Nous avons le plaisir d'accueillir ce matin le docteur William Joubert, secrétaire général de l'Union nationale des professionnels de la santé (UNPS), accompagné de M. Patrick Corne.

Je vous prie, messieurs, de bien vouloir excuser Mme Biémouret, coprésidente de la MECSS, qui n'a pu être présente parmi nous aujourd'hui.

Sujet stratégique s'il en est, le traitement des données médicales personnelles inter-régimes détenues par l'assurance maladie a fait l'objet, à la demande de la MECSS, d'un rapport de la Cour des comptes qui nous a été remis en mars dernier. Ce rapport, qui tient compte de l'évolution du cadre législatif, à savoir l'adoption de la loi de modernisation de notre système de santé, en particulier de son article 193, souligne les problèmes liés à la sécurisation du milliard et demi de données détenues par l'assurance maladie – qui constituent l'un des fichiers les plus importants au monde –, la nécessité d'assurer leur confidentialité et d'encadrer leur exploitation, laquelle doit être mise au service d'une stratégie nationale de la santé et échapper à toute marchandisation. Enfin, la Cour des comptes insiste sur la nécessité de définir un modèle économique afin de financer le coût du nouveau dispositif.

Pour commencer, messieurs, pouvez-vous nous dire quelles réflexions vous inspire le futur dispositif – puisque, je le rappelle, les décrets d'application de la loi sont en cours d'élaboration ?

Je vous remercie de votre invitation. Je rappelle, en préambule, que l'Union nationale des professionnels de la santé a été créée par une loi de 2004 ; elle regroupe les 400 000 professionnels de santé libéraux de France, représentés par les 22 syndicats les plus représentatifs des douze professions de santé de ville.

Le nouveau dispositif créé par l'article 193 de la loi de modernisation de notre système de santé ne nous convient absolument pas. Jusqu'à présent, en effet, l'UNPS siégeait en tant que fournisseur de données, aux côtés de l'État et de la Caisse nationale d'assurance maladie des travailleurs salariés (CNAMTS), au comité d'orientation et de pilotage d'information inter-régimes (COPIIR) du Système national d'information inter-régimes de l'assurance maladie (SNIIRAM). De ce fait, nous participions à la gouvernance du SNIIRAM et, surtout, nous pouvions déterminer nos accès à la base de données et gérer la délivrance des habilitations qui nous est confiée par la loi. Le COPIIR a disparu et doit être remplacé par le Système national des données de santé (SNDS). Or, même si nous attendons toujours les décrets, nous ignorons quelle place nous sera réservée au sein de la gouvernance de cette nouvelle instance. Cependant, il semble que nous serons considérés comme utilisateur et que nous n'aurons droit, à ce titre, qu'à un strapontin.

En outre, ce qu'on nous a présenté comme de l'open data risque pour nous de se transformer en closed data. Nous avions pourtant exprimé précisément nos besoins, qui sont croissants, dans le cadre de la commission de l'open data ; il en avait été pris acte, d'ailleurs. Hélas ! le filtre créé par l'Institut national des données de santé (INDS) nous priverait de l'accès aux données dont nous disposons actuellement.

Quels sont vos besoins ?

Nous participons à la vie sanitaire et, à cet égard, nous nous intéressons aux problèmes de permanence des soins, aux questions conventionnelles, au maillage du territoire, que ce soit au plan démographique ou au plan de la qualité des soins... Nous devons donc avoir le même niveau d'information que nos interlocuteurs. Or, dans le cadre du nouveau dispositif, seuls pourront accéder à cette information les organismes dont la mission est reconnue d'intérêt public, organismes dont, curieusement, nous ne faisons pas partie, à la différence des unions régionales de professions de santé (URPS).

À partir du début de l'année 2019, nous serons donc privés des accès dont nous disposons actuellement. Pour vous donner un exemple, je peux, aujourd'hui, formuler des requêtes concernant les datamarts de l'assurance maladie. J'ai ainsi accès au premier bassin, à la base « Dépenses d'assurance maladie inter-régimes » (DAMIR). Certes, celle-ci n'offre que des données agrégées, mais mes requêtes sont dynamiques : j'y intègre les filtres et les indicateurs que je veux. Je peux ainsi choisir la lettre-clé d'une profession sur une période donnée, dans le cadre d'un exercice libéral, en excluant les centres de santé, dans le ressort d'une certaine caisse primaire d'assurance maladie (CPAM). On nous répond que nous aurons accès à l'open data, mais les données se présenteront sous la forme de tableaux Excel ou de fichiers au format CSV parfaitement inexploitables.

J'ajoute que nous avions demandé à pouvoir accéder à l'échantillon généraliste de bénéficiaires (EGB), qui représente 197e de la population et couvre donc environ 570 000 personnes, et, surtout, au programme de médicalisation des systèmes d'information (PMSI), qui permet d'étudier le chaînage ville-hôpital et donc d'évaluer la consommation de soins, tant sur le plan économique – les dépenses – que sur le plan de la qualité des soins ou, en utilisant certains algorithmes, d'obtenir des renseignements sur une pathologie particulière. Tout cela, nous ne pourrons pas le faire.

Il nous faudra en effet passer par le filtre de l'INDS : notre requête sera examinée par le comité d'expertise pour les recherches, les études et les évaluations dans le domaine de la santé (CEREES), composé d'experts, puis par la Commission nationale de l'informatique et des libertés (CNIL), qui se voit ainsi attribuer, de manière inédite, un rôle scientifique. Or, le délai actuel moyen pour obtenir une réponse de la CNIL est de huit mois et une semaine. Si l'on y ajoute le temps nécessaire à l'élaboration d'un dossier, on arrive presque à une année. Ce n'est pas possible ! En outre, nos requêtes devront s'inscrire dans un accord-cadre dit permanent – qui, de fait, ne l'est pas, puisqu'il ne sera valable que cinq ans. On nous invite à participer à sa définition, mais cela ne nous est pas possible, dans la mesure où nos requêtes peuvent porter sur la démographie, les dépenses de soins, l'offre de soins…

Quelle est la position de l'UNPS sur les préconisations de la Cour des comptes ?

Au titre des missions confiées à l'UNPS par la loi, nous participons à la négociation de l'accord-cadre interprofessionnel et nous rendons des avis sur des décisions ou des projets de décret touchant à l'interprofession. La création du SNDS, dont le SNIIRAM restera la poutre maîtresse, nous apparaît donc comme un véritable recul puisque nous allons perdre les accès qui nous permettaient de contribuer à la réflexion en cours sur les parcours de santé, les parcours de soins, et le chaînage ville-hôpital. On sait que la « ville » reste le principal artisan du système de soins et est à l'origine de toutes les solutions d'organisation. Il est donc évident que nous avons besoin de disposer du même accès aux données que les agences régionales de santé (ARS), qui sont les partenaires avec lesquels nous mettons en oeuvre la politique de santé en ville. L'UNPS ne comprend pas qu'on lui interdise un tel accès aux données, que nous commencions à exploiter puisque nos demandes concernant l'EGB et le PMSI n'ont eu aucune suite, le COPIIR du SNIIRAM ne fonctionnant plus depuis 2014.

