En matière de données de santé, la France est à la traîne. Telle est la conclusion d’un rapport publié le mois dernier, à la demande de trois ministères. Mais les conclusions ne s’arrêtent pas là : le Health Data Hub doit quitter son hébergement chez Microsoft, être refondé et renforcé. Détails.
Le Health Data Hub a été créé en 2019 avec une mission aussi simple qu’ambitieuse : devenir le guichet unique de toutes les demandes de traitement secondaire des données de santé. Cette création répondait au constat, tout aussi simple, que la France était en retard sur cette exploitation et que les procédures étaient trop complexes pour permettre un développement rapide.
Avant d’aller plus loin, précisons ce que l’on entend par traitements primaire et secondaire. Le premier désigne l’utilisation que l’on connait : la collecte des données lors de la prise en charge des patients. On parle ici, notamment, de tout ce qui touche aux informations traitées par la CNAM (Caisse nationale d’assurance maladie). À titre d’exemple, le SNIIRAM (système national d’information inter-régimes de l’assurance maladie) rassemble les informations de 1,2 milliard de feuilles de soin.
Le traitement secondaire désigne l’utilisation des données pour tous les autres besoins. C’est le cas de la recherche, l’amélioration de la qualité des soins, et bien sûr tout ce qui est lié à l’IA. Une masse d’informations aussi colossale promet en effet des découvertes potentiellement puissantes, susceptibles d’aider à mieux dépister les maladies, à analyser des effets secondaires des traitements, d’améliorer l’efficacité des essais cliniques, etc.
C’est pour répondre à la multiplicité des bases et à la complexité du parcours d’obtention des autorisations que le Health Data Hub (HDH) a été créé. Notez que la même année a été créé un Comité stratégique des données de santé. Sa mission : coordonner la politique générale d’utilisation secondaire des données de santé.
Face aux différents problèmes rencontrés ces dernières années par le HDH et aux multiples enjeux de cette utilisation secondaire, une mission a été formée pour faire le point. Elle a été commandée en mai de l’année dernière par les ministres de l’Économie, des finances et de la souveraineté industrielle et numérique, de l’Enseignement supérieur et de la recherche, ainsi que de la Santé et de la prévention. Ses conclusions ont été publiées le 18 janvier.
Le HDH aligne un certain nombre de succès
Créé avec la volonté d’en faire un guichet unique pour toutes les demandes de santé n’impliquant pas la personne humaine, le HDH est aujourd’hui plébiscité pour la qualité de son accompagnement, selon le rapport. « Son expertise est désormais largement mise à profit de la constitution des entrepôts de données de santé hospitaliers et d’un entrepôt de données de médecine de ville, dans le cadre d’un appel à projets de France 2030 », indiquent ainsi les auteurs.
Sont également évoqués les efforts du Hub dans l’organisation de formations et d’ateliers de sensibilisation à l’utilisation des données de santé. Pour les auteurs du rapport, le HDH joue un rôle déterminant dans la montée en compétences, aussi bien « de la communauté de recherche mais aussi des représentants des usagers ».
Le HDH est aussi très actif sur le plan européen. Reconnu comme « référence », il a été choisi par la Commission européenne pour coordonner le projet DataHealt@EU pour créer la première version d’un espace européen des données de santé. La récente décision de la CNIL d’autoriser le stockage du projet EMC2 dans Azure est directement liée à cette sélection.
Stockage dans Azure : l’éléphant dans la pièce
Dans le rapport fourni le 18 janvier, la question du stockage des données intervient très vite. Ses auteurs recommandent d’arbitrer préalablement cette question, dont dépendent beaucoup d’autres. Et ce, même si l’objectif de la mission était ailleurs.
Comme on a pu le voir récemment, notamment avec le député Philippe Latombe, la décision de la CNIL d’autoriser un nouveau stockage de données chez Microsoft en crispe beaucoup. Le Data Privacy Framework, accord d’adéquation entre l’Europe et les États-Unis pour les données, est pointé du doigt. Tout comme la décision de la mission interservices de le faire au détriment des acteurs français OVHcloud, Docaposte et Temple Cloud. Avec l’arrivée de la loi SREN qui entérinera l’obligation de l’estampille SecNumCloud pour le stockage des données de santé, pourquoi continuer à les envoyer dans Azure ?
Mais au-delà de l’adéquation instaurée par le Data Privacy Framework et de l’extraterritorialité des lois américaines, d’autres problèmes en découlent. Par exemple, il était prévu que le HDH prenne le relai de la CNAM pour tout ce qui touche à la mise à disposition des données de santé. Mais ce transfert n’a jamais eu lieu, à cause du choix de Microsoft. La CNAM reste à la manœuvre sur la base principale du SNDS (système national des données de santé). Le HDH n’en a obtenu qu’une copie partielle, augmentant d’autant la segmentation des informations.
