La Cour des comptes appelle à une ouverture contrôlée des données de santé

Dans un rapport publié le 4 mai 2016, la Cour des comptes dénonce la mainmise de l'assurance maladie sur les données personnelles de santé, et formule 13 recommandations pour mieux exploiter leur énorme potentiel.

C'est une critique sévère que la Cour des comptes adresse à la Caisse nationale d'assurance maladie (Cnam) dans un rapport sur le Système national d'information interrégimes de l'assurance maladie (Sniiram), publié le 4 mai 2016. En cause, la véritable mainmise du régime obligatoire sur le Sniiram, une base qui compile toutes les données de liquidation des bénéficiaires des régimes d’assurance maladie obligatoire. Autrement dit, une mine d'informations sur le parcours médical (médecine de ville, hospitalisations, achats de médicaments) des Français, qui est "sans équivalent en Europe au regard du nombre de personnes concernées et de la diversité des données disponibles ". Or, la Cour des comptes estime que la Cnam "s'est comportée en propriétaire" du Sniiram, nuisant ainsi fortement à l'exploitation et à la valorisation de ses données.

Asphyxie

Le rapport pointe "une gestion [des données] prudente à l'extrême" par l'assurance maladie, conduisant à "une paralysie des accès permanents depuis près de trois années et à une asphyxie des instances chargées des demandes d'accès ponctuels". Une situation aggravée par les exigences de la Commission nationale de l'informatique et des libertés (Cnil), à laquelle la Cour des comptes reproche une "approche restrictive des demandes".

Pour les magistrats, ces contrôles excessifs et la gouvernance complexe du Sniiram aboutissent à "une forte limitation des accès permanents au Sniiram et à des freins au développement des utilisations par les acteurs du monde de la santé publique", en particulier l'Etat. Or le rapport insiste sur les "potentialités considérables" de la base de données "en matière de santé publique, de recherche, d'efficience du système de soins et de maîtrise des dépenses".

Potentialités

Ainsi, si le rapport note "une diversification progressive des utilisations du Sniiram", il les considère "nettement insuffisantes au regard des enjeux financiers et sanitaires du pays". L'usage des données par la Cnam, elle-même, pourrait être nettement amélioré "en particulier en matière de gestion du risque et de lutte contre les abus et la fraude des professionnels de santé".

Pour ce qui concerne la confidentialité des données, la Cour des comptes estime que, malgré l'absence de tout incident de fuite de données depuis 2013, "plusieurs risques et défaillances de sécurité identifiés par la Cnam subsistent". C'est pourquoi elle exhorte l'assurance maladie "à se doter sans plus attendre d'un plan d'actions adapté".

Dans son rapport, la Cour des comptes formule donc 13 recommandations pour permettre une meilleure utilisation des données personnelles de santé. Ces recommandations interviennent alors que le Sniiram s'apprête à intégrer le nouveau Système national des données de santé (SNDS), créé par la loi de modernisation du système de santé votée fin 2015. Tout dépendra toutefois des textes d'application, qui devront être "suffisamment ambitieux et précis […], ce qui suppose une implication forte et convergente du ministère de la Santé, de l'assurance maladie et de la Cnil", estime la Cour des comptes.

Un règlement européen définit les données de santé

A l'issue de quatre années de négociations entre la Commission européenne et le Parlement, le règlement européen relatif à la protection des données personnelles a été publié le 4 mai 2016. Ses 92 articles seront directement applicables à l'ensemble des Etats membres de l'Union européenne (UE) à compter du 25 mai 2018.

Ce règlement propose, pour la première fois, une définition des données de santé à caractère personnel, à l'échelle européenne. La protection de ces données sera renforcée, grâce notamment à l'instauration d'un droit à l'oubli. Il prévoit, en outre, la désignation obligatoire d'un "délégué à la protection des données" (DPO) pour les responsables du traitement des données à caractère personnel au sein des organismes publics.

En savoir +

Le site Internet de la Cour des comptes.

Le rapport de la Cour des comptes sur les données de santé.

Le Sniiram.

Sophie Lecerf

© Agence fédérale d’information mutualiste (Afim)