Certaines des préconisations de la Cour des comptes nous paraissent fondées. Le SNIIRAM est en effet une base de données très riche, mais sous-exploitée par certains organismes, tant les extractions sont complexes et les chemins d'accès difficiles. L'Institut des données de santé (IDS) nous fournissait un service d'aide à la décision (SAD) qui nous permettait de disposer de données agrégées et de tableaux de bord très utiles. Mais, pour des raisons de stratégie, il est maintenant sous la coupe de la CNAMTS, et je suis très inquiet pour la pérennité du système.

Quoi qu'il en soit, il est vrai, je le répète, que les données sont peu exploitées, que ce soit pour détecter les fraudes ou réaliser un suivi au plan sanitaire. Il suffit pourtant d'utiliser certains algorithmes pour restituer des parcours et répondre à un besoin sanitaire. Même la Haute Autorité de santé (HAS) utilise très peu cet outil.

La Cour des comptes met en exergue le problème de la sécurité informatique. Or, j'ai le sentiment que ce souci a pris le pas sur le reste, de sorte que nous nous retrouvons avec une véritable usine à gaz, puisqu'interviendront la direction de la recherche, des études, de l'évaluation et des statistiques (DREES), la CNIL, la CNAMTS, l'IDS, le CEREES… Il n'est pas facile d'y retrouver ses petits. En tout cas, lorsque nous avons pris connaissance de l'article 193, nous ne nous y sommes absolument pas retrouvés, au point que nous nous demandons pourquoi nous avons participé à toutes les réunions préparatoires.

La Cour des comptes a jugé que certains algorithmes étaient quelque peu obsolescents. Partagez-vous ce point de vue ?

Lors d'une réunion à laquelle j'ai participé au ministère de la santé en présence de Mme Touraine, les éminents chercheurs en informatique qui étaient présents ont déclaré qu'aucun algorithme ne pouvait assurer une sécurité parfaite et un anonymat complet.

Nous sommes cependant très vigilants sur ce point, car les données médicales méritent une attention particulière et un traitement qui leur soit propre. À cet égard, nous regrettons certaines décisions.

Nous souscrivons à l'état des lieux que la Cour des comptes dresse dans la première partie de son rapport ainsi qu'à la majorité de ses préconisations. En revanche, elle ne reconnaît pas suffisamment, selon nous, la place des professionnels de santé dans la gouvernance du SNDS.

Puisque vous avez évoqué une usine à gaz, quel serait, selon vous, le schéma de gouvernance idéal qui permettrait de concilier le filtrage des requêtes, nécessaire pour garantir la confidentialité des données et éviter toute marchandisation, et l'efficacité du dispositif ?

Il faut savoir que les filtres actuels interdisent toute utilisation des données à des fins de sélection du risque et de marketing. Dans un schéma idéal, nous serions associés à la gouvernance, comme c'était le cas le cas auparavant, et nous serions reconnus comme une structure d'intérêt public de manière à préserver nos accès aux données. Certes, les garde-fous de l'INDS assurent une grande sécurité ; mais, encore une fois, nous sommes exclus de la gouvernance et, surtout, nous n'obtenons pas les accès que nous réclamons, ce qui est pour nous incompréhensible.

Vous aurez compris que, pour nous, l'enjeu principal réside dans l'exploitation des zones grises, qui vont permettre l'organisation. À cet égard, nous aurions souhaité la création, comme à l'époque du groupement d'intérêts économiques (GIE) SESAM-Vitale, d'une zone neutre, c'est-à-dire d'un tiers de confiance auquel nous pourrions adresser nos requêtes afin d'avoir accès aux informations requises. Par ailleurs, au COPIIR du SNIIRAM, des insatisfactions ont été exprimées par le monde de la recherche, et nous avons le sentiment que l'on aurait pu y répondre en adoptant une solution plus satisfaisante que celle qui consiste à créer un melting pot, une usine à gaz, qui nous complique la tâche.

La Cour des comptes préconise la mise en place de contrôles a posteriori – en lieu et place des contrôles a priori qui contribuent à l'embolisation du système. Cette idée, d'inspiration anglo-saxonne, vous semble-t-elle pertinente ?

Quelles sont vos attentes vis-à-vis de l'INDS et de son articulation avec le SNDS ?

Le contrôle a posteriori me semble plutôt une bonne chose. Aujourd'hui, le comité d'agrément des hébergeurs exerce un contrôle a priori. Faute de moyens humains et financiers, les contrôles sont rares.

La loi a attribué à la CNIL un rôle scientifique et de censeur. Trois organismes – le CEREES, la CNIL et l'INDS – auront voix au chapitre. Que se passera-t-il lorsqu'ils ne seront pas du même avis ? Cette gouvernance risque de favoriser les blocages. En outre, de nombreuses instances, dont nous faisons partie, ne pourront plus accéder aux données qu'au prix d'une lourdeur administrative incompatible avec les demandes exprimées. Je pense que les chercheurs vont monter au créneau quand ils s'apercevront que l'accès dont ils disposaient est supprimé.

Je reviens sur l'articulation entre l'INDS et le SNDS.

Un certain nombre de membres de la commission de l'open data préconisaient que l'INDS joue un rôle de filtre, et qu'il soit doté de pouvoirs plus importants, afin de supprimer les intermédiaires. L'INDS devait accueillir cette zone neutre que nous avons appelée de nos voeux à plusieurs reprises.

Il est normal que le SNDS soit géré par la CNAMTS. En revanche, l'articulation entre le SNDS qui stocke les données et l'INDS, dont les missions sont floues est défaillante. Ce système, très complexe, n'est pas propice à un travail rapide et consensuel.

Si j'ai bien compris, vous émettez quelques réserves sur la fluidité du dispositif.

La gestion du SNDS par la CNAMTS ne nous pose aucun problème. Il n'en va pas de même pour l'articulation entre l'INDS et le SNDS. Non seulement nous ignorons la place qui sera la nôtre dans la nouvelle gouvernance mais nous considérons que le filtre de l'INDS risque de créer une inertie. Je pense que nous ne sommes pas les seuls à nous en inquiéter. Les chercheurs, lorsqu'ils comprendront qu'ils ne pourront plus accéder aux données, vont réagir aussi.

Vous avez évoqué, avec raison, le problème de l'allocation des moyens techniques, humains et financiers, dont l'insuffisance contribue à la thrombose du dispositif, au-delà de la complexité administrative et du volume phénoménal de données.

Les décrets d'application n'étant pas encore publiés, nous sommes dans une zone grise. C'est la raison pour laquelle la MECSS présentera un pré-rapport au début du mois de février qu'elle complétera lors de la prochaine législature, afin de pouvoir tirer les conclusions pertinentes des décrets d'application qui auront été finalisés.

L'UNPS a-t-elle évalué les moyens nécessaires et identifié des domaines dans lesquels les moyens sont particulièrement sous-dimensionnés ? À la CNIL, le service de la santé est, semble-t-il, riche de six personnes, ce qui à l'évidence n'est pas adapté à l'ampleur de la tâche.

Jusqu'à présent, une partie des professions de santé exploitait les données à travers l'IDS. Quant aux médecins, ils avaient créé un outil – l'Institut statistique des professionnels de santé libéraux (ISPL) – qui pouvait accéder au SNIIRAM dans certaines conditions. La création de l'IPSL a coûté beaucoup d'argent aux anciennes unions régionales des médecins libéraux (URML) et aux unions régionales de professionnels de santé. Le coût du traitement qui nous fournissait uniquement des services d'aide à la décision et des tableaux était déjà énorme.

