Intervention de Pierre Morange

Merci, madame la présidente. Je veux tout d'abord remercier, au nom de Gisèle Biémouret, coprésidente, et des membres de la MECSS, la commission des affaires sociales ainsi que les administrateurs, qui m'ont accompagné dans ces travaux.

Je reconnais que l'intitulé de ce rapport d'information – pour lequel nous avons sollicité l'avis de la Cour des comptes, laquelle nous a remis les conclusions de ses travaux en mai 2016 – est quelque peu aride et qu'il pourrait dissuader les meilleures volontés de s'intéresser au sujet. Il présente comme particularité de ne pas comporter de recommandations puisqu'il s'agit d'un rapport d'étape : de fait, nous sommes au milieu du gué.

Permettez-moi de rappeler tout d'abord quelques chiffres. Le Système national des données de santé, qui regroupe les données du Programme de médicalisation des systèmes d'information (PMSI) et du SNIIRAM, est issu de l'article 193 de la loi de modernisation de notre système de santé. Il est d'ores et déjà le plus important fichier de données médicales d'Europe, voire du monde, et il sera encore enrichi, au cours de l'année 2017, par les données du CépiDC, le Centre d'épidémiologie sur les causes médicales de décès. Au stock des données déjà détenues par la Caisse nationale d'assurance maladie des travailleurs salariés (CNAMTS) s'ajoutera, chaque année, un flux constitué de 1,2 milliard de feuilles de soins, 500 millions d'actes médicaux et 11 millions de séjours hospitaliers. L'ensemble a une profondeur historique de quinze à vingt ans selon les données. Le CépiDC compte, quant à lui, 20 millions d'enregistrements.

Un tel réservoir d'informations suscite de nombreuses interrogations sur la sécurité – quelle est la qualité du coffre-fort informatique ? –, la confidentialité des données, les procédures d'accès à ces données, les moyens humains, techniques et financiers nécessaires à leur exploitation et, enfin, l'enjeu économique que représente le financement du dispositif. Tels sont les défis que l'article 193 de la loi de modernisation de notre système de santé nous invite à relever.

La première partie du rapport présente l'état des lieux de ce qui est encore, à l'heure actuelle, un dispositif en construction. Une plus grande ouverture des données personnelles de santé permettrait de renforcer la démocratie sanitaire, d'améliorer la vigilance sanitaire, d'assurer un pilotage plus efficient de la politique de santé publique et du système de soins – selon la Cour des comptes, l'exploitation des données du SNIIRAM est susceptible d'engendrer 840 millions d'euros d'économies. Elle permettrait aussi de favoriser le progrès de la recherche médicale en facilitant la reproductibilité de la preuve et la constitution de cohortes significatives – je pense par exemple à la recherche sur les maladies orphelines ou l'oncologie pédiatrique, qui concernent des populations restreintes.

L'article 193 vise à concilier les objectifs a priori contradictoires que sont une plus grande ouverture au public des données personnelles de santé et la préservation de la vie privée, y compris la garantie du secret médical.

En ce qui concerne les données elles-mêmes, il faut noter que le SNDS rassemblera des données sanitaires et médico-sociales. Ainsi que je l'ai indiqué, il intégrera, outre les deux grandes bases médico-administratives déjà en interaction, le PMSI et le SNIIRAM, et la base CépiDC, les données transmises à la Caisse nationale de solidarité pour l'autonomie (CNSA) par les maisons départementales des personnes handicapées (MDPH). Notre collègue Martine Carillon-Couvreur a démontré dans son excellent rapport, déposé en janvier 2015, que la collecte des informations et des données auprès des établissements de soins et des MDPH était notoirement insuffisante. Les personnes auditionnées estiment néanmoins que, dans ce domaine, l'objectif pourrait être atteint, dans le meilleur des cas, dans un délai de deux à trois ans. J'ajoute que le SNDS comportera également un échantillon représentatif des données de remboursement transmises par des organismes d'assurance maladie complémentaire. Ceux-ci le feront cependant dans un cadre, non pas légal, mais conventionnel. Il faudra donc trouver les moyens de les inciter à participer activement à cette transmission.

