L’ABSyM Bruxelles vient d’organiser une conférence sur la protection de la vie privée et l’innovation en matière de données de santé. Ce fut l’occasion pour les orateurs de mettre l’accent sur les points forts et les faiblesses de notre pays.
La constitution de grandes banques de données de santé, au niveau national et transnational, ouvre d’immenses possibilités en recherche et en gestion de la santé publique. Mais le citoyen est-il prêt à confier ses propres données pour participer à cette formidable innovation ? La réponse peut être positive si la confiance et la transparence sont garanties. Le défi est de taille, tant les fournisseurs et les utilisateurs d’information sont nombreux. « Le rôle de la Belgium Health Data Authority est d’amener les parties prenantes qui gèrent des systèmes de santé, à partager leurs données. » a expliqué Hans Constandt, Programme Manager de la Health Data Authority (HDA). Elle a pour autre mission de rendre ces données utilisables et accessibles. Enfin elle doit stimuler ces mêmes parties à utiliser les données disponibles, voire à les aider à les utiliser.
Des données sous-utilisées
Et Frank Robben de déplorer que « de très nombreuses données sont disponibles mais elles ne sont que faiblement exploitées ». Il prenait la parole au nom de Thibaut Duvillier, Directeur Général Adjoint de eHealth, empêché. Le rôle de la plateforme eHealth, explique Frank Robben, est pourtant de sécuriser les données de santé et de les rendre accessibles. Une des opérations clés que réalise eHealth dans cette optique est l’anonymisation ou la pseudonymisation. Dans le premier cas, il s’agit de supprimer tout caractère identifiant à l’ensemble des données, sans retour possible. Pour les petits groupes (« petites cellules ») où le nombre restreint de personnes qui la constituent pourrait laisser malgré cela une possibilité d’identification, une analyse de ce risque est menée. Si nécessaire, des mesures supplémentaires de protection sont prises.
La pseudonymisation consiste à remplacer dans l’enregistrement des données un attribut (par exemple le numéro national) par un autre (par exemple, un chiffre aléatoire). Ou encore, il est possible dans cette démarche de codifier les données avant de les mettre à disposition d’utilisateurs. On peut donc toujours identifier indirectement les personnes physiques. La pseudonymisation est indispensable au lieu de l’anonymisation pour l’utilisation des données de santé dans des études longitudinales.
Le rôle du Conseil de Sécurité de l’information
C’est encore Frank Robben qui a exposé le rôle du Conseil de Sécurité de l’information (CSI). « Un outil que pas mal de pays nous envient », a-t-il ajouté. C’est lui qui délibère sur le bien-fondé d’une demande, que ce soit sur le plan réglementaire (RGPD et autres dispositions légales) ou sur le plan scientifique. Entendons-nous : le CSI n’est pas un organe de surveillance. Mais il doit s’assurer que le dépositaire des données les a acquises de manière légitime. Il doit aussi vérifier le bien-fondé de la démarche du demandeur avant de donner une autorisation de transmission des données. « Il n’est pas question de laisser cela aux seules mains des juristes et des informaticiens », dit Robben. « Seuls les professionnels de la santé sont à même de juger de l’intérêt scientifique du projet du demandeur. Il est logique qu’ils soient représentés au CSI ».
Des voix dominantes
Côté faiblesse, c’est Damien Bertrand, Business Development Officer chez DNAlytics, qui a tiré la sonnette d’alarme. Il a souligné l’importance du partage des données de santé sur les plans de l’économie, de la santé publique et de la recherche scientifique. Mais il a ensuite mis l’accent sur l’insuffisance de cadre réglementaire en Belgique : qui peut ou doit faire quoi ? Et pour quoi ? « Nous devons nous y mettre car d’autres pays sont plus avancés sur ce point et tendent à prendre des positions dominantes dans la mise en place des règles au niveau européen », a-t-il regretté.
