Je souhaite la bienvenue aux représentants de la Cour des comptes et je les remercie du travail remarquable qu'ils nous ont fourni. Ce sujet est stratégique et ses dimensions ne sont pas encore clairement perçues par les décideurs. C'est ce constat qui a déterminé le choix de cette thématique pour votre rapport.
Avant de commencer cette audition, je voudrais faire part de mon irritation suite à la diffusion dans certains médias de votre rapport, monsieur le président. Cela ne s'inscrit pas dans la tradition de la MECSS, dont il n'est pas besoin de rappeler que je suis le créateur. Je souhaite ardemment que la logique consistant à réserver la teneur de ses travaux aux représentants de la nation soit respectée. Si de telles diffusions venaient à se répéter, je solliciterai des moyens pour effectuer des recherches et aboutir à des sanctions, car il n'est pas admissible de préempter la réflexion des représentants de la nation.
Monsieur le président, votre rapport se compose de trois chapitres. Le premier constate le caractère exceptionnel de la base de données dont dispose l'assurance maladie, et souligne son pilotage quelque peu défaillant. La quantité de données est exceptionnelle au sein du système national interrégimes de l'assurance maladie (SNIIRAM) lui-même et elle le sera encore plus avec la mise en place du nouveau système national des données de santé (SNDS) créé par l'article 193 de la loi de modernisation de notre système de santé du 26 janvier 2016, du fait de l'agrégation d'autres fichiers, déjà possible – comme pour les données de la base CepiDc (Centre d'épidémiologie sur les causes médicales de décès de l'INSERM) – ou à venir – comme pour les données médico-sociales issues de la CNSA ou l'échantillon représentatif des données de remboursement par bénéficiaire transmises par des organismes d'assurance maladie complémentaire. L'émergence des objets connectés va également contribuer à faire exploser la masse de ces données, ce qui pose naturellement des questions au regard de leur sécurité et de leur confidentialité.
Vous recommandez donc de reconnaître à la CNAMTS le statut d'opérateur d'importance vitale, de la soumettre aux règles et contrôles périodiques externes de sécurité y afférant, notamment de la part de l'Agence nationale de la sécurité des systèmes d'information (ANSSI), et de parfaire la conformité du dispositif au référentiel général de sécurité de l'État (RGS). Vous relevez quelques éléments inquiétants : des algorithmes obsolètes, l'absence de procédés de remplacement de clés de cryptage et la nécessité de médicaliser le codage, notamment sur le PMSI (programme de médicalisation des systèmes d'information), suite à son chaînage avec le SNIIRAM.
Le système intègre chaque année les données émanant de 500 millions de consultations, 1,2 milliard de feuilles de soins électroniques et 11 millions de séjours d'hospitalisation. Il n'y a pas eu d'études sur le coût de l'installation et du fonctionnement de ce dispositif.
Le deuxième chapitre constate que l'utilisation des données est trop malthusienne, donc inadaptée aux enjeux en matière de santé publique, de recherche, de maîtrise des dépenses et de diffusion de l'information.
La troisième partie invite à clarifier la nouvelle gouvernance de ce système née de la loi de modernisation de notre système de santé, en distinguant bien entre la gestion technique, la gouvernance stratégique et la gouvernance des accès. Vous insistez fort justement sur la nécessité d'être attentifs à la rédaction des décrets d'application et vous suggérez une logique de contrôle a posteriori afin d'éviter la rigidité des autorisations a priori. Enfin, vous insistez sur la nécessité de définir un modèle économique permettant de répondre concrètement au besoin de sécurisation de ces données sur les moyen et long termes.
Un décret en Conseil d'État écarte certaines possibilités de financement de l'accès aux données, mais des systèmes étrangers permettent l'accès libre et gratuit à des données agrégées, tout en prévoyant des contributions forfaitaires pour l'accès à des données spécifiques, voire une taxation pour l'accès à des données personnelles. Ce modèle économique est particulièrement vertueux.
La MECSS aura évidemment à coeur d'analyser tous ces enjeux stratégiques, sur la base du rapport que je vous invite maintenant à nous présenter.