L'UNPS ne dispose pas des moyens suffisants pour traiter les données. Les moyens devaient selon nous être dévolus au filtre de l'INDS et à la mise en place de la zone neutre nous permettant d'accéder aux données dont nous avons besoin. Nous ne sommes pas en mesure d'évaluer les coûts correspondants.

L'exploitation des données pourrait-elle donner lieu à l'établissement d'un classement des professions de santé ?

L'UNPS n'a pas les moyens de participer aux enquêtes que mènent les agences sanitaires. Si le schéma reste aussi contraignant, elle ne le pourra pas.

L'UNPS accepterait-elle un classement ?

La commission de l'open data s'était prononcée en faveur d'une possibilité de correction des données personnelles concernant les médecins et les professions de santé de ville sur internet. Face à l'éventualité d'un système de notation, il faut réaffirmer que la santé n'est pas un service comme un autre – elle exige une confidentialité, un rapport intime entre les patients et les professionnels, ainsi qu'une déontologie que ne connaissent pas d'autres services. Pour ces raisons, elle doit être traitée différemment.

Quels seront les critères premiers de l'évaluation d'un médecin ? Le service – délai d'attente, propreté de la salle d'attente… – ou la qualité de la prise en charge et le diagnostic ? Ces critères de notation suscitent de grandes interrogations. On en connaît les effets potentiellement pervers : les exemples dans d'autres domaines montrent que des officines vont se mettre en place, qui pourront être rémunérées, afin de profiter de ce nouveau marché. Est-on prêt à prendre de tels risques dans le domaine de la santé, sachant que cela peut déstabiliser le service lui-même ? Quand vous commencez à prendre à charge un patient en pensant aux critères de notation, votre travail en souffre.

Au-delà de l'inquiétude que vous exprimez, quelles sont vos propositions pour garantir une analyse plus objective ? L'exploitation des données du SNDS pourrait faire l'objet d'une présentation plus scientifique et opposable, destinée à la population qui dispose, au titre de la démocratie sanitaire, d'un droit d'accès à l'ensemble de ces données. Ne serait-ce pas finalement la meilleure stratégie pour répondre de manière efficace à une présentation déformée au service d'intérêts corporatistes ?

Si l'exploitation des données du SNDS était bien faite, elle pourrait constituer une réponse. Si ce réservoir énorme de données que nous sommes le seul pays au monde à posséder était exploité de manière complète, on pourrait démentir les informations qui circulent sur internet ; on sait que tout et n'importe quoi circule sur internet.

Nous parlons d'une présentation lisible de données incontestables et adossées à des faits, qui ne souffrent pas de déformation, susceptible d'être transmises aux médias qui sont en droit de revendiquer un droit à l'information. Un travail a-t-il été effectué en ce sens ?

Le SNDS va approcher le traitement qualitatif des données de façon plutôt marginale, à travers les affections de longue durée et la classification commune des actes médicaux (CCAM). Nous avons du mal à saisir de quelle manière la qualité du service d'un professionnel de santé pourrait être analysée par un service tel que le SNDS.

Le système est cloisonné afin d'éloigner les assurances et le milieu pharmaceutique de la masse de données disponibles, mais le risque d'une marchandisation de la santé est-il selon vous totalement écarté ?

Le maintien de certains accès ne risque-t-il pas d'aboutir à une évaluation des risques socioprofessionnels qui pourrait trouver une traduction dans les contrats collectifs, portant ainsi atteinte au principe de mutualisation et de partage du risque qui sont des principes fondateurs de notre système de santé ? Des contrats pourraient être déclinés en fonction du risque que peut comporter telle ou telle catégorie socioprofessionnelle. Quel est votre sentiment ?

Actuellement, lorsque des personnes sollicitent une extraction de données, la demande est examinée par l'IDS qui en vérifie la cohérence et la justification. Toute utilisation des données à des fins de sélection du risque et de marketing est écartée et entraîne le refus de l'extraction demandée.

On nous annonce qu'avec le big data et les géants de l'Internet comme Google, Apple, Facebook, Amazon – ce qu'on appelle les « GAFA » – la médecine ne sera plus curative mais prédictive. La sélection du risque existe déjà lorsque vous sollicitez un prêt bancaire.

Le système mis en place au sein de l'IDS a fait ses preuves. Le nouveau montage et l'importance qui y est accordée à la CNIL sur le plan scientifique risque de poser problème et de conduire à un blocage des dossiers. Le triptyque – INDS, CEREES et CNIL – est sans doute à revoir.

Vous dites que le risque est écarté pour les données agrégées. Le croisement des métadonnées et des capacités de médecine prédictive au travers du séquençage du génome pourrait aboutir à une atteinte intolérable au principe de solidarité qui gouverne notre système de soins. Pour vous, il ne s'agit pas d'un risque immédiat.

Le risque est déjà présent. Les professionnels de santé demandent évidemment aux responsables politiques de prendre toutes les mesures pour les prémunir contre une évolution qu'ils ne peuvent considérer autrement que comme un risque. Nous avons besoin d'être protégés de toute dérive mais cela relève du domaine politique.

Les assurances santé complémentaires ont été rendues obligatoires pour les salariés. Pour moi, cela s'appelle la sécurité sociale, mais ma vision est peut-être un rustique.

Non seulement cette assurance complémentaire est devenue obligatoire, mais elle laisse de côté ceux qui en auraient le plus besoin, c'est-à-dire les étudiants et les retraités.

Les conclusions de la mission sur les mutuelles délégataires du régime général d'assurance maladie sont mitigées. Le rapport favorable entre le coût et l'efficacité reste encore à démontrer. C'est un sujet sur lequel la MECSS reviendra afin de s'assurer que les formules d'articulation avec la CNAMTS apporteront enfin une réponse aux inégalités de soins absolument intolérables entre les mutuelles étudiantes.

L'articulation entre deux lois qui ont été votées – l'une sur les contrats responsables, l'autre sur l'assurance complémentaire obligatoire – nous pose d'énormes problèmes en termes de qualité et d'innovation.

La logique des contrats responsables et des réseaux de soins de l'assurance complémentaire obligatoire suscite à tout le moins une interrogation qui n'est pas seulement métaphysique, ni déontologique sur l'indépendance de prescription. Cette logique, associée à l'utilisation des métadonnées – même si celles-ci sont supposées être sécurisées –, peut fournir quelque tentation de classification des populations en fonction de leur degré de risque sanitaire, ce qui revient de fait à une sorte de marchandisation du concept assurantiel.

Cela concerne les assurances complémentaires mais aussi l'assurance obligatoire. On ne sait pas comment le système va évoluer sur un plan économique et politique. On peut imaginer une sélection des risques.

Nous sommes face à un paradoxe : les gens veulent à tout prix que leurs données médicales soient gardées dans un coffre-fort mais, dans le même temps, ils les mettent sur Facebook. Les « GAFA » les reprennent et réussissent à créer des algorithmes.

Souhaitez-vous nous faire part de préconisations particulières ?