Pour concilier les objectifs a priori contradictoires que sont la plus grande ouverture au public des données personnelles de santé et la préservation de la vie privée, le nouveau dispositif définit des droits d'accès différenciés selon les données et les opérateurs. Les données agrégées, qui ne présentent aucun risque de ré-identification, seront ouvertes à tous sans restriction et à titre gratuit, comme les données relatives à l'activité des professionnels de santé. En revanche, les données qui peuvent être directement ou indirectement identifiantes seront accessibles sous conditions et uniquement pour des recherches, évaluations ou études dont il faudra démontrer qu'elles présentent un « intérêt public » – notion dont la définition juridique doit être précisée.

Par ailleurs, les organismes chargés d'une mission de service public, dont la liste sera arrêtée par décret en Conseil d'État, bénéficieront d'un accès privilégié et permanent. Quant aux opérateurs privés, ils devront respecter des contraintes renforcées. Je rappelle que, grâce au travail parlementaire, l'utilisation des données du SNDS est expressément proscrite dans deux cas : l'extraction des données aux fins d'exclusion de garantie ou d'adaptation de la tarification des contrats d'assurance, d'une part ; aux fins de ciblage territorial ou professionnel du démarchage des prescripteurs de médicaments, d'autre part. Enfin, pour les opérateurs privés, le traitement des données devra être effectué par un tiers, laboratoire de recherche ou bureau d'études, public ou privé.

L'article 193 de la loi de modernisation de notre système de santé traite ces questions, mais nous avons souhaité clarifier le nouveau dispositif, si touffu que nous serons bientôt conduits à remettre l'ouvrage sur le métier. De fait, nous avons été amenés, au fil des auditions, à nous intéresser à quatre thèmes, qui fondent la seconde partie du rapport : la solidité du socle juridique du SNDS, la sécurité informatique du dispositif, la gouvernance du système et son modèle économique.

Le socle juridique du SNDS devra être suffisamment solide si l'on veut tirer parti de toutes les potentialités, par exemple si l'on souhaite intégrer à terme les données issues des objets connectés, qui connaîtront une croissance exponentielle au cours des quelques années à venir ; cela rendra le problème plus complexe encore. Il convient aussi de cerner la notion d'« intérêt public », clef d'entrée du SNDS pour les organismes ne disposant pas d'un accès permanent ; la doctrine ainsi établie devra guider les décisions du futur Institut national des données de santé qui devra rendre un avis sur chaque demande d'accès déposée.

Outre cela, plusieurs textes définissent les finalités du système gouvernant l'ouverture des données personnelles de santé, dont l'article 8 de la loi du 6 janvier 1978 relative à l'informatique et aux libertés ; leur ensemble étant quelque peu confus, il conviendrait de les harmoniser. C'est d'autant plus nécessaire qu'un règlement européen, adopté au printemps 2016 et qui entrera en vigueur en mai 2018, obligera à repenser certains fondements du SNDS. Une mission d'information de la commission des lois examine, d'ailleurs, depuis quelques semaines, les incidences sur la législation française des nouvelles normes européennes en matière de protection des données personnelles. Déjà, la Commission nationale de l'informatique et des libertés (CNIL) a informé la MECSS que le Parlement devrait être saisi, probablement dès l'été 2017, d'un nouveau projet de loi « Informatique et libertés » qui, visant à tirer toutes les conséquences du règlement européen, traitera notamment des données de santé.

Paradoxalement, ce chantier législatif semble donc être inachevé alors même que les décrets d'application de la loi de modernisation de notre système de santé ne sont pas encore tous publiés – les derniers décrets parus pour le sujet qui nous concerne l'ont été le 26 décembre 2016 et ceux qui traitent de l'articulation entre PMSI et SNIIRAM au sein du SNDS doivent paraître le 1er avril 2017. Aussi le secrétaire général de la CNIL a-t-il indiqué : « Actuellement, nous en sommes réduits à nous demander si un régime juridique dont nous ne connaissons pas encore tous les contours est bien compatible avec un texte dont la clarté n'est pas évidente… ». Enfin, l'accès aux données stockées dans le SNDS emporte l'obligation légale de publication des recherches menées à bien grâce à leur utilisation. Cela pose un problème de droit de propriété intellectuelle, source de contentieux potentiels, qui n'a pas encore trouvé réponse.

