Connexion

Catégories

Droit Économie Flock Hardware IA Internet Logiciel Sciences Sécurité Société

Nous Suivre

Contact rédaction Contact site Forum
Flux RSS GitHub Discord

À propos

Abonnez-vous

Données de santé : le Conseil d’État ouvre les vannes aux organismes de recherche

A vot' santé !

Données de santé : le Conseil d’État ouvre les vannes aux organismes de recherche

Le 02 juin 2016 à 15h23

Voilà quelques jours, le Conseil d'État a annulé une disposition qui rendait hermétiques les données de santé gérées par le système nationale d’information interrégime de l’assurance maladie.

Celtipharm fait partie de ces sociétés spécialisées dans « la création, le développement, la gestion et l'actualisation de bases de données ou de connaissances, dans l'univers de la pharmacie » ainsi que dans « la mise à disposition des informations publiques, professionnelles et commerciales sur tous sites ». En  octobre 2014, elle a demandé l’annulation d’une des dispositions de l’arrêté du 19 juillet 2013 relatif au Système nationale d’information interrégimes de l’assurance maladie.

Avant de voir pourquoi, rappelons que le SNIIRAM est une base de données monstre, mis en place et alimentée par les organismes gérant un régime de base d'assurance maladie. Et pas qu’un peu. Selon le Journal International des Médecins, cela représente « chaque année 1,2 milliard de feuilles de soins, 500 millions d'actes médicaux et 11 millions de séjours hospitaliers ». Et pour la Cour des comptes, cet outil servant au pilotage des dépenses de santé, créé par la loi de financement de la sécurité sociale pour 1999, est « une base exceptionnelle par son exhaustivité, sa richesse et sa finesse d’informations, qui n’a pas d’exemple dans le monde, et aux potentialités considérables en matière de santé publique, de recherche, d’efficience du système de soins et de maîtrise des dépenses. »

Des données très sensibles

Bref, l’arrêté de 2013 prévoit, au bénéfice de plusieurs structures, un droit d’accès et des destinataires de cette base de données. Seulement, son article 4 prévient qu’ « aucun organisme de recherche, université, école ou autre structure d'enseignement lié à la recherche poursuivant un but lucratif ne peut accéder aux informations de l'article 3 ». Et pour cause, ces informations prévues par l'article 3 révèlent des détails très précis sur l’état de santé d’une personne. Citons in extenso:

  • l'identification des organismes de prise en charge ;
  • les caractéristiques des décomptes de remboursement ;
  • les numéros d'anonymat de l'assuré et du bénéficiaire, le sexe, l'année et le mois de naissance, le cas échéant, la date de décès, le département et la commune de résidence ;
  • les informations relatives aux prestations servies :
  • la nature détaillée des actes, biens et services présentés au remboursement ;
  • les dates de soins et de remboursement ;
  • le mode de prise en charge ;
  • les informations relatives au parcours de soins ;
  • les informations médico-administratives (notamment le numéro d'affection de longue durée au sens de l'article D. 322 - 1 du code de la sécurité sociale, le numéro de maladie professionnelle, les codes de pathologie suivant la codification internationale des maladies en vigueur, les dates de grossesse, le numéro de dent) ;
  • les montant, cotation et coefficient de la prestation ;
  • le numéro d'identification du professionnel et, le cas échéant, de l'établissement de rattachement, le sexe, la date de naissance, la spécialité médicale, la nature d'exercice, le statut conventionnel, la caisse de rattachement, département, commune et localisation infracommunale d'implantation ;
  • les informations relatives à l'activité des établissements de santé : résumés de sorties anonymes établis dans le cadre du programme de médicalisation des systèmes d'information au sens de l'article L. 6113 - 7 du code de la santé publique et les informations de séjour pour les établissements financés par dotation globale. La durée de conservation de ces données est de dix ans au-delà de l'année en cours. Passé ce délai, ces données sont archivées pour une durée de dix ans ;
  •  les données comptables.

