au nom de la commission des affaires sociales sur le projet de loi relatif à la protection des données personnelles, n° 579, XVe législature, 23 janvier 2018.
[4] Audition de Mr David Gruson.
[5] Ces descriptions sont issues du rapport de la mission de préfiguration sur le Health Data hub constituée à la demande du ministère des solidarité et de la santé.
[6] Rapport Villani qui explique par ailleurs que les données à l’origine étaient créées à des fins administratives.
[7] Cette annonce a eu lieu le 29 mars 2018
[8] Ces défis sont exposés dans le rapport Villani. Pour la présentation du rapport Villani : B. BEVIERE-BOYER, « Le défi de la santé transformée par l’intelligence artificielle : rapport Villani du 5 avril 2018 », Revue générale de droit médical (RGDM), n°67, Rubrique Ethique et droit du vivant, Les Etudes Hospitalières, Juin 2018, p.177-180. https://www.bnds.fr/revue/rgdm/rgdm-67/ethique-et-droit-du-vivant-8153.html; https://www.ladocumentationfrancaise.fr/rapports-publics/184000159/index.shtml
[9] Sur la question pour de pertinentes propositions mentionnées dans ces développements et issues du rapport cité dans cette note : B. BEVIERE-BOYER, « Le nouveau défi d’une législation sur le numérique en santé à envisager à l’occasion de la prochaine loi de bioéthique – Rapport « Numérique et santé : quels enjeux éthiques pour quelles régulations ? » du groupe de travail commandé par le Comité consultatif national d’éthique pour les sciences de la vie et de la santé, avec le concours de la commission de réflexion sur l’éthique de la recherche en sciences et technologies du numérique d’Allistene (CERNA) du 19 novembre 2018 ». Revue générale de droit médical (RGDM), n°69, Rubrique Ethique et droit du vivant, Les Etudes Hospitalières, Mars 2019, 2,5p,
Nous remercions vivement le Bénédicte BEVIERE-BOYER, Docteure en Droit, Maître de Conférences-HDR en Droit Privé à l’UFR de l’Université de Paris 8 , co-directrice scientifique du Cycle de Droit et Bioéthique à la Cour de Cassation, de portée nationale et internationale, organisatrice de colloques sur des thématiques d’actualité en rapport avec le Droit de la Santé en collaboration avec les Universités chinoises et québécoises, pour partager son expertise professionnelle pour nos fidèles lecteurs de www.managersante.com
Biographie de Bénédicte BEVIERE-BOYER, :
Bénédicte BEVIERE-BOYER, Docteur en Droit, est Maître de Conférences-HDR en Droit Privé à l’UFR de l’Université de Paris 8 (Unité de Formation et de Recherche). Elle est également directrice adjointe du Centre de recherches juridique de droit privé et Droit de la Santé (EA1581). Elle assure la co-direction scientifique d’un Cycle de Droit et Bioéthique à la Cour de Cassation (entrée libre), de portée nationale et internationale, sur des thématiques d’actualité en rapport avec le Droit de la Santé, le numérique, (Médecine personnalisée, Big Data, Humain en transformation transhumanisme, vieillissement, Fin de vie). Elle organise régulièrement des colloques sur des thématiques d’actualité en collaboration avec des Universités chinoises et québécoises. Elle conduit ses travaux de recherches pluri et interdisciplinaires dans les domaines du droit de la bioéthique, de l’éthique et du numérique. Elle dirige le M1 Droit de la santé et organise une nouvelle formation en M2 Droit de la santé sur le Numérique et l’Intelligence Artificielle (I.A.). Auteur d’un ouvrage et ayant dirigé plusieurs ouvrages collectifs, elle a publié de nombreux articles sur la recherche, l’innovation, le numérique, les données de santé, la relation de soins, la protection des droits de la personne, la bioéthique, le Dossier Médical Personnel, etc…. Elle enseigne sur des thématiques autour droit de la santé: droits des patients, droit de la recherche et de l’innovation, droit du médicament, déontologie, éthique, mais aussi sur l’éthique dans le domaine des assurances. Auparavant, elle a enseigné dans le cadre du cursus universitaire français classique (LMD), essentiellement en droit privé général et en droit des affaires.
ÉVÉNEMENTS 2019 A NE PAS MANQUER
Mardi 16 mai 2019
de 17 heures à 19 heures
Lieu : Grand’chambre de la Cour de cassation, Paris 1er
(entrée par le 5 quai de l’Horloge),
THEME :
« Numérique et santé
(Intelligence Artificielle, données de santé, Big Data) »
Modérateur : Bénédicte Bévière-Boyer, Maître de conférences à l’université Paris 8
Intervenants :
- Cédric VILLANI, Député de l’Essone et mathématicien (sous réserve) et
- Lydia MORLET, Maître de conférences en droit privé, vice-doyen de la faculté de droit de l’université Paris Descartes en charge du numérique
Entrée libre, sur inscription préalable auprès de la Cour de cassation – Télécopie : 01 44 32 78 28 – Internet : www.courdecassation.fr
Manifestation validée au titre de la formation continue des avocats et des magistrats (Les attestations de présence seront délivrées sur demande à la fin de chaque colloque)
Cycle de DROIT & BIOÉTHIQUE
avec Bénédicte BEVIERE-BOYER
5 quai de l’Horloge
75001 Paris
www.courdecassation.fr
CALENDRIER 2019 : en ligne
Présentation du Cycle :
« La bioéthique s’intéresse aux questions éthiques soulevés par les progrès technoscientifiques. La loi a vocation à encadrer ces progrès afin de s’assurer que la science reste au service de la personne et non l’inverse.
C’est dans cette optique qu’ont été adoptées les différentes lois bioéthiques dès 1994. Parce que la médecine est en constante évolution, ces lois font l’objet d’un réexamen régulier. La prochaine révision, prévue en 2018, sera sans doute l’occasion de combler les lacunes ou imperfections de la loi auxquelles le juge est régulièrement confronté.
Les progrès de la médecine concernent tous les stades de la vie de la personne. Ses incidences juridiques peuvent être mesurées de la conception à la mort de la personne. »
Et suivez l’actualité sur www.managersante.com,
Officiel du Salon Européen Paris Healtcare Week 2019
Paris-Porte de Versailles [#PHW19] du 21>23 Mai 2019
Cliquez sur les étoiles et votez :
Une réponse