Europe : une directive sur la protection des données personnelles de santé

A l'issue de quatre années de négociations entre la Commission européenne et le Parlement, un règlement européen relatif à la protection des données personnelles a été publié le 4 mai 2016. Ses quatre-vingt-douze articles seront directement applicables à l'ensemble des États membres de l'Union européenne à compter du 25 mai 2018. Ce règlement propose, pour la première fois, une définition des données de santé à caractère personnel, à l'échelle européenne. La protection de ces données sera renforcée, grâce notamment à l'instauration d'un droit à l'oubli. Il prévoit, en outre, la désignation obligatoire d'un « délégué à la protection des données » pour les responsables du traitement des données à caractère personnel au sein des organismes publics.

France : le potentiel des données personnelles de santé

Chaque année, pas moins de 1.2 milliard de feuilles de soins, cinq cents millions d’actes médicaux et onze millions de séjours hospitaliers transitent par le système national d’information inter-régimes de l’assurance maladie (Sniiram), faisant de celui-ci « l’une plus grandes bases médico-administratives au monde. » Cette base comprend deux catégories de données : les données agrégées, traitées afin d’obtenir des informations anonymes sur des groupes d’individus ayant des caractéristiques communes (hommes de cinquante ans présentant un diabète de type 2, par exemple), et les données à caractère personnel. À quoi pourraient bien servir ces données à caractère personnel ?, s’interroge Cécile Thibert, du Figaro. Les perspectives ne manquent pas : évaluation des politiques de santé, amélioration de l’offre de soin, étude des maladies et de l’efficacité des traitements… Et, bien sûr, une surveillance accrue de la sécurité sanitaire, y compris par des lanceurs d’alerte dans la société civile. Dans un rapport publié le 4 mai 2016, la Cour des comptes estime que « les pouvoirs publics font un usage de nos données de remboursements anormalement limité au regard de l’apport que pourrait représenter la base, en matière de suivi des dépenses d’assurance maladie et d’amélioration des connaissances sur les patients, les professionnels de santé et les parcours de soins. L’État se prive ainsi d’un outil précieux pour le pilotage du système de santé ». Le « chemin vers la transparence » est long, déclare quant à lui l’Observatoire citoyen des restes à charge en santé, créé en 2013 par le Collectif interassociatif sur la santé (CISS), qui regroupe quarante associations intervenant dans le champ de la santé ; le magazine 60 millions de consommateurs, édité par l’Institut national de la consommation ; et la société Santéclair, spécialisée dans l’information et l’orientation dans le système de soins, filiale de plusieurs complémentaires santé. « L’INDS doit réussir l’ouverture régulée des données de santé votée par le législateur, sauf à ce qu’un autre législateur demain, ne se préoccupe d’une ouverture des données adaptées aux défis de notre temps : pertinence des soins, sécurité des soins, équilibre des comptes, baisse des restes à charge, lutte contre les inégalités de santé… La capacité de l’Institut à répondre rapidement aux demandes d’accès, en particulier de la société civile, validera – ou non – le nouveau cadre législatif et institutionnel. »

France : les données personnelles de santé accessibles aux assurances et laboratoires

« Une secousse a bousculé le monde très verrouillé des données de santé », écrit Cécile Thibert, du Figaro. Le Conseil d’État a en effet demandé au ministère de la Santé d’annuler, sous quatre mois, les dispositions d’un arrêté basé sur une loi de 2013, qui en interdisait l’accès aux organismes à but lucratif. Le Conseil d’État avait été saisi par un distributeur pharmaceutique dénonçant un « excès de pouvoir » du ministère. Cette décision intervient au moment où une nouvelle loi de santé promulguée en janvier 2016, qui prévoit un accès très contrôlé à ces données, est en train d’être mise en place. Cette loi confirme l’ouverture inconditionnelle et gratuite à tous des données agrégées (open data), qui ne représentent aucun risque pour la vie privée. En revanche, elle prévoit des conditions d’accès très strictes aux données de la seconde catégorie, à caractère personnel. Seuls les organismes dont l’objectif est de réaliser une étude d’intérêt public pourront y prétendre. Il reviendra alors à l’Institut national des données de santé (INDS) de juger de l’intérêt public de l’étude en question. Puis un comité scientifique devra examiner le protocole scientifique, avant que la CNIL (Commission nationale de l’informatique et des libertés) ne se prononce sur le respect de la vie privée. Mais, alors que les décrets assurant la mise en place de ces trois instances de contrôle ne sont toujours pas publiés, la décision du Conseil d’État bouscule toute cette organisation en autorisant les demandes des organismes à but lucratif.