La sensibilité de ces informations est d’autant plus forte que, selon l'arrêté de 2013, les données individuelles sont en principe conservées pendant trois ans au-delà de l'année en cours. « Passé ce délai, [elles] sont archivées pour une durée de dix ans ». Bref une véritable mine d’or pour les gestionnaires privés de base de données que le texte initial tentait bon gré mal gré de tenir à l’écart.

Seulement, le Conseil d’État a estimé le 20 mai dernier qu’aucun texte légal n’autorisait le ministère de la Santé à restreindre cet accès au profit des organismes lucratifs qui souhaitent faire des recherches sur ce filon. Il a du coup enjoint au ministre des Affaires sociales et de la Santé d'abroger ces dispositions restrictives adoptées sans base légale dans les quatre mois.

Une situation transitoire

On remarquera avec le Figaro que néanmoins, cet épisode est transitoire. La loi Santé, publiée en janvier dernier, prévoit l’ouverture des données de santé. À partir notamment des flux issus des systèmes d’information des établissements de santé et de l’Assurance maladie, ou ceux des mutuelles, les données anonymisées seront en principe « mises à disposition gratuitement ». Les réutilisations seront possibles si elles n’ont « ni pour objet ni pour effet d’identifier » le patient. Comme nous le précisions, l’accès à certaines données sera désormais possible notamment pour la recherche, mais sous un parcours de conditions.

Commentaires (25)

Vous devez être abonné pour pouvoir commenter.

Abonnez-vous
votre avatar

La base de données du SNIIRAM est déjà ouverte aux organisme  de recherche publics. Il faut quand même savoir qu’ouverte ne veut pas dire accessible en 3 clics. A l’heure actuelle, l’autorisation est très complexe et longue à obtenir, meme pour les organismes publics. Je pense que le délai entre la demande et l’autorisation doit être d’environ 18 mois pour un projet de recherche intégrant un versant médico-économique. Si tout se passe bien et sans anicroche (situation rarissime…) et pour une liste définie et justifiée de variables.



Pour les gens qui travaillent sur les dossiers informatisés de CHU type Orbis, n’oubliez pas quand même que vous etes soumis au secret médical…

votre avatar







Vilainkrauko a écrit :



Miam … les assurances se frottent déjà les mains ! <img data-src=" />







Ouaip, clairement. Et on ne parle pas encore ici des fuites potentielles de données tout à fait privées que les hackers ne manqueront pas de pomper et de revendre au plus offrant …

Quid de la sécurité en amont de


votre avatar

(reprise)

de la BDD et de ses protocoles de stockage, chiffrement, accès …?

<img data-src=" />

votre avatar







Vin Diesel a écrit :



(reprise)

de la BDD et de ses protocoles de stockage, chiffrement, accès …?

<img data-src=" />





parce que vous pensez vraiment qu’il n’y a pas de conditions à remplir pour recevoir ce genres de données?…


votre avatar







the_frogkiller a écrit :



parce que vous pensez vraiment qu’il n’y a pas de conditions à remplir pour recevoir ce genres de données?…





Si si, je pense bien quelles sont sécurisées, mais ce que je veux savoir, c’est de quel est le protocole de sauvegarde dans sa totalité.

Ca s’appelle de la transparence et c’est indispensable pour que les véritables spécialistes du réseau INternet puissent soulever les problèmes dans les procédures, le cas échéant.

IL s’agit là des données médicales de 65 millions de patients et donc de citoyens.

<img data-src=" />


votre avatar

oui mais non car maintenant tu ne pourras plus rien passer sous silence … on va te faire chier pour un kyste !

Alors qu’avant tu n’étais pas obligé de le mentionner car c’était une opération bénigne.

votre avatar

“on va te faire chier” ça veut dire te demander des analyses et certificats médicaux pour confirmer le caractère bénin de ton ancienne maladie.&nbsp; C’est ce qui se fait déjà.



