La Cour des comptes formule 13 recommandations en open data santé, aux termes d’un rapport publié le 3 mai 2016.
La Cour des comptes a publié, le 3 mai 2016, un rapport relatif aux données personnelles de santé gérées par l’Assurance maladie (1), demandé par la Commission des affaires sociales et la mission d’évaluation et de contrôle des lois de financement de la sécurité sociale de l’Assemblée nationale.
Open data santé et SNDS
Le Système National d’Information Inter-Régimes de l’Assurance Maladie (SNIIRAM) a été créé par la loi de financement de la sécurité sociale pour 1999 (2) dans le but d’améliorer la qualité des soins, la gestion de l’assurance maladie et d’assurer la transmission aux prestataires de soins des informations pertinentes relatives à leur activité. Cette base de données met à disposition de ses destinataires les informations hospitalières issues du Programme de médicalisation des systèmes d’information (PSMI), celles relatives aux décès, et celles relatives aux soins ambulatoires.
L’article 193 de la loi de modernisation de notre système de santé du 26 janvier 2016 (3) a mis en place un véritable « open data santé » avec la création du Système National des Données de Santé (SNDS), intégrant notamment les données du SNIIRAM (4).
Organisation du SNDS
La Cour des comptes a mis en exergue les fragilités du SNIIRAM et les points d’amélioration à apporter au SNIIRAM et donc au SNDS. Elle considère comme prioritaire la sécurisation de l’existant, l’amélioration de la gouvernance et l’assurance de la fluidité des accès selon une approche à la fois rigoureuse et ouverte, afin d’encourager l’utilisation des données de santé à des fins d’intérêt général.
Outre les recommandations visant à améliorer la qualité des données et la gestion financière du SNIIRAM, elle souhaite, dans un objectif constant de construction d’un open data santé, optimiser l’exploitation de ces données vers de nouvelles utilisations, notamment, à des fins de gestion du risque, pour sanctionner plus systématiquement les comportements abusifs, fautifs et frauduleux, mais également intensifier l’utilisation du SNIIRAM par les pouvoirs publics et tout autre opérateur.
Finalités poursuivies par le SNDS
S’agissant du SNDS, elle recommande de hiérarchiser, dans le prolongement de la loi de modernisation de notre système de santé (3), les finalités poursuivies par le SNDS, tels que détaillées à l’article L 1461-1-III du Code de la santé publique (4), afin de définir les investissements à consentir et les accès permanents et ponctuels à autoriser. En effet, le SNDS vise à la mise à disposition des données de santé pour contribuer :
« 1° A l’information sur la santé ainsi que sur l’offre de soins, la prise en charge médico-sociale et leur qualité ;
2° A la définition, à la mise en œuvre et à l’évaluation des politiques de santé et de protection sociale ;
3° A la connaissance des dépenses de santé, des dépenses d’assurance maladie et des dépenses médico-sociales ;
4° A l’information des professionnels, des structures et des établissements de santé ou médico-sociaux sur leur activité ;
5° A la surveillance, à la veille et à la sécurité sanitaires ;
6° A la recherche, aux études, à l’évaluation et à l’innovation dans les domaines de la santé et de la prise en charge médico-sociale ».
Gestion du SNDS
Le rôle des différents acteurs dans la gestion du pilotage et des accès au SNDS devra également être précisé. En effet, la gestion technique du SNDS est donnée à la Caisse Nationale de l’Assurance Maladie des Travailleurs Salariés (CNAMTS). Quant à l’Institut National des Données de Santé (INDS) nouvellement créé par la loi de modernisation de notre système de santé (3), il se voit confier des missions diverses non limitatives (5) :
« 1° De veiller à la qualité des données de santé et aux conditions générales de leur mise à disposition, garantissant leur sécurité et facilitant leur utilisation dans le respect de la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés ;
2° D’assurer le secrétariat unique mentionné à l’article 54 de la même loi ;
3° D’émettre un avis sur le caractère d’intérêt public que présente une recherche, une étude ou une évaluation, dans les conditions prévues au même article 54 ;
4° De faciliter la mise à disposition d’échantillons ou de jeux de données agrégées mentionnées au V dudit article 54, dans des conditions préalablement homologuées par la Commission nationale de l’informatique et des libertés ;
5° De contribuer à l’expression des besoins en matière de données anonymes et de résultats statistiques, en vue de leur mise à la disposition du public ».
Protection des données à caractère personnel
Enfin, la Cour des comptes recommande de simplifier les procédures devant la Commission nationale de l’informatique et des libertés (Cnil) pour l’accès ponctuel aux données du SNDS, par la mise en place d’une politique de contrôle a posteriori et d’allègement des formalités a priori.
La mise à disposition des données à caractère personnel du SNDS pour permettre des traitements à des fins de recherche, d’étude ou d’évaluation contribuant à l’une des finalités du SNDS et répondant à un motif d’intérêt public nécessite une autorisation préalable de la Cnil sur le fondement du chapitre IX de la loi Informatique et libertés (6), après avis du comité d’expertise pour les recherches, les études et les évaluations dans le domaine de la santé et, le cas échéant de l’INDS.
La Cour préconise l’adoption par la Cnil d’une méthodologie de référence comme l’y autorise l’article 54 de la loi Informatique et libertés (6) et permettant aux demandeurs réalisant des recherches, études ou évaluations d’adresser une simple déclaration de conformité à la Cnil. De même, des autorisations cadres ou uniques pour les traitements non soumis au chapitre IX de la loi Informatique et libertés devraient également être envisagées comme l’autorise l’article 25 de ladite loi (6).
Ces décisions devraient être envisagées selon des priorités concertées avec l’Etat et l’INDS.
Marguerite Brac de la Perriere
Aude Latrive
Lexing Santé numérique
(1) Cour des comptes, Rapport du 3-5-2016, « Les données personnelles de santé gérées par l’assurance maladie » (open data santé).
(2) Loi 98-1194 du 23-12-1998, CSS art. L161-28-1 et Arr. du 19-7-2013.
(3) Loi 2016-41 du 26-1-2016 de modernisation de notre système de santé.
(4) Art. L1461-1 du Code de la santé publique.
(5) Art. L1462-1 du Code de la santé publique.
(6) Loi 78-17 du 6-1-1978.