L'exigence de sécurité informatique est double : il faut assurer, d'une part, la protection contre les risques d'intrusion et, d'autre part, la protection contre les risques liés à la ré-identification des données personnelles préalablement pseudonymisées.

S'agissant du risque d'intrusion, la Cour des comptes recommande d'ériger la CNAMTS en « opérateur d'importance vitale » au sens du code de la défense. La plupart de nos interlocuteurs ne partagent pas cet avis. La MECSS estime que l'important est moins la qualification juridique de l'opérateur que les garanties et le niveau de sécurité offerts par la gestion du futur SNDS ; on pourrait donc envisager de classer la CNAMTS au nombre des « opérateurs de service essentiel » au sens du droit européen des réseaux et des systèmes d'information.

Pour prévenir le risque de ré-identification, il est nécessaire de modifier l'algorithme de cryptage des données personnelles, considérées comme obsolescent par la Cour et par nombre de spécialistes. La CNAMTS assure de la robustesse de cet algorithme pendant encore quelques années, néanmoins, l'engagement des opérations nécessaires à son remplacement est prévu dans la future convention d'objectifs et de gestion entre l'État et la CNAMTS.

J'en viens à la gouvernance du dispositif. La loi visait à la simplifier pour faciliter les procédures et réduire le délai d'autorisation d'accès aux données, actuellement compris entre douze et quinze mois, et parfois dix-huit mois. Or le dispositif demeure complexe : le pilotage stratégique du SNDS est assuré par la direction de la recherche, des études, de l'évaluation et des statistiques (DREES) et l'INDS, la gestion technique par la CNAMTS, et la CNIL accordera ou n'accordera pas les autorisations d'accéder aux données. À cette organisation déjà passablement touffue, dans laquelle les compétences des divers acteurs restent insuffisamment définies, se greffent plusieurs comités – comité de pilotage stratégique du SNDS, comité des utilisateurs, comité des services, comité d'audit et de contrôle – qui sont autant d'acteurs secondaires dont on mesure mal l'articulation avec les acteurs principaux. Ce n'est pas un procès d'intention mais un constat : nous sommes au milieu du gué et le rapport d'étape qui vous est soumis aujourd'hui devrait être la base de nouveaux travaux parlementaires.

Enfin, le modèle économique du nouveau système d'information n'est ni chiffré ni bien défini. Dans le rapport sur la gouvernance et l'utilisation des données de santé qu'il a remis en 2013 à la ministre des affaires sociales de la santé, M. Pierre-Louis Bras en évaluait le coût à 20 millions d'euros, un montant dérisoire rapporté aux plus de 200 milliards d'euros consacrés aux dépenses de santé. Il faut accélérer la mise en oeuvre du nouveau système, donc lui consacrer les moyens humains supplémentaires nécessaires. L'effectif actuel de l'Institut des données de santé (IDS), qui deviendra l'INDS, est de neuf personnes ; elles devraient être douze, à terme, pour faire face à l'augmentation continue du volume des données collectées et à l'accroissement du nombre de demandes d'accès. Le principe d'instituer une redevance, ou une taxe, pour l'utilisation de ces données par les opérateurs privés n'a pas été tranché. Cela conditionne pourtant la viabilité du dispositif.

Contrairement à l'habitude, le rapport, adopté par la MECSS ce matin, ne présente pas de recommandations. Beaucoup de décisions restent à prendre, ce qui aurait pu justifier une attitude plus hardie, mais bon nombre de paramètres demeurant inconnus, la sagesse commande de ne vous présenter qu'un rapport d'étape, en laissant à la prochaine législature le soin de parachever cet ouvrage, une fois parus tous les décrets d'application et après avoir mesuré l'impact du règlement européen transposé dans une nouvelle loi « Informatique et libertés ». La synthèse ainsi permise devrait permettre de refonder l'article 193 de la loi de modernisation de notre système de santé pour établir un dispositif satisfaisant en termes de sécurité et de confidentialité des données, crédible sur le plan économique et à même, pour ces raisons, de faire face à des enjeux stratégiques pour la politique nationale de santé.