&nbsp;D’ailleurs je crois qu’il existe (ou va exister) un droit à l’oubli pour des anciens cancers dont les malades ont guéri, mais qui les empêchaient jusqu’à présent d’avoir des assurances à prix correct.



Mais bon de toute façon c’est hors-sujet, il n’est pas du tout question que les assureurs aient par défaut accès à des données de santé NOMINATIVES. Ce dont tu parlais vendredi est carrément exagéré.

votre avatar

Oui un compte rendu opératoire sur une intervention que tu as eu à l’age de 15 ans par exemple dans une clinique fermée depuis ? Merci mais je sais de quoi je parle et j’ai galéré à mort pour avoir ces papiers car sinon on me refusait mon prêt immobilier et ça c’était en 2003 ! Donc maintenant, tu peux me dire ce que tu veux, si les informations sont maintenant disponibles directement auprès des assureurs on va te faire suer encore plus sur la moindre petite chose.

votre avatar

Mmmmmm. Tu les sens mes bonnes fuites de données persos ?

votre avatar

“Les réutilisations seront possibles si elles n’ont «&nbsp;ni pour objet ni pour effet d’identifier&nbsp;» le patient”



Les promesses n’engagent que ceux qui y croient :-(

votre avatar

J’ai hâte de voir les premiers gonflements de cotisation chez les mutuelles au motif que tu rentre dans une catégorie de personnes qui, selon cette base de données, présente plus de risques.

votre avatar

Humm … J’espère vraiment qu’une case à cocher sera disponible quelque part afin de s’opposer à la divulgation des informations de santé nous concernant (un peu comme lorsqu’on se rend en préfecture pour la carte grise).

votre avatar

Pourquoi toujours mettre par défaut la divulgation de ses informations personnelles ? par défaut ça devrait être interdit de le faire et de cocher uniquement si on souhaite transmettre les informations .&nbsp;



evidemment il va avoir une petite case à décocher pour dire de ne pas vouloir divulguer ses infos

votre avatar







Vachalay a écrit :



Humm … J’espère vraiment qu’une case à cocher sera disponible quelque part afin de s’opposer à la divulgation des informations de santé nous concernant (un peu comme lorsqu’on se rend en préfecture pour la carte grise).





Il n’est pas possible de refuser d’être dans la base du SNIIRAM, puisque c’est obligatoire pour le remboursement des frais de santé (à moins de ne plus avoir de sécu ni de mutuelle).&nbsp;

&nbsp; Bon, sinon cette base de donnée est gigantesque et, surtout est un truc pour gérer des remboursements et pas du tout pour de la recherche, c’est à dire qu’en pratique elle est très compliquée à gérer.



Par exemple, vous pensiez que la sécurité sociale connaissait votre cause du dernier arrêt de travail ? En fait, pour des raison d’économies, les arrêts de travail de moins de 30 jours sont scannés mais seule une image est dispo. Uniquement pour les arrêts de travail long , ils sont réellement étudiés et&nbsp; détaillés.



Pour des raisons de confidentialité, il me semble que toutes les données potentiellement identifiables de pret ou de loin sont “floutées”, c’est à dire qu’une loocalité va par exemple devenir un département … Et pas uniquement les données directement identifiables.&nbsp; Bon malgré cela, on peut imaginer que si vous connaissez déjà beaucoup de détails médicaux de quelqu’un (exemple consultations à telles dates, de tels spécialistes, dans un département peu peuplé) ,vous puissiez retrouver des données sur la personne…


votre avatar







Elwyns a écrit :



Pourquoi toujours mettre par défaut la divulgation de ses informations personnelles ? par défaut ça devrait être interdit de le faire et de cocher uniquement si on souhaite transmettre les informations .&nbsp;



evidemment il va avoir une petite case à décocher pour dire de ne pas vouloir divulguer ses infos