La mission ne compte pas revenir sur le choix d’Azure, ni sur les raisons qui y conduit. Elle constate simplement : « que la migration de la plateforme du HDH sur un cloud souverain a déjà été actée par le gouvernement. Il s’agit désormais d’acter publiquement et officiellement cette orientation, d’en préciser les modalités et d’en tirer toutes les conséquences, en particulier s’agissant de la période transitoire, le temps qu’une solution d’hébergement pleinement satisfaisante, en termes de sécurité et de souveraineté, soit effectivement disponible. »
Selon les « informations réunies », la mission propose un délai de 24 mois – qualifié « d’ambitieux, mais crédible » – pour que l’hébergement soit transféré sur une solution SecNumCloud. Sans surprise, ce calendrier « nécessite une forte mobilisation des acteurs du cloud, mais également un pilotage vigoureux de cette opération par le HDH et les acteurs publics impliqués, en particulier de la Dinum ».
La mission recommande également un arbitrage sous six mois pour une solution transitoire. Pour l’accompagner, un « audit flash » devrait être mené pour déterminer la solution souveraine la plus adaptée.
De trop grands freins à la réutilisation des données
Le rapport pointe de nombreux facteurs freinant l’exploitation des données. Pourtant, la base du SNDS, gérée conjointement par la CNAM et le HDH, est considérée comme un atout presque unique pour la France. Ses arguments sont forts : l’exhaustivité de la population, des données relatives aux hospitalisations et des traitements médicamenteux prescrits, le suivi sur une longue période sans interruption, la chronologie précise, la qualité des données et l’homogénéité du codage.
En dépit de ces qualités, les freins à son exploitation sont nombreux. D’abord, son organisation est jugée très complexe, nécessitant une expertise et un temps d’appropriation élevés. Ensuite, l’accès aux données est très long, en raison de divers facteurs, dont les autorisations et le traitement de traitement des données par la CNAM. Ce dernier a bondi de 56 % entre 2020 et 2022 pour s’établir à 169 jours en moyenne. Trop long pour une partie des chercheurs, qui abandonnent en cours de route.
En outre, le SNDS est très loin de rassembler toutes les données de santé présentes en France. Le rapport évoque ainsi l’éclatement des bases, le manque de coordination et la multiplication des initiatives individuelles de praticiens ou d’équipes isolées. C’est le cas en particulier des registres et cohortes, ces dernières désignant des groupes de patients suivis de manière individuelle et sur des périodes prolongées. Memento, par exemple, est un groupe de 2 300 personnes présentant des signes cliniques pouvant évoquer une forme débutante d’Alzheimer. Or, les données émises par ces cohortes sont de plus en plus utilisées. Même pour les registres : les 31 registres liés au cancer sont ainsi utilisés par l’Institut national du cancer et Santé publique France pour travailler sur la prévalence du cancer.
Les auteurs ont également dans le viseur la multiplication des entrepôts de santé. La CNIL en a ainsi autorisé la création de 63 entre 2017 et 2023. 55 % d’entre eux proviennent d’établissements de santé et plus de 30 % d’entreprises privées, souvent spécialisés dans l’analyse des données. Ces entrepôts sont précieux, selon le rapport. Ils produisent des données absentes du SNDS et produites en routine. Ils sont toujours utilisés pour la recherche, le pilotage et le soin, faisant dire à la mission que la distinction stricte entre utilisations primaire et secondaire des données de santé devrait être atténuée.
Le rapport résume la situation en décrivant un éparpillement des bases, un contenu hétérogène et surtout un manque flagrant de documentation, rendant complexe l’exploitation des données par des personnes autres que celles ayant conçu ces bases.
De fait, les recommandations du rapport sur cette partie sont nombreuses : se préparer au règlement EHDS (espace européen des données de santé) et à ses effets potentiels sur les accès permanents acquis, laisser le HDH recueillir les attentes de l’écosystème en matière d’élaboration des méthodologies de référence et le Comité stratégique des projets de référentiels simplifiés, fixer un objectif quantifié de diminution du nombre de projets nécessitant une autorisation de la CNIL, renforcer la formation des porteurs de projets, valider les demandes dès lors qu’un comité scientifique et éthique local a rendu un avis positif sur la base d’un cahier des charges national…
Même le RGPD est visé par le rapport. Sur les données de santé, il se révèlerait contre-productif. Le règlement général sur la protection des données impose en effet de prévenir une personne chaque fois qu’une ou plusieurs de ses données font l’objet d’un traitement. Dans le cadre des données de santé, le rapport préconise de clarifier, si besoin dans le projet de règlement EHDS, qu’un patient informé n’a pas besoin de l’être à nouveau s’il s’agit toujours des mêmes données pour le même projet.
Accélérer la mise à disposition des données
La grande mission du Health Data Hub est de mettre à disposition les données de santé pour les chercheurs. En ce sens, le rapport note que l’initiative est un succès. Toutefois, la route semble encore longue, car la simplification envisagée n’a que partiellement abouti. Le rapport pointe ainsi un frein pour l’accès aux données.
« La France est un des rares pays, au niveau européen, à avoir maintenu un régime d’autorisation préalable par une agence de protection des données pour la recherche et les études nécessitant un accès aux données de santé, obligatoire en cas d’appariement entre plusieurs bases », notent ainsi les auteurs. Pour chaque demande, il faut l’avis d’un comité scientifique et éthique ainsi qu’une autorisation de la CNIL.