L'UNPS, qui est un organisme exerçant des missions de service public, regrette sa mise à l'écart de la liste des organismes ayant accès directement aux données.

Notre deuxième demande porte sur la réciprocité d'information avec les ARS puisque nous jouons un rôle d'organisation sur le terrain tout comme elles. Nous devons pouvoir accéder aux mêmes données, avec la mise en place des outils que nous avons décrits, comme le tiers de confiance ou les zones neutres.

Je vous remercie, messieurs, pour votre présence et vos réponses.

Nous recevons maintenant M. Franck Von Lennep, directeur, et Mme Mylène Girard, chef de la mission « Accès aux données de santé » de la direction de la recherche, des études, de l'évaluation et des statistiques (DREES).

La masse grandissante des données de santé suscite des intérêts très divers. Dès lors, nous devons nous interroger sur la sécurité de ces données – le récent piratage de données personnelles recueillies par la société Yahoo est dans toutes les têtes –, mais aussi sur une stratégie nationale nouvelle, certes ambitieuse, mais dont la gouvernance peut être qualifiée de « touffue », ainsi que sur notre capacité à exploiter ce colossal gisement de données au profit de nos concitoyens. En particulier, il paraît indispensable de réfléchir à un modèle économique aussi efficient que possible : les moyens techniques, humains et financiers alloués à cette mission paraissent aujourd'hui tout à fait sous-dimensionnés.

La DREES est au coeur de ces questions.

Pouvez-vous commencer par nous dire quand sortiront les décrets d'application de l'article 193 de la loi du 26 janvier 2016 ?

Je vous informe que la MECSS rendra un pré-rapport avant la suspension de ses travaux en février 2017 ; le rapport final sera remis ultérieurement.

Merci, monsieur le président. La DREES a été chargée par Mme la ministre de la santé et des affaires sociales de piloter le projet de Système national des données de santé (SNDS). Nous avons à cette fin constitué une mission « Accès aux données de santé », qui est dirigée par Mme Mylène Girard qui m'accompagne aujourd'hui. Cette mission comprend quatre personnes, alors que ce sont des problèmes que nous n'abordions pas du tout il y a quelques années : cela marque, je crois, la volonté de l'État de se donner les moyens de mener à bien ce projet.

Nous avons installé un comité de pilotage stratégique du SNDS. Il rassemble les directions du ministère de la santé et les producteurs de données de santé, et se réunit trois à quatre fois par an. Il fixe les grandes lignes du projet et rend des arbitrages. Cette nouveauté – le Système national d'information inter-régimes de l'assurance maladie (SNIIRAM) n'était pas gouverné de cette façon – répond vraiment à un besoin, ce que la Cour des comptes avait d'ailleurs souligné.

D'autres comités se mettent également en place.

La DREES a également préparé les décrets d'application de l'article 193. Il y aura principalement trois décrets en Conseil d'État, pris après avis de la Commission nationale de l'informatique et des libertés (CNIL) – je laisse de côté un quatrième décret qui portera sur l'identifiant national de santé.

L'un de ces trois décrets sera rédigé ultérieurement, car il n'est pas nécessaire à court terme.

Un autre définit les données qui composent le SNDS et les institutions exerçant une mission de service public qui disposeront d'un accès permanent, c'est-à-dire qu'elles ne relèveront pas du droit commun de l'autorisation par la CNIL. Pour ces accès permanents, différents critères seront définis – périmètre et profondeur des données, type de variables qui pourront être croisées.

Le troisième modifie le décret relatif à la CNIL pour préciser les modalités de constitution et de saisine du comité d'expertise pour les recherches, les études et les évaluations dans le domaine de la santé (CEREES). Notre objectif est que la procédure et les délais soient aussi bien définis que possible : si les dossiers sont bien instruits en amont, la CNIL pourra prendre sa décision rapidement.

Ces deux derniers décrets ont donné lieu à une délibération de la CNIL au mois d'octobre dernier ; ils ont été examinés récemment en section sociale du Conseil d'État. Ils devraient être publiés dans les prochaines semaines – nous visons une publication au mois de janvier.

Parallèlement, d'autres textes sont nécessaires, en particulier un arrêté sur le référentiel de sécurité. Ce sera la validation juridique d'un travail de plusieurs mois mené en 2016 avec les producteurs de données et des spécialistes de la sécurité – notamment l'Agence nationale de la sécurité des systèmes d'information (ANSSI) et le haut fonctionnaire de défense et de sécurité du ministère – et en lien avec les services de la CNIL. Le référentiel de sécurité a été soumis à la CNIL, qui l'examinera en début d'année prochaine. Il est très attendu des producteurs de données, puisqu'il est indispensable à la mise en oeuvre technique du SNDS. Bien sûr, dans la mesure où nous les avons associés à notre travail, ils ne le découvriront pas tout à fait.

Le calendrier court jusqu'en 2019, avec différentes étapes d'ici là. Certains problèmes doivent être réglés dès l'ouverture du SNDS.

Connaissez-vous le coût de fonctionnement du SNDS ? Les moyens alloués sont-ils suffisants, d'autant que la masse de données va s'accroître ?

Il sera possible d'avoir accès aux données du SNDS directement, mais il sera également possible d'avoir accès aux différentes bases qui le constituent, en particulier le programme de médicalisation des systèmes d'information (PMSI). Aujourd'hui, les accès au PMSI – ce qui suffit à certains utilisateurs – sont organisés par l'Agence technique de l'information sur l'hospitalisation (ATIH), selon des modalités diverses : il est possible d'y accéder directement, ou par l'intermédiaire du centre d'accès sécurisé distant aux données (CASD) du Groupe des écoles nationales d'économie et de statistique (GENES).

Ces accès aux données du PMSI se font aujourd'hui dans l'esprit du nouveau référentiel, avec notamment une traçabilité des accès à distance – le ministère de la santé a mis fin depuis l'année dernière à la distribution du PMSI sous forme de CD-ROM.

L'ATIH a consenti des investissements importants pour assurer ces accès au PMSI, avec de nouveaux serveurs et de nouveaux dispositifs de sécurité.

Ce dispositif vous paraît-il suffisant ?

Oui, à ce stade, il l'est. Nous avons interrogé les utilisateurs – dont la DREES fait d'ailleurs partie. Quelques questions se sont fait jour lors des premiers mois de la mise en place du nouveau système, mais aujourd'hui le système nous paraît correctement dimensionné et les besoins des utilisateurs bien pris en considération.

Certains des utilisateurs du PMSI sont des entreprises privées, qui fournissent des services soit aux établissements hospitaliers soit aux industriels. Ces utilisateurs privés accèdent au PMSI par l'intermédiaire du CASD. Tous ceux que nous rencontrons nous confirment que le service est de bonne qualité.

Il sera probablement possible à l'avenir, pour les chercheurs qui en ont besoin, d'accéder directement à la base concernant les causes de décès, qui est gérée par l'Institut national de la santé et de la recherche médicale (INSERM). C'est un point mineur, dans la mesure où cette base de données est le plus souvent utilisée avec d'autres.