Bah je suis totalement d’accord avec toi&nbsp; …

La logique de la case à décocher que tu mentionnes est la même pour la redevance audiovisuelle

Non, promis, on ne vous force pas la main <img data-src=" />


votre avatar

ET a prioir, pour la carte grise, même quand on coche “non”, la préfecture n’en tient pas forcément compte

(Auto plus avait fait le test il y a quelques temps).

votre avatar







Flogik a écrit :



Il n’est pas possible de refuser d’être dans la base du SNIIRAM, puisque c’est obligatoire pour le remboursement des frais de santé (à moins de ne plus avoir de sécu ni de mutuelle).&nbsp;



Ce n’est pas le fait de faire partie de la BDD du SNIIRAM que je déplore mais les accords passés pour transférer nos informations médicales à des organismes/entreprises tierces !

J’ai cru comprendre qu’il était possible de s’affranchir de la Sécurité Sociale (perso je ne m’y risquerai pas).

&nbsp;





Flogik a écrit :



Par exemple, vous pensiez que la sécurité sociale connaissait votre cause du dernier arrêt de travail ? En fait, pour des raison d’économies, les arrêts de travail de moins de 30 jours sont scannés mais seule une image est dispo. Uniquement pour les arrêts de travail long , ils sont réellement étudiés et&nbsp; détaillés.





J’ai été arrêté 3 fois dans l’année il y a 2 ans (3, 4 et 6 jours) et j’ai reçu un courrier m’indiquant qu’en cas de nouvel arrêt ma situation allait être évaluée plus en profondeur par le médecin conseil (en gros, je suis un gros fraudeur qui ne pense qu’à profiter du système). S’agit-il d’une alerte automatique car j’ai “profité” de la subrogation de mon employeur (pas de carence) ?


votre avatar







Vachalay a écrit :



Ce n’est pas le fait de faire partie de la BDD du SNIIRAM que je déplore mais les accords passés pour transférer nos informations médicales à des organismes/entreprises tierces !

J’ai cru comprendre qu’il était possible de s’affranchir de la Sécurité Sociale (perso je ne m’y risquerai pas).

&nbsp;



Ce qui est transféré (ou plus exactement mis en ligne) c’est une version “expurgée” de la base de données. Cela a des avantages certains (en terme de recherche), et des risques, comme celui de réidentification. Il va falloir voir comment les données de la base sont proposés en pratique. Cette évaluation sera longue, compte tenu de la complexité de la base.



A titre personnel, mon inquiétude de violation de la vie privée n’est pas prioritairement centrée sur la mise en ligne de cette base de données. En effet, même si, dans certains cas rares on pourrait ré-identifier les personnes, connaissant la CNIL et les organismes qui vont avec, je pense qu’elle sera globalement correcte.

En revanche des risques majeurs existent avec l’informatisation des hopitaux, et des cabinets médicaux. Les données ne sont pas très bien protégées, et là c’est un euphémisme. Par exemple, je suis médecin et j’ai accès a un très grand nombre de dossiers médicaux (je travaille dans un grand hôpital parisien). Comme 35% des postes informatiques, mon PC est sous windows XP. Un nombre de PC importants, dont le mien, ont été victimes d’un ransomware. Il y a là un risque majeur de vol de données.&nbsp; Nous n’avons jamais eu aucune formation sur la sécurité des données, mis a part un mail de conseil de ne pas ouvrir une certaine pièce jointe (suite a ce fameux ransomware).

