Exit

La transformation numérique des industries des produits de santé a pour colonne vertébrale le double numérique de l’individu avec ses données. De petits objets connectés ont fait intrusion dans sa vie pour lui permettre de gérer son bien-être. En tant que patient, il devient plus acteur de sa santé. La technologie lui permet d’interagir désormais avec son médecin où qu’il se trouve. En contrepartie, il se pose moins de questions quant à la protection de ses données.  Il n’hésite pas à les divulguer lui-même sur les réseaux sociaux. Est-ce sans risques ? Cette libération des données de bien-être et de santé, à des fins préventives, concerne-t-elle toutes les parties prenantes ?

 

La donnée personnelle au cœur de la transformation des industries des produits de santé, mais pas que…

Les technologies « Social, Mobility, Analytic, Cloud », ou encore S.M.A.C. selon l’acronyme retenu par Gartner Group, sont-elles en train de chambouler en profondeur le modèle économique des industries des produits de santé ?  L’étude réalisée par le cabinet Kurt Salmon de mai à septembre 2013 auprès de 40 laboratoires pharmaceutiques tendrait à le prouver.[1]

Les exemples d’utilisation de ces technologies en télémédecine, à des fins de bien-être ou à l’occasion d’un traitement médical, sont là pour témoigner d’un changement radical dans les comportements entre le patient, son médecin et le système de soins tout entier.

Ceux-ci ont de commun qu’ils mettent tous le patient et son médecin au cœur du modèle économique, et partant les données les concernant.

C’est le cas des médias sociaux véhiculant des messages relatifs aux effets indésirables de médicaments, des « quantified-self » mesurant le bien-être, des pilules intelligentes diffusant des substances de façon ciblée, des applications de « e-detailing » venant en complément de la visite médicale, des plateformes collaboratives facilitant les échanges entre professionnels de santé ou encore des dispositifs médicaux permettant au professionnel de santé de contrôler le traitement prescrit à son patient.

L’agrégation de ces technologies doit permettre en théorie la réalisation d’analyses prédictives et une meilleure exploitation de la donnée, au profit des individus concernés et de la collectivité toute entière.

 

La formidable puissance de calcul de ces technologies est donc en principe au service de l’individu. Mais est-ce réellement le cas ? N’a-t-on pas ouvert la boîte de Pandore ?

Derrière chacun de ces SMACS existe un écosystème de prestataires et de fournisseurs qui auront d’une manière ou d’un autre accès à un type de données, qu’il s’agisse de données de bien-être, de santé, voire médicales, anonymes ou personnelles, sans avoir nécessairement conscience qu’elles participent d’une façon ou d’une autre à un nouveau système d’information de santé.

Arrêtons-nous sur le cas des App de bien-être téléchargées sur les smartphones. Sans rentrer ici dans le débat de la frontière poreuse existant entre la donnée de santé et celle de bien-être, on peut observer que leurs utilisateurs semblent avoir sacrifié, pour la plupart, la protection de leurs données au côté ludique ou à l’intérêt de l’application[2].

Et pourtant, ces applications, lorsqu’elles ne collectent pas ouvertement les données de l’utilisateur, intègrent aussi des traceurs d’activité, à l’instar des cookies sur le web, qui collectent de multiples données sans que l’utilisateur en soit nécessairement informé au préalable pour manifester, conformément à la loi informatique et libertés[3], un consentement libre, spécifique et éclairé.

Sait-on que ces données ne peuvent être lues, en vertu de la loi, tant que l’utilisateur n’a pas donné ainsi son accord ?

Ces données sont collectées, agrégées avec des données émanant d’autres sources (les « like » des réseaux sociaux,  les données de géolocalisation, les identifiants de l’App et du smartphone, par exemple) et restituées sous la forme de diagrammes, d’inférences, de segmentation comportementale au profit de l’éditeur de l’App, désireux le cas échéant de pouvoir les monétiser.

Elles sont hébergées dans le Cloud public, dans un environnement a priori sécurisé d’après les hébergeurs, certaines pour une durée indéterminée, alors que la CNIL recommande une durée de conservation de 13 mois.

Elles auront, la plupart du temps, traversé l’Atlantique pour atteindre le « data center » de Menlo Park où se trouve l’entrepôt de données. L’auront-elles fait en exécution des clauses contractuelles type,[4] ou dans le cadre du Safe Harbor ?

Dans cet écosystème, qui des éditeurs de traceurs, d’App, des annonceurs éventuels, devra assumer le rôle de responsable du traitement vis-à-vis de la CNIL ? Seront-ils tous responsables vis-à-vis de l’utilisateur, vis-à-vis de la CNIL? Qui détermine réellement les « moyens » et « finalités » ? De quels traitements ?

La réponse à ces questions, en apparence simple, nécessitera pourtant la mobilisation de compétences techniques, juridiques et fonctionnelles.

S’il en ressort, par exemple, que l’éditeur de l’App a le moyen de désactiver ou de choisir les traceurs et leurs finalités, on pourra vraisemblablement en déduire que le fournisseur des traceurs ne joue un rôle que de « sous-traitant » au sens de la loi. Il ne serait alors pas directement comptable du respect de la loi, en l’état actuel du droit.

L’éditeur de l’App, qu’il soit assureur, Groupe de Protection Sociale, ou courtier d’assurances cherchant, via l’utilisation du Big Data, à fidéliser ses adhérents ou assurés, devra en revanche, sous peine de sanctions pénales, s’assurer que son App recueille bien le consentement préalable de l’utilisateur, s’il entend y insérer des moyens logiques de traçage.