L'accès à l'ensemble des données rassemblées au sein du SNDS sera géré par la Caisse nationale d'assurance maladie des travailleurs salariés (CNAMTS). La question des moyens doit donc être posée au directeur général de la CNAMTS. La convention d'objectifs et de gestion (COG) actuelle de la CNAMTS comprend pour la première fois un chapitre consacré aux données de santé, avec des moyens spécifiques. La prochaine COG ne sera discutée qu'en 2017, mais la question des moyens dédiés à la gestion des données de santé est d'ores et déjà soulevée.

Il faudra traiter la question des outils technologiques et de la sécurité – le SNDS devra de toute façon répondre aux besoins de sécurité établis par le référentiel – mais aussi celle de l'accompagnement des utilisateurs et des services qui leur seront proposés.

Vous évoquiez la question du modèle économique. Faut-il tout financer sur les fonds alloués à l'ATIH et à la CNAMTS, ou pouvons-nous prévoir un financement complémentaire par les utilisateurs ? C'est l'un des chantiers en cours.

Nous avons demandé au secrétariat général pour la modernisation de l'action publique (SGMAP) de mener une mission sur le SNDS. Elle vise d'abord à mieux appréhender les besoins des utilisateurs et surtout les utilisations actuelles des données, que nous ne connaissons finalement pas si bien que cela, surtout si l'on prend en considération que ces données du SNDS doivent être comprises au sein d'un environnement – logiciels d'interrogation, utilisation avec d'autres données issues d'autres sources… Nous devons nous assurer qu'il n'y aura pas de rupture de service lors de l'ouverture du SNDS. D'autre part, cette mission doit proposer des pistes pour un modèle économique. La DREES avait commencé à réfléchir à ce sujet, avec l'ensemble de nos partenaires, notamment privés. La loi prévoit une gratuité des données pour les acteurs qui répondent à un besoin de service public ; elle laisse dès lors ouverte la possibilité d'une contribution demandée aux autres acteurs.

La mission du SGMAP est en cours : nous ne pouvons donc pas vous répondre précisément sur ce sujet.

Un financement par les acteurs privés est à mon sens nécessaire et légitime : la collecte de données publiques par des acteurs publics doit être rétribuée.

Quand le SGMAP doit-il vous rendre ses conclusions ?

La première étape, c'est-à-dire l'établissement du panorama des utilisateurs, est terminée. La deuxième étape, celle du recensement des coûts, commence. Nous espérons disposer d'une première vision globale au mois de février, afin de pouvoir prendre des décisions en toute connaissance de cause aux mois de février ou de mars.

Nous auditionnerons sans doute le SGMAP au mois de janvier prochain.

Le rapport comprendra-t-il des éléments sur les expériences étrangères ?

Au mois de janvier, le travail sera bien avancé.

Quant aux systèmes étrangers comparables, le sujet a été évoqué. Mais, aujourd'hui, le SGMAP se concentre sur un recensement très fin de tous les coûts, chez tous les acteurs. Il existe des modèles économiques très différents, et le SGMAP a aussi l'intention de se pencher sur les modèles privés, notamment le CASD et les bulles privées mises en place par certains acteurs privés utilisateurs du PMSI. Nous aurons ainsi une idée générale des modèles existants, ainsi que des conséquences du référentiel de sécurité. En la matière, tous les acteurs ne sont pas au même niveau : il faudra donc, pour chaque acteur, mesurer l'écart à la cible et la trajectoire.

Une fois toutes ces données recueillies, il faudra travailler à les rendre comparables : l'harmonisation ne sera pas simple.

Nous donnons donc la priorité à la maîtrise de notre système, qui est très complexe.

S'agissant de la gouvernance du SNDS, avez-vous identifié des freins ou des complications potentielles ?

En matière d'accès aux données, il faut distinguer les problèmes techniques – sécurité des données mais aussi capacité pour l'utilisateur à s'en servir dans son environnement de travail, ce qui nécessite des investissements des producteurs de données – des problèmes juridiques, c'est-à-dire l'autorisation délivrée soit par la CNIL, soit par d'autres acteurs.

C'est sur ce second aspect que nous allons nous concentrer au cours des prochains mois. Nous allons en effet mettre en place la gouvernance de droit commun prévue par la loi, avec le CEREES et l'Institut national des données de santé (INDS), qui ont pour mission d'éclairer la CNIL. Si ces instances sont bien structurées, si elles traitent rapidement les dossiers, alors les délais d'examen globaux seront raccourcis – ce qui est la première demande des utilisateurs.

La loi prévoit également, ce qui est moins visible mais très important, des méthodologies de référence et des procédures simplifiées. C'est notre priorité pour les six à huit prochains mois, en collaboration avec l'Institut des données de santé (IDS), futur INDS, et avec la CNIL.

Les procédures simplifiées concerneront en particulier l'accès à l'échantillon généraliste de bénéficiaires (EGB), qui est extrait du SNDS, et qui est d'une grande richesse pour des utilisateurs qui n'ont pas besoin de données extrêmement fines. La loi prévoit que l'autorisation d'accès peut être déléguée par la CNIL à l'INDS, dans le cadre d'une procédure homologuée par la CNIL. Nous allons préparer cette procédure.

Aujourd'hui, nombre de demandes d'accès au SNIIRAM sont des demandes d'accès à l'EGB. Si nous sommes capables de construire une procédure sécurisée, comportant une phase d'instruction, mais facilitée et raccourcie, nous répondrons aux besoins d'un grand nombre d'utilisateurs.

Quand cette procédure sera-t-elle au point ? Les moyens humains et financiers alloués à l'INDS seront-ils suffisants ?

S'agissant de l'amélioration des délais, quels sont vos objectifs ?

Je répondrai d'abord sur la question des délais. Récemment encore, l'accès était ouvert aux seuls acteurs à but non lucratif ; l'accès aux données du SNIIRAM était interdit aux acteurs à but lucratifs. Un arrêt du conseil d'État du 20 mai 2016 nous a demandé de revenir sur cette inégalité : un nouvel arrêté a donc été signé au mois d'octobre.

Aujourd'hui, en droit, tous les acteurs peuvent accéder à l'EGB. Nous devons naturellement appliquer ce nouvel arrêté. Toutefois, si l'article 193 de la loi du 26 janvier 2016 n'est pas encore en vigueur puisque les décrets d'application ne sont pas parus, nous connaissons l'intention du législateur d'encadrer les accès aux données de santé en définissant des finalités, certaines étant explicitement interdites.

Nous essayons donc de mettre en place une gouvernance de l'IDS qui respecte le droit actuel sans être contraire à ce que nous allons faire dans quelques mois.

En ce qui concerne les acteurs privés, il n'y a donc pas de délai de référence : ils n'accédaient pas à l'EGB. Ils pourront accéder au SNDS, et notre objectif est que cela se fasse rapidement.

Quant aux acteurs publics, il s'agit pour une grande part d'équipes de recherche de l'INSERM ou de centres hospitaliers universitaires (CHU). Nous prévoyons pour eux un accès permanent à l'EGB : ils n'auront donc plus besoin de passer par l'IDS.

Quels étaient les délais auparavant ?

Pour des équipes qui savaient utiliser les données – car il y a nécessairement un temps de formation – ce doit être aujourd'hui deux à trois mois. Bientôt, pour les équipes des CHU et de l'INSERM, l'accès sera immédiat. Pour celles qui ne disposeront pas d'accès permanent, notre objectif est qu'il s'écoule, entre le dépôt de la demande à l'INDS et l'autorisation, environ deux mois.