L’intérêt tout de même est qu’en France, la santé étant un monopole, des pirates revendant des données de santé auraient plus de mal à les vendre que dans certains autres pays.


votre avatar

En même temps travaillant également dans un établissement parisien, je trouve que certains outils depasse un peu les bornes (Orbis par exemple par lequel tu peux accéder a n’importe quel patient de l AP). Mais dans le même temps c’est super compliqué de travailler sur des recueils de données a visée de santé ou bien en utilisant des données de registres et le Sniiram. Cest même plus facile d y accéder en étant autre chose qu’un hôpital…un comble !

votre avatar







Soriatane a écrit :



“Les réutilisations seront possibles si elles n’ont «&nbsp;ni pour objet ni pour effet d’identifier&nbsp;» le patient”



Les promesses n’engagent que ceux qui y croient :-(





D’autant plus qu’il a été démontré l’été dernier par un étudiant en thèse, qu’à force de faire des statistiques même anonymes sur le même groupe de personnes , on fini par savoir qui est qui et qui fait quoi.

&nbsp;


votre avatar

Miam … les assurances se frottent déjà les mains ! <img data-src=" />

votre avatar

on sent bien que l’équipe dirigeante actuelle du conseil d’état est très socialement protectrice..

&nbsp;

L’activité officielle de cette société Celtipharm, qui s’appelle du doux nom très breton de&nbsp;&nbsp;OpenHealth Company est enregistrée comme&nbsp;: Traitement de données, hébergement et activités connexe

&nbsp;http://www.societe.com/societe/celtipharm-027350321.html#KCDsoCI3SPI8Qxs5.99Vous



Vous&nbsp;nous redites qui sont les membres de ce conseil&nbsp;d’état&nbsp;?

&nbsp;On en lira avec interrêt la charte déontologiqu

&nbsp;conseil-etat.fr République Française

votre avatar







Flogik a écrit :



[…]

A titre personnel, mon inquiétude de violation de la vie privée n’est pas prioritairement centrée sur la mise en ligne de cette base de données. En effet, même si, dans certains cas rares on pourrait ré-identifier les personnes, connaissant la CNIL et les organismes qui vont avec, je pense qu’elle sera globalement correcte.

En revanche des risques majeurs existent avec l’informatisation des hopitaux, et des cabinets médicaux.

[…]&nbsp;

L’intérêt tout de même est qu’en France, la santé étant un monopole, des pirates revendant des données de santé auraient plus de mal à les vendre que dans certains autres pays.&nbsp;





Les généralistes ont maintenant accès à tout l’historique des actes facturés à la sécu sur un an. C’est une conséquence de la dématérialisation des arrêts de travail: la sécu demande au médecin de remplir l’acte de façon numérique (gain de temps, de traitement par rapport à la feuille parpier) et autorise le médecin à savoir tous les actes facturés par le patient. Après je ne crois pas qu’il y a le détail, juste le fait que l’on a été à l pharmacie, ou chez le Jiné mais pas les médicaments ou les actes pratiqués. Et je ne sais pas si ce n’est seulement réservé seulement au médecin traitant.



Quant au monopole, Celtipharm ou IMS Health Pharma Stat collecte des données et les revendent aussi bien aux autorités sanitaires qu’aux gros laboratoires. Chez ces derniers je suis sur qu’il y a des équipes d’analystes qui bossent à plein temps dessus.



Je me méfie de l’image d’OpenData qu’essaye de se donner Celtipharm.


votre avatar

C’est la porte ouvert à toutes les fenêtres … Tu iras voir ton banquier pour un prêt , il faudra que tu prennes une assurance et eux ils pourront consulter tes données. “Ahhh bah mon bon monsieur, vous avez été traité pour des hémorroïdes en 2010, vous n’aurez pas un prêt chez nous” … Je grossis le trait volontairement mais on peut comprendre l’abus que pourront faire ces compagnies d’assurances avec ces données “libres comme l’air”. :-(

votre avatar

de toute façon avant de t’assurer un assureur va forcément te soumettre à un questionnaire médical, qui sera plus ou moins détaillé suivant le montant du prêt. Et évidemment, si tu es plus à risque tu vas payer plus cher.

Alors pour ça ça risque de ne pas changer grand-chose.

Données de santé : le Conseil d’État ouvre les vannes aux organismes de recherche

  • Des données très sensibles

  • Une situation transitoire

Fermer