Traitements de données : la CNIL allège les formalités dans le secteur social et médico-social

La Commission nationale de l’informatique et des libertés (CNIL) a adopté trois délibérations portant autorisation unique de traitements de données à caractère personnel afin de « simplifier les formalités des organismes œuvrant dans le champ de l’action sociale et médico-sociale ». Cette « première brique du pack de conformité “social” » doit leur permettre « de créer des traitements de données offrant suffisamment d’informations pour opérer un suivi personnalisé et efficace des personnes accompagnées, sans porter atteinte au respect de la vie privée », explique-t-elle. L’autorisation unique n°47 concerne les traitements mis en œuvre par les établissements, services ou organismes intervenant auprès des personnes âgées ou des personnes handicapées aux fins d’assurer un accompagnement et un suivi personnalisé tout au long de leurs parcours, et un partage sécurisé des données entre les acteurs sociaux, médicaux et paramédicaux. Ne sont pas couverts par cette autorisation unique, les traitements comportant le numéro de sécurité sociale qui sont mis en œuvre pour le compte de l’État, d’une personne morale de droit public ou de droit privé gérant une mission de service ainsi que les traitements ayant pour objectif le suivi de la procédure de signalement des situations de maltraitance. Toutes les données figurant dans l’autorisation unique n’ont pas vocation à être systématiquement collectées. Seules les données strictement nécessaires à la mise en œuvre du suivi social et médico-social de la personne concernée, ou de son représentant légal, peuvent faire l’objet d’un traitement. La CNIL rappelle que des données à caractère personnel ne peuvent être collectées que si elles sont adéquates, pertinentes et non excessives au regard de la finalité poursuivie. Les données ne peuvent être conservées dans la base active au-delà de deux ans à compter du dernier contact avec la personne ayant fait l’objet de ce suivi, sauf dispositions législatives ou réglementaires contraires. Elles doivent être supprimées sans délai en cas de décès de la personne concernée.

Commission nationale informatique et libertés. Autorisation unique AU-047. Accompagnement et suivi social et médico-social des personnes handicapées et des personnes âgées. www.cnil.fr/fr/declaration/au-047-accompagnement-et-suivi-social-et-medico-social-des-personnes-handicapees-et-des (texte intégral). JO, 12 mai 2016.

www.legifrance.gouv.fr/affichTexte.do?cidTexte=JORFTEXT000032516733&fastPos=3&fastReqId=1768444174&categorieLien=id&oldAction=rechTexte (texte intégral). Actualités sociales hebdomadaires, 24 mai 2016.

Financement de la dépendance : les entreprises devront-elles payer ?

Dans un article intitulé « Assurance dépendance, un bâton de vieillesse encore fragile », Fabien Humbert, du Nouvel économiste, écrit : « qui a envie de s’imaginer dans l’incapacité d’accomplir les tâches les plus simples de la vie quotidienne, telles que s’habiller, se lever, se laver ou manger ? Personne. Et pourtant, tout le monde sera un jour concerné directement ou indirectement par la dépendance. Or la dépendance coûte cher et la solidarité nationale, sous forme de retraite, ne suffit pas à la financer. Des produits d’assurance existent, même s’ils peinent encore à trouver leur public. L’État sera-t-il obligé de légiférer pour imposer aux entreprises et aux salariés de financer la dépendance ? » Pour Arnaud Berjon, directeur général adjoint de Cipres Assurances, cette hypothèse est crédible : « pour l’instant, l’État n’est pas arrivé à mettre en place le cinquième risque de sécurité sociale [celui de la dépendance]. Cela coûterait trop cher, mais il peut obliger les entreprises à le faire. Et peut-être qu’un jour, il rendra le financement collectif de ce risque obligatoire ». Mais cela viendrait encore alourdir les charges sur les entreprises et grèverait leur compétitivité. Les salariés ne seraient quant à eux pas forcément demandeurs, car comme l’ensemble des Français, ils ne souhaitent pas voir en face le problème de la dépendance. On peut aussi se demander si c’est aux entreprises de financer un risque qui arrivera longtemps après que le salarié aura pris sa retraite, vingt à trente ans plus trad. Certaines entreprises de taille importante, dont la maturité est forte, ont cependant mis en place ces produits. Si bien qu’aujourd’hui, trois cent cinquante mille personnes sont couvertes par ces contrats collectifs en France, rappelle le Nouvel économiste.

Retour haut de page