Nous avons également pour objectif de multiplier les méthodologies de référence, qui sont des procédures standardisées définies par la CNIL. Si un utilisateur s'engage à respecter l'une de ces méthodologies, alors il n'a plus besoin de demander l'autorisation de la CNIL. L'utilisateur se déclare conforme, et des audits seront réalisés ex post. Il n'existe aujourd'hui aucune méthodologie de référence en matière de données médico-administratives. Nous avons commencé à évoquer le sujet avec les utilisateurs et la CNIL.

L'utilisation de ces méthodologies de référence permettrait de réduire extraordinairement tous les délais d'instruction.

Revenons-en à ma première question, qui portait sur les procédures et les moyens.

Les procédures doivent être validées par la CNIL, à laquelle nous faisons des propositions, étant en contact avec les utilisateurs, et nous-mêmes grands utilisateurs de ces données. Un travail en commun entre l'INDS et la DREES est donc prévu ; la DREES en assumera la plus grande part le temps que l'INDS monte en puissance, et il sera au fur et à mesure davantage mené par l'INDS. Le CEREES, comité indépendant auquel la loi donne mission d'évaluer la validité scientifique des protocoles ou des demandes d'études, est associé à ces travaux. Il nous semblerait par exemple intéressant qu'il intervienne dans la procédure d'homologation de demande d'accès à l'EGB.

Aujourd'hui, il faut le reconnaître, les moyens pour mener à bien ces tâches sont limités.

Mais quand la procédure sera-t-elle finalisée ? En mars, en mai, en juin, en septembre ?

Il m'est difficile de vous donner une date : je ne peux pas m'engager pour la CNIL, dont relève la décision finale. Notre objectif est de soumettre nos propositions à la CNIL dès que l'INDS et le CEREES seront constitués, et nous souhaitons qu'ils le soient d'ici mars. En effet, les décrets dont j'ai indiqué que nous voulions les faire paraître en janvier prévoiront pour début avril l'entrée en vigueur du SNDS et la nouvelle procédure d'accès aux données. Mais nous dépendons pour cela de la création de l'INDS : sans INDS, la procédure visée par la loi ne peut être mise en oeuvre.

Le « top départ » est donc fixé à avril ?

Oui, et comme nous aurons travaillé en amont, c'est dès avril que nous souhaitons soumettre la procédure à la CNIL.

Il faudra ensuite tenir compte du délai d'instruction du dossier par la CNIL, de réflexion, etc. – deux mois peut-être ?

Je le répète, il m'est difficile de m'engager pour la CNIL.

Mais, d'après votre expérience, est-ce un délai raisonnable ?

Il nous faudra discuter avec la CNIL du degré de priorité qu'elle peut accorder à ce dossier alors qu'elle est saisie de nombreuses autres demandes complexes dans le domaine de la santé. Mais si nous obtenons que cette question ait la priorité, nous en aurons fini avant l'été.

Qu'en est-il non seulement des moyens de l'IDS et du futur INDS, mais aussi de ceux dont bénéficie la CNIL dans le domaine sanitaire ? Le nombre limité d'experts de la CNIL – leur qualité n'est pas en cause – est-il suffisant pour éviter un effet d'entonnoir ? Certes la normalisation et la simplification des procédures allégeront leur travail, mais l'inadéquation manifeste entre l'offre et la demande semble requérir une montée en puissance des moyens face à l'explosion du marché des données.

C'est aux délais d'instruction auxquels nous serons parvenus que l'on jugera de la réussite du projet. Aujourd'hui, ils peuvent être assez longs, ce qui est sans doute lié à l'insuffisance des moyens dont dispose la CNIL, ainsi qu'au fait que des demandes relatives aux données médico-administratives parviennent à la CNIL sans avoir été assez normées et étudiées en amont, ce qui oblige à une interaction avec le demandeur.

Dès lors, c'est non seulement par les méthodologies de référence que l'on peut remédier au problème que vous évoquez, mais aussi par la structuration des projets en amont grâce au CEREES. C'est au niveau de ce dernier que s'opérera désormais l'échange avec l'utilisateur. Quand celui-ci est assez rompu à l'exercice pour donner à sa demande le format requis, on voit très clairement quelles sont les données demandées et à quelles fins, de sorte que l'examen de la requête peut être très rapide. En revanche, il arrive qu'un nouvel utilisateur attribue à sa demande une finalité inaccessible à partir des données du SNDS ; il faut alors le lui expliquer, lui indiquer que telle ou telle variable ne figure pas dans le système, etc. C'est le comité d'expertise – ou l'INDS – qui s'en chargera maintenant, pour soulager la CNIL.

Tout cela suppose des moyens pour le CEREES comme pour l'INDS. Nous l'avons toujours dit depuis que nous avons commencé à préparer le texte. En d'autres termes, le comité d'expertise doit être suffisamment étoffé et ses experts un tant soit peu rémunérés pour un travail qu'ils font généralement en dehors de leur activité professionnelle, très souvent le week-end, et auquel ils consacrent plusieurs heures dès lors que le dossier est un peu compliqué, sans compter les réunions au cours desquelles ils en discutent ensemble. Il faut donc une vingtaine d'experts indemnisés – nos discussions à ce sujet avec le ministère de la recherche sont en bonne voie – et un INDS doté d'un budget suffisant pour recruter des équipes d'experts de bon niveau ; la présidente et la directrice de l'IDS, que vous allez auditionner après nous, y oeuvrent. Nous y travaillons naturellement avec elles et nous sommes en train d'évaluer les moyens dont l'INDS aura besoin, compte tenu du flux prévisible de dossiers, pour respecter les délais auxquels nous nous engageons.

Cela implique-t-il de doubler les effectifs ?

Cela implique d'augmenter, probablement de plus de 50 %, le budget actuel de l'IDS.

La rémunération des experts me paraît devoir aller de soi. Mais, en tout état de cause, le comité d'expertise va donner lieu à un débat – pour ne pas dire une polémique – classique sur l'indépendance de ses membres et le risque de conflit d'intérêts. Comment assurer un niveau d'expertise suffisant sans que la multiplicité des tâches des experts les expose à ce soupçon ? Comment, pour traiter de sujets aussi vastes que ceux dont le comité d'expertise aura à connaître, trouver une vingtaine d'experts incontestables scientifiquement et déontologiquement ?

En général, on y arrive. Notre but est bien que ces experts aient des parcours différenciés et des compétences variées. Des déclarations d'intérêt public et les autres dispositions requises en pareil cas sont évidemment prévues. En outre, dans certains cas, s'agissant de dossiers particuliers ou très complexes – une demande d'étude sur un médicament très spécifique, par exemple –, le président du comité pourra faire appel à des experts extérieurs si une compétence fait défaut en interne.

Voilà pourquoi nous avons cherché à ouvrir le plus possible le comité. Le fait qu'il se compose d'une vingtaine de membres permettra de compter sur un large éventail d'expertises. On le voit déjà avec le vivier d'experts récemment constitué par l'IDS pour évaluer toutes les demandes d'accès à l'EGB : avec dix ou douze personnes, on couvre un champ très large.

