La question de la sécurité est fondamentale. Je précise d'emblée qu'étant président de chambre honoraire à la Cour des comptes, mes propos n'engagent en rien cette institution. C'est à juste titre que la Cour a estimé que la question de la sécurité avait été trop longtemps négligée, même si la CNAMTS a procédé à des redressements par la suite. Précisons qu'il ne s'agit pas de la sécurité de l'accès aux données en tant que tel, mais de la sécurité de la gestion des bases de la CNAMTS – y compris par elle-même. La Cour a étudié en détail les problèmes de sécurité qui se sont posés. Il est vrai qu'il a fallu du temps pour que le système soit mis en conformité avec les normes de sécurité : l'IDS a été témoin de l'effort que la CNAMTS a consenti à cet effet pendant plusieurs années après avoir enfin pris conscience du problème ; elle a d'ailleurs bien travaillé, comme elle le fait toujours, sur le plan technique, à propos de sujets pourtant complexes.
La question du registre des décès me semble extrêmement sensible. J'ai quelque réticence à prôner la concentration en un système unique de l'ensemble des bases de données aujourd'hui médico-administratives, auxquelles s'ajouteront demain de véritables bases de données de santé qui renseignent sur des historiques anonymisés de santé. Ne vaut-il pas mieux créer un système décentralisé permettant d'accéder à l'une ou l'autre de ses composantes ? Plus un système est centralisé, plus il est vulnérable. De ce point de vue, le registre des causes médicales de décès est particulièrement sensible – en particulier s'il s'agit de suicides d'adolescents, de décès liés à un mésusage de médicaments ou de décès liés au sida, par exemple. Toutes ces données sont assorties d'un très haut niveau de confidentialité. Il faudra donc sécuriser particulièrement de tels compartiments du SNDS.
À mon sens, le registre national des causes médicales de décès aurait dû, par précaution, être maintenu en dehors du SNDS, car son usage est limité à un certain nombre de cas. Il faut en effet que les médecins aient une confiance absolue dans le mécanisme d'accès à ces données, faute de quoi ils risqueraient – ce qu'ils font d'ailleurs parfois, non sans raison – de ne pas indiquer la véritable cause de la mort sur l'acte de décès. Certes, les choses ont considérablement progressé depuis dix ans, mais il faut se garder de fragiliser ce registre, qui est un élément essentiel de l'épidémiologie. La confiance est indispensable à une épidémiologie performante. Or, les causes de décès sont un domaine crucial pour la confiance, d'où mon interrogation – mais peut-être suis-je trop rigoureux, ou trop inquiet.