Le manque de moyens de la CNAM est mis en lumière par le rapport. L’explosion du délai de traitement des demandes d’accès s’explique en grande partie par une carence en personnel formé. Les auteurs n’oublient pas que l’augmentation du délai tient aussi à celle du nombre de demandes. Entre 2017 et 2023, si ce dernier a largement grimpé, l’équipe en charge du traitement ne s’est pas étoffée, stagnant à douze personnes.
Autre exemple flagrant : « un seul serveur existe pour accueillir toutes les demandes d’accès transitant par le dispositif des accès permanents ». Le serveur sature depuis le printemps 2023, d’autant que la CNAM l’utilise aussi pour les demandes d’accès de ses propres missions. Or, la CNAM n’entend pas investir davantage dans ce domaine, pour une mission que le législateur a confiée au HDH. Une convention de coresponsabilité de traitement a bien été mise en place entre les deux acteurs, mais l’impossibilité de transférer au HDH la base principale du système national des données de santé limite l’efficacité du traitement, et donc la réduction du délai de mise à disposition des données.
La conséquence est qu’un nombre croissant de chercheurs se détournent du SNDS et vont puiser dans des bases étrangères pour leurs travaux, considérées comme « moins riches, mais plus faciles d’accès ».
Que propose le rapport ? En mesure phare, d’avancer « collectivement et rapidement sur la délégation au porteur de projet de la responsabilité de la minimisation, avec une mise à disposition temporaire d’une copie du SNDS ». Il faudrait également vite créer un indicateur de délai pour cette mise à disposition, puis élargir ce type de mécanisme à toutes les bases de données de santé.
Outre l’habituel volet de la formation qui devrait être renforcé, le rapport préconise la création d’outils de type bac à sable (sandbox). Ils permettraient de « confirmer la faisabilité de projets d’études ou de recherche sur les données de la base principale du SNDS et, si possible, sur d’autres bases de données de santé ».
Enfin, et cela peut paraître évident, les auteurs proposent d’expérimenter la parallélisation de l’examen des demandes d’autorisations.
Vers une refondation du HDH ?
C’est l’une des parties les plus intéressantes du rapport : la refondation du HDH sur de nouvelles bases, pour promouvoir sa mission et lui en donner les moyens. Pour les auteurs, le constat est clair : le Health Data Hub doit plus que jamais agir en tant que guichet unique, et il faut gommer les barrières qui l’empêchent d’y parvenir.
Parmi les mesures envisagées pour alléger ce fonctionnement, le rapport conseille de mettre fin à la réplication obligatoire des bases sur la plateforme du HDH, condition actuelle de leur inscription au catalogue du SNDS. « C’est un frein à l’enrichissement de ce catalogue », estiment les auteurs. L’obligation devrait ainsi être remplacée par une faculté.
Ensuite, le HDH devrait embrasser son rôle fédérateur de manière renforcée, en se portant garant du partage des données. Il doit donner « l’impulsion » des principes de partage, de visibilité des données de santé, de définition des standards et des normes d’interopérabilité, le tout en association avec l’Agence du numérique en santé. L’accompagnement des porteurs de projets pourrait être plus prononcé.
En revanche, le rapport s’interroge sur le rôle du HDH dans le financement des projets. Les auteurs considèrent davantage le Hub comme un régulateur. Il devrait ainsi être désigné « comme unique organisme responsable de l’accès aux données de santé », en maintenant l’exigence d’un avis conforme de la CNIL pour tout ce qui touche aux accès sensibles.
Du partage et de la transparence
Comme on peut s’en douter, la multiplication des bases de données rend les partages parfois complexes. Les auteurs du rapport conseillent donc de commencer par le commencement : référencer toutes les bases de données santé existantes et tenir à jour ce registre. Une condition préalable à l’étape suivante, l’harmonisation des données et métadonnées.
C’est sans doute l’un des plus gros travaux à entreprendre. Pour les auteurs, il est urgent de définir des standards pour faciliter et renforcer l’interopérabilité des bases. La définition de ces standards devrait incomber au HDH, avec à la clé des normes contraignantes.
Enfin, le rapport recommande de travailler rapidement à une clarification et une transparence renforcées, notamment sur tout ce qui touche au modèle économique. « Les travaux pour établir des grilles de tarification harmonisées entre les bases de données doivent aussi être accélérés, et des contrats-types devraient être établis pour réduire les délais de négociation des contrats », peut-on ainsi lire.
En dépit du RGPD, la mission estime également que la transparence vis-à-vis des patients pourrait être améliorée, quand bien même les auteurs préconisent une simplification lors des notifications sur la réutilisation des données. Ils recommandent ainsi une simplification du mécanisme d’opt-out, permettant aux patients de s’opposer à cette réutilisation. Ils proposent également d’insérer dans les espaces numériques de santé des informations claires sur l’intérêt de la réutilisation, ses finalités, etc.