Quant à la question des conflits d'intérêt, elle se posera dans ce cadre comme partout ailleurs.

Venons-en à la sécurisation informatique.

À ce sujet, la Cour des comptes a notamment relevé l'obsolescence de certains des algorithmes utilisés et la multiplicité des portes d'entrée, qui offrent autant d'opportunités à la piraterie informatique. Comment résoudre ces problèmes, s'agissant de données particulièrement sensibles ?

J'en profite pour vous interroger également sur le « tiers de confiance », un terme générique pour une démarche censée simplifier les choses du point de vue méthodologique : qu'en pensez-vous, sur la forme comme sur le fond, du point de vue de la qualité, de la confidentialité et de la sécurité des données ?

Vous évoquez, après la Cour des comptes, la pseudonymisation, c'est-à-dire le processus par lequel on transforme des données identifiantes, en particulier le numéro de sécurité sociale, en éléments non identifiants. Ce processus en lui-même doit être absolument sécurisé, mais il permet aussi d'aboutir à une base moins exposée au risque. Les bases de Yahoo auxquelles vous avez fait précédemment allusion peuvent être directement identifiantes ; ce n'est pas le cas du SNDS, qui ne contient plus ni noms, ni adresses, ni numéros de sécurité sociale. Dès lors que le code attribué à chacun d'entre nous reste secret, empêchant de remonter à l'identifiant initial – ce qui est le cas aujourd'hui –, la base elle-même peut être ré-identifiante, comme on l'a beaucoup dit et écrit, si l'on dispose d'informations extérieures ; mais elle ne l'est qu'à cette condition.

Lors de son audition, le docteur Blum nous a dit qu'il suffisait d'une nouvelle hospitalisation au cours d'une même année pour permettre la ré-identification grâce au chaînage.

À condition de disposer d'informations extérieures, par exemple de savoir que telle personne a été hospitalisée dans tel établissement ou à telle date. C'est d'ailleurs la raison pour laquelle ces données restent sensibles et pour laquelle nous les sécurisons. Mais l'étape de la pseudonymisation est une source très importante de réduction du risque.

Le processus de pseudonymisation lui-même doit être sécurisé. Pour cela, la Cour des comptes comme la CNIL estiment nécessaire de le revoir de temps en temps. La CNAMTS doit donc lancer des travaux en ce sens, qui font déjà partie de son plan d'action ; ils sont toutefois très lourds, car ils impliquent de modifier toutes les procédures, dans tous les hôpitaux – dont partent les données du PMSI –, les caisses primaires d'assurance maladie (CPAM), etc., et de récupérer le stock de données afin de ne pas séparer les nouvelles données des anciennes et de ne pas perdre le chaînage, très précieux pour les études de santé publique. Ces travaux sont prévus dans les deux ans à venir.

S'agissant de ce chantier sur lequel la CNIL avait insisté, l'étude est lancée, mais le travail va effectivement occuper les deux ou trois prochaines années. Si l'application aux nouveaux flux d'un nouveau système de pseudonymisation ne pose pas de problème, la reprise du stock, notamment des trois flux qui nous arriveront au premier semestre 2017, représente un travail de fond colossal.

Parmi les préconisations formulées par la Cour des comptes pour garantir la qualité du « coffre-fort informatique » figurait le classement de la CNAMTS parmi les opérateurs d'importance vitale. Comment se traduirait-il concrètement au niveau réglementaire et quels moyens techniques, humains et financiers requerrait-il ? J'ai cru comprendre qu'il y faudrait une vingtaine de millions d'euros ; confirmez-vous ce chiffre ? Vous me renverrez sans doute vers le directeur général de la CNAMTS, mais la DREES pourrait avoir son idée à ce sujet. Je songe aussi aux implications de la modification des algorithmes.

Je comprends que la reprise du stock représente un travail considérable, mais le délai de deux à trois ans que vous évoquez suscite l'interrogation alors que les attaques informatiques se multiplient et qu'il est difficile d'en identifier l'origine dans un univers totalement dématérialisé.

La CNIL et la Cour des comptes ne nous ont pas recommandé de changer immédiatement d'algorithme, mais de nous préparer à le modifier. Il nʼexiste aucun risque dans l'immédiat. Il ne faut donc pas inquiéter les utilisateurs, en particulier les patients dont les données figurent dans la base.

Quant à la recommandation de la Cour des comptes sur l'octroi à la CNAMTS du statut d'opérateur d'importance vitale, le directeur général de la CNAMTS pourra en effet vous renseigner plus précisément sur les modalités techniques ou les coûts de sécurisation, mais la DREES ne la juge pas pertinente. Il s'agit de pseudonymiser les données. Si l'on coupe le SNIIRAM pendant quinze jours, cela n'aura aucune conséquence sur la santé des Français. Le SNIIRAM est un outil de recherche, d'étude, d'évaluation dont l'apport à la recherche, à l'innovation et à la santé publique est considérable, mais dans le temps long. Il ne nous paraît donc absolument pas raisonnable de consacrer à cet outil des investissements de l'ordre de grandeur que vous évoquez.

Notre réflexion et les décisions qui en ont résulté portent sur la sécurisation des accès aux données du SNDS. L'objectif est à la fois de sécuriser les données là où elles sont et de contrôler leurs usages, ce qui n'était guère ou pas du tout fait jusqu'ici. Le référentiel de sécurité prévoit ainsi une traçabilité qui n'existait pas pour le PMSI. Le niveau de sécurité est donc significativement relevé. Mais il s'insère toujours dans une gradation : d'abord l'open data, ensuite le PMSI sur CD-ROM, enfin les données pseudonymisées dans des bulles dont on ne peut les extraire, tous les accès et requêtes étant tracés. C'est ce dernier niveau que cible notre référentiel de sécurité. Le niveau encore supérieur, applicable à des données du type de celles qui concernent le nucléaire, ne nous semblait pas nécessaire.

Pour permettre d'apprécier le risque, il faut rappeler que la pseudonymisation est un principe de sécurité, d'ailleurs rappelé dans le règlement européen sur la protection des données qui va s'appliquer directement à partir de 2018 et sur le fondement duquel nous avons préparé le référentiel afin d'être en phase avec les nouvelles tendances. En outre, le risque ne réside pas dans la ré-identification elle-même, qui n'est qu'une étape, mais dans la fuite de l'information associée et dans l'atteinte à la vie privée qui pourrait en résulter. Bref, sa réalisation suppose de franchir plusieurs barrages. Avant d'accéder au système pseudonymisé, l'assurance maladie et les hôpitaux ont des bases nominatives : le risque d'attaques et d'atteinte à la vie privée de la part d'un utilisateur malveillant est alors bien plus grand.

Tout le monde a bien à l'esprit les faits divers de ransomware.

Le niveau de sécurité est très élevé, pour tenir compte de ce risque. Le principe est la responsabilité systématique du responsable du traitement et des gestionnaires de système, et dans tous les cas une analyse des risques en vue de mettre en oeuvre des procédures adaptées au risque encouru, certaines données étant plus identifiantes que d'autres. La traçabilité constitue aussi un principe essentiel : pour les bases nominatives comme pour les bases pseudonymisées, on réduit significativement le risque en faisant savoir que l'on trace un individu et son action sur les données, et en rappelant les sanctions pénales prévues.

