Intervention de Christian Babusiaux

Je n'irai pas par quatre chemins : il faudra modifier l'article 193 de la loi du 26 janvier 2016 de modernisation de notre système de santé, relatif aux données de santé. Les enjeux-clé qui intéressent le Parlement sont en effet la prévention, qui est toujours la parente pauvre des politiques de santé et d'assurance maladie, et la rationalisation de notre système de santé – non pas dans un intérêt comptable, même s'il est important, mais dans l'intérêt des patients et des professionnels de santé.

Pour relever ces deux enjeux-clés, il faut s'appuyer sur des données. L'appareil administratif de l'État et les instituts de recherche publique sont-ils en mesure d'y répondre seuls ? Doivent-ils de ce fait détenir le quasi-monopole de la connaissance et de l'accès à ces données ? Non, à l'évidence. La santé est multiple et complexe ; elle intéresse tous les citoyens, y compris les deux millions de professionnels de santé. Compte tenu de cet enjeu de la connaissance pour tous, l'accès aux données doit être ouvert à l'ensemble le plus large possible d'acteurs qui y ont un intérêt légitime, dans le respect du secret médical et de la vie privée. Chaque jour qui passe nous le montre : il ne faut pas réserver aux autorités publiques de santé, quelles que soient leurs qualités et compétences, le monopole de la connaissance en santé. Chaque problème qui surgit – épidémie, utilisation d'un médicament ou des traitements – nous prouve qu'il faut répartir la connaissance de manière à progresser et à éviter les zones d'ombre qui caractérisent naturellement un système aussi complexe que notre système de santé, nonobstant ses qualités. Tels sont les principaux enjeux qui, à mon sens, doivent retenir l'attention du législateur, lequel n'a pas à s'attarder sur les détails.

Examinons de ce point de vue la loi, les décrets et la situation concrète. La loi, tout d'abord : il faut distinguer entre l'apparence et la réalité de l'article 193 de la loi du 26 janvier 2016. L'apparence est flatteuse, comme souvent ; la réalité l'est moins. En apparence, cet article crée un vaste système national des données de santé (le SNDS) qui rassemble le Système national d'information inter-régimes de l'assurance maladie (SNIIRAM) pour les données relatives aux remboursements de soins de ville et le Programme de médicalisation des systèmes d'information (PMSI) pour l'hôpital, et qui y agrège le registre des décès ainsi que des bases de données médico-sociales et des données de remboursement – à venir – des assurances complémentaires de santé. La deuxième ambition – toujours en apparence – de cet article consiste à créer un Institut national des données de santé (INDS), qui anoblit en quelque sorte le modeste Institut des données de santé (IDS).

La réalité est différente, hélas. D'une part, le SNDS ne sera opérationnel qu'à terme : il est à craindre, en effet, que sa date d'entrée en vigueur du 1er avril ne soit pas autre chose qu'un poisson, de rigueur à cette date. Il faudra du temps pour constituer des bases de données sur la dépendance ou sur l'invalidité ; le concours des conseils généraux sera nécessaire, car ces données devront être croisées avec d'autres bases.

De surcroît, je m'interroge sur les données qui devraient provenir des complémentaires de santé : certes, le texte législatif en fait mention mais qui, en France, pourrait contraindre des entreprises privées et des mutuelles à fournir des données alors même qu'on essaie de les exclure de la gouvernance du système ? Quel serait leur intérêt à apporter des données ? Ajoutons que les assureurs complémentaires relèvent de systèmes très variés et corrélés avec d'autres assurances. En clair, cet apport de données est loin d'être imminent.

L'objectif du texte n'est pas seulement lointain et incertain ; il est aussi limité. Les bases rassemblées dans le SNDS sont médico-administratives, et non pas médicales, quoique le PMSI soit médicalisé. Au fond, ce sont les bases d'hier qui sont regroupées, et non celles de demain. Aucune base de santé n'est visée, par exemple, comme c'est déjà le cas dans certains pays scandinaves. Il ne faut donc pas croire que le SNDS, tel qu'il est prévu dans la loi et tel qu'il pourrait se constituer à court terme par l'agrégation de bases de données existantes, sera une véritable base de données de santé proprement dites. L'appellation ne doit pas faire illusion : il s'agit de simples bases de données médico-administratives de remboursement.

J'en viens à l'INDS. L'Institut des données de santé s'en trouvera certes anobli, mais aussi doublé d'un comité d'expertise ; ce n'est donc pas l'INDS qui donnera son accord aux accès, mais ce comité d'experts indépendant, comme le prescrit la loi. L'un et l'autre partageront, il est vrai, un secrétariat commun, dont le législateur – c'est l'un des apports du processus législatif – a prévu qu'il serait implanté dans les locaux de l'Institut, mais le fait est qu'il se constituera un comité d'experts dont nous ne connaissons pas encore la composition, sur laquelle la loi n'apporte aucune lumière malgré l'extraordinaire importance de cette question en termes de garanties à tous égards.

De même, nous ignorons quelle sera la composition exacte de l'INDS ; à ma connaissance, elle n'est toujours pas précisée. Mme la ministre de la santé a indiqué que, fort de ses treize composantes, elle serait plus large que celui de l'IDS : cette ambition est compréhensible et louable, mais quel en sera le périmètre exact ? La loi du 13 août 2004 relative à l'assurance maladie avait précisé les contours de ce qui est devenu l'IDS en 2007. L'article 193 de la loi du 26 janvier 2016 ne fixe aucun périmètre clair.

Il semble par exemple que l'on envisage d'y inclure les entreprises pharmaceutiques. À titre personnel, je me suis permis, lors de l'élaboration de la loi, de déconseiller cette participation : il me semble en effet qu'introduire les laboratoires pharmaceutiques ou leurs organisations dans le processus d'autorisation d'accès aux données est non seulement une erreur technique, mais aussi une faute politique. On nous indique que le LEEM – le syndicat des entreprises du médicament – et ses adhérents ne seront pas totalement membres de l'INDS. Un groupement d'intérêt public (GIP) peut-il donc se composer de membres et de demi-membres ? Cela ne poserait-il pas un problème statutaire ? On commencerait, semble-t-il, à s'en apercevoir… De même, nous ignorons si les complémentaires de santé en feront ou non partie, et si elles seront représentées par leur union, l'UNOCAM, ou bien, celle-ci n'ayant pas de vocation législative, par les fédérations la composant. En somme, deux ans et demi après que le Conseil des ministres ait approuvé le projet de loi, à la fin de l'été 2014, le périmètre de l'INDS demeure incertain.

Ajoutons que l'INDS est cantonné à l'appréciation de la notion d'intérêt public. Une fois l'avis du comité d'expertise formulé, l'INDS pourra non pas former un recours, mais émettre un avis parallèle à celui du comité, au motif de l'intérêt public. Qu'est-ce que l'intérêt public ? Nous en percevons intuitivement la nature mais, génération après génération, sa définition juridique reste en débat. N'y a-t-il pas là un potentiel nid à contentieux, alors que le système devrait plutôt être conçu de manière fluide et efficace dans l'intérêt des acteurs qui seront habilités à accéder aux données ? À cet égard, le ministère de la santé et l'IDS ont créé un groupe pour réfléchir à la définition de l'intérêt public, notamment au moyen d'un questionnaire, au demeurant très bien fait. C'est dire l'incertitude qui entoure cette notion retenue par le législateur.

D'autre part, la loi se caractérise par une absence de progrès sur certains sujets majeurs, en particulier l'accès permanent du monde de la recherche aux données. L'IDS avait ouvert la voie de manière pragmatique à des accès ponctuels, en accordant un nombre important d'autorisations à des chercheurs. Une fois expérimentée, cette voie devait naturellement s'élargir vers un accès permanent des équipes ayant fait leurs preuves – comme cette équipe du centre hospitalier universitaire (CHU) de Lyon qui, bénéficiant d'une vingtaine d'autorisations, aurait pu peut-être obtenir un accès permanent. Or, la loi n'ouvre pas cette possibilité. Elle prévoit des mécanismes compliqués pour les acteurs privés que sont les complémentaires de santé et les laboratoires pharmaceutiques, notamment l'intervention de bureaux d'études sur lesquels il y a tout lieu de s'interroger.

Le décret d'application du 28 décembre 2016 n'a guère fait une interprétation extensive de la loi. On aurait par exemple pu envisager qu'un établissement public tel que l'Institut national de la consommation, que je connais bien pour l'avoir présidé, puisse avoir accès aux données ; ce ne sera pas le cas, puisqu'il ne pourra pas même accéder à l'échantillon généraliste de bénéficiaires. En clair, ce décret ne semble pas aller dans le sens de la résolution des problèmes posés ; il est vrai qu'il s'inscrit dans le cadre – dans la nasse – de la loi.

J'en viens à la réalité concrète. Je dois à cet égard vous faire part de mon inquiétude. Tout d'abord, la convention constitutive de l'INDS n'a été ni créée ni strictement définie ; il est doté d'un budget prévisionnel en pointillés, même si celui-ci est très ambitieux puisqu'il est question de le doubler. Est-ce justifié ? Certes, l'IDS était quelque peu à l'étroit dans son budget, mais faut-il pour autant le doubler dans les circonstances actuelles, et les partenaires y sont-ils prêts ? Compte tenu de la convention d'objectifs et de gestion (COG) de la caisse nationale d'assurance maladie des travailleurs salariés (CNAMTS), cela ne semble guère réaliste.

Ensuite, la gouvernance de l'IDS présente des difficultés que vous avez sans doute perçues lors d'autres auditions ou dans la presse. Il va de soi que je ne m'exprimerai pas sur mes successeurs, mais la succession de plusieurs présidents et le problème de continuité qui en découle sont préoccupants – même si le recul pris par tel ou tel à l'égard de la loi et du décret, qui sont compliqués à gérer, était compréhensible. Ajoutons-y le départ progressif de la petite équipe de l'IDS.

Quant à la Commission nationale de l'informatique et des libertés (CNIL), elle fait face à un double problème. Le premier tient au délai des réponses aux demandes d'autorisation, qui ne s'est pas amélioré : il serait encore de huit à douze mois, selon des équipes chevronnées qui, ayant obtenu une autorisation de principe, attendent la validation de la CNIL. Dans l'intérêt vital des patients, comment peut-on admettre que l'accès à des données anonymisées de santé soit soumis à un délai de huit à douze mois ? Le second problème concerne cette clé de voûte qu'est la capacité de la CNIL à sanctionner ceux qui feraient une utilisation abusive des données. À ce stade, ce risque n'est que théorique, mais on ne sait jamais. Par rapport à d'autres instances de régulation, la CNIL ne dispose, en vertu de la réglementation générale qui la régit, ni des pouvoirs ni de l'organisation lui permettant de sanctionner effectivement les infractions.

Ces problèmes majeurs ne sont donc pas résolus. Il nous a été opposé qu'ils ne pouvaient pas être traités par l'article 193 de la loi du 26 janvier 2016 parce qu'ils relèvent davantage de l'organisation générale de la CNIL. Pourtant, la loi pour une République numérique ne les règle pas pleinement.

Tels sont les points essentiels qui m'ont conduit à commencer mon intervention en affirmant ceci : je ne vois pas comment nous pourrons faire autrement que de modifier – au plus tôt au mieux – l'article 193.