Les contrats qui lient les différents partenaires participant au développement et à l’exploitation des différents systèmes informatiques intervenant dans ce processus de collecte de données devront régler la question de la répartition des tâches et responsabilités entre eux, y compris celle relatives aux formalités déclaratives auprès de la CNIL.

Enfin, la question de la sécurité de données pouvant être protégées par le secret médical reste centrale. Qui en sera garant au regard de la multiplicité des intervenants, qu’ils soient développeurs, éditeurs, tiers mainteneurs, hébergeurs ?

Les données seront-elles anonymisées, chiffrées ? Selon un procédé autorisé par la CNIL ? Ou permettront-elles, au contraire, d’identifier un individu d’une manière ou d’une autre ?

La nature de ces données imposera-t-elle de négocier des conditions de sécurité particulières avec Amazon AWS ? Données de bien-être ou données de santé ? L’hébergeur devra-t-il dans certains cas être agréé pour exercer son activité[5] ?

 

Ce nouveau paradigme impose de repenser les modèles, de définir une véritable stratégie digitale multifacettes avec une approche pluridisciplinaire.

Celle-ci ne pourra fonctionner de façon durable qu’en respectant un équilibre empreint de transparence (devoir d’information préalable pour un consentement éclairé) et de responsabilisation des différents acteurs dans l’usage de ces technologies.

Le contrat, les chartes, les codes de bonne conduite associés à des labels et la technologie elle-même pourront venir épauler cette stratégie :

• La technologie, parce que la nécessité d’un consentement préalable ne pourra se faire qu’au moyen d’un « système » convivial et adapté à la taille de l’écran d’un smartphone, et « résulter de paramètres appropriés de son dispositif de connexion ou de tout autre dispositif placé sous son contrôle ».[6]

• Les contrats et chartes, pour définir les rôles de chacun et une ligne de conduite.

On l’a vu, certaines données, y compris de santé, sont largement divulguées par les utilisateurs des technologies, mieux (ou plus) informés sur leur propre santé, qui n’hésitent pas à échanger des informations sensibles sur les réseaux sociaux, ou à utiliser des objets connectés, sans se soucier vraiment de la protection des données collectées.

Le monde des complémentaires santé s’intéresse également aux objets de santé connectés et à leur impact sur la prévention.

A l’opposé, lorsque cela serait utile à la collectivité d’utiliser le Big Data et de libérer, selon les conditions prévues par les chapitres IX[7] ou X[8] de la loi Informatique et libertés, 450 téraoctets de données de santé contenues dans les bases du SNIIRAM[9] pour servir la recherche (épidémiologie, pharmacovigilance, maladies chroniques, etc.), la veille sanitaire et  une meilleure prise en charge du patient, il semble que l’on soit encore confrontés en France à des blocages.

Comment se justifie cette position alors qu’Outre-manche, aux Etats-Unis, en Norvège et dans bien d’autres pays, il est question de fluidifier l’information et de les exploiter en Open Data pour réaliser des analyses prédictives au profit de tous, y compris pour une meilleure gestion des systèmes de santé ?

Une prise de conscience politique de la révolution numérique qui se déroule sous nos yeux s’avère indispensable.

La technologie nous donne une chance inespérée de mieux combattre les maladies, de les prévenir, d’améliorer la qualité des soins, d’optimiser la gestion de l’Assurance maladie.

Tout est affaire d’équilibre. D’un côté, la nécessaire protection des données de santé, dont la collecte est en principe interdite, sauf dans les cas prévus par les alinéas 6 et 8 de l’article 8 de la loi Informatique, Fichiers et Libertés[10]. De l’autre, un progrès réel et durable s’il repose sur un usage responsable et normé des S.M.A.C.

Hervé Gabadou, avocat à la Cour

herve.gabadou@sea-avocats.com

 

Ligne-2

Herve GABADOU

Inscrit au barreau de Paris depuis janvier 1987 et avocat expert en droit de l’informatique depuis 1990, Hervé Gabadou a récemment rejoint le cabinet SEA-avocats, en qualité d’associé.

Il intervient plus particulièrement, tant en conseil qu’en contentieux, sur des projets informatiques et des opérations d’externalisation complexes dans les secteurs réglementés, principalement l’assurance et la santé. Hervé a été chargé d’enseignement en DESS de Méthodes expertales et arbitrales en informatique et techniques associées à Paris II et a été nommé « Individual – Outsourcing Lawyer of the year in France » par Global Law Experts (édition 2014). Il est recommandé par les principaux annuaires d’avocats.


[1] Digital Pharma « What impact on the Business Organization? »

[2] Ce peut-être, par exemple, pour bénéficier d’une complémentaire santé intéressante

[3] Article 32-II de la loi n°78 du 6 janvier 1978 modifiée

[5] Article L 1111-8 et R 1111-9 du Code la santé publique

[6] Article 32 II loi du 6 janvier 1978 modifiée

[7] Traitements de données à caractère personnel ayant pour fin la recherche dans le domaine de la santé

[8] Traitements de données à caractère personnel à des fins d’évaluation et d’analyse des pratiques ou des activités de soin et de prévention

[9] Système national d’informations inter-régimes de l’Assurance maladie

[10] Al 6 Les traitements nécessaires aux fins de la médecine préventive, des diagnostics médicaux, de l’administration de soins ou de traitements, ou de la gestion de services de santé et mis en œuvre par un membre d’une profession de santé, ou par une autre personne à laquelle s’impose en raison de ses fonctions l’obligation de secret professionnel prévue par l’article 226-13 du code pénal.

Al 8 Les traitements nécessaires à la recherche dans le domaine de la santé selon les modalités prévues au chapitre IX.

Close
Go top