Pourtant, dans un univers dématérialisé, il est aisé de s'exonérer des rigueurs de la loi en attaquant à distance, depuis des pays qui n'ont pas nécessairement la même solidité juridique que nous.

Cet aspect renvoie à des éléments d'architecture à propos desquels la CNAMTS vous répondra bien plus précisément.

Par ailleurs, historiquement, le SNIIRAM n'est pas seulement un outil de recherche : c'est un outil de liquidation des droits, ce qui crée un intérêt à agir si l'efficience administrative est compromise.

L'outil de liquidation des droits est dans les CPAM. C'est lorsque les données sont extraites des CPAM et agrégées qu'elles deviennent le SNIIRAM. À ce stade, les données étant pseudonymisées, les intérêts touchant à la liquidation des droits disparaissent, de même que tout lien avec l'assuré, que l'assureur ne peut plus reconnaître. Le SNIIRAM se situe un degré au-dessus de l'outil de gestion de l'assurance maladie.

Il existe tout de même une interpénétration.

Qu'en est-il de l'exposition des données aux intérêts matériels des opérateurs privés de l'assurance ou de l'industrie pharmaceutique ? Le dispositif législatif actuel sanctuarise les données, mais d'aucuns craignent une marchandisation de la santé et une sélection du risque qui conduirait à faire varier les contrats en fonction du risque présenté, individuellement ou collectivement – par exemple par une catégorie socioprofessionnelle. Qu'en pensez-vous ? Ce danger vous paraît-il entièrement écarté ?

En tout cas, la loi tente de l'écarter, en interdisant deux finalités de l'utilisation des données : la promotion des produits de santé et la sélection du risque en assurance.

Il est essentiel de respecter la loi, donc de recourir à des procédures d'instruction permettant d'éviter que certains acteurs ne tentent malgré tout de poursuivre ces finalités interdites. Mais il nous semble également important de permettre aux acteurs privés, y compris les assureurs ou les industriels de santé, de soumettre les données aux usages autorisés.

C'est dans cet esprit que je co-anime avec des industriels de santé un groupe du comité stratégique de la filière santé qui travaille sur l'accès aux données du SNDS et où siègent des représentants des laboratoires pharmaceutiques et des industriels des dispositifs médicaux. Vous les auditionnerez, je crois, au cours des prochaines semaines. Nous travaillons en étroite collaboration avec eux. Il leur paraît important, pour faire respecter la loi, de définir les finalités interdites de manière à donner des lignes directrices claires aux utilisateurs ; mais ils nous rappellent régulièrement, et nous partageons leur préoccupation, que ces données constituent une grande richesse pour les utilisateurs, parmi lesquels les industriels des produits de santé, et que cela peut être un atout dans la compétition économique. Nous avons des discussions très précises sur des cas d'usages dont il s'agit de se demander si leur finalité est autorisée ou non, d'intérêt public ou non – puisque la loi subordonne les accès à l'existence d'un motif d'intérêt public.

Nous avons commencé par les industriels car ce groupe du comité stratégique de filière se lançait ; nous n'avons pas encore entamé le même type de travaux avec les assureurs, mais nous devrons le faire en 2017. Les industriels des produits de santé sont plus avancés dans leur réflexion sur l'utilisation des données de santé, médico-administratives ou autres, car elle relève de leur activité quotidienne dans le cadre des études cliniques ou en vie réelle qu'ils mènent. Ce n'est pas le cas des assureurs, que nous allons donc accompagner dans la construction de leur réflexion.

Aux termes de la loi, ces deux types d'acteurs accéderont aux données par le biais d'intermédiaires : des bureaux d'études publics ou privés. Nous devrons donc publier un arrêté définissant les critères d'homologation de ces bureaux d'études. Le principe est le suivant : puisque les industriels des produits de santé et les assureurs sont concernés par les finalités interdites, il est plus simple, clair et rassurant pour tout le monde qu'ils ne traitent pas eux-mêmes les données. Cela ne pose aucun problème aux industriels des produits de santé. L'enjeu est maintenant de construire un écosystème suffisant de bureaux d'études connaissant ces données.

La politique, c'est la maîtrise du temps. Dans quel délai l'arrêté sera-t-il publié ?

Probablement à la fin du premier ou au début du deuxième trimestre. Nous le soumettrons en tout cas à la concertation au premier trimestre.

Votre distinction entre les industriels et les assureurs confirme l'impression que ces derniers nous ont faite lors de notre toute première audition : nous avons assisté à un numéro très… généraliste, pour rester courtois ! Cela nous a laissés perplexes alors que l'évolution législative qui a rendu la complémentaire santé obligatoire en entreprise pourrait faciliter la catégorisation socioprofessionnelle des assurés et la variation des contrats en conséquence. L'enjeu n'est pas mince : il s'agit d'éviter toute sélection par le risque.

Aujourd'hui, les complémentaires santé ont le droit de pratiquer une sélection selon l'âge.

Dans ces conditions, il est assez savoureux qu'elles nous rebattent les oreilles du principe de solidarité. Visiblement, cette notion est à géométrie variable !

Enréalité, il ne s'agit pas d'une sélection – tout le monde est assuré – mais d'une tarification selon l'âge.

Si ce n'est pas une sélection, je ne sais pas ce que c'est.

Il peut exister dans certains cas des limites maximales d'âge pour l'adhésion. Mais, globalement, il s'agit bien d'une tarification selon l'âge, dont les variations selon les familles d'assureurs sont analysées dans de nombreuses publications de la DREES.

Surtout avec des coûts de gestion quatre fois supérieurs à ceux de l'assurance maladie obligatoire !

C'est un autre sujet. En tout cas, les assureurs ne doivent pas utiliser les données du SNDS pour réfléchir à une tarification en fonction de l'état de santé, interdite par la loi. C'est dans cet esprit que nous travaillerons avec eux en 2017. Il ne faudrait pas que l'assureur puisse inférer l'état de santé à partir de données auxquelles il aurait accès. Les fédérations en étaient d'accord lorsque nous en avons discuté avec elles au moment où nous préparions l'article 193. Il faut maintenant passer du principe à la mise en oeuvre. À cet égard, dès que nous aurons bien avancé avec les industriels, au premier trimestre 2017, nous pourrons travailler aussi avec les assureurs.

Avez-vous d'autres observations à formuler ?

Après la sécurisation du système et la simplification des procédures, le troisième volet de notre travail est l'identification d'experts compétents pour traiter les données. C'est un enjeu stratégique pour les pouvoirs publics, pour le ministère, pour les caisses de sécurité sociale et pour les agences de santé de disposer de compétences en interne et d'être assez attractifs pour les conserver alors que les accès sont de plus en plus ouverts aux acteurs privés et que les compétences visées sont rares. Nous, directeurs des différentes institutions, le savons, mais peut-être n'en a-t-on pas collectivement pris conscience.

Vous prêchez un convaincu : je suis jacobin par nature !

Merci pour vos réponses très éclairantes. Peut-être aurons-nous à vous interroger à nouveau par écrit.

Nous avons le plaisir d'accueillir, pour cette troisième audition, Mme Yvanie Caillé, directrice générale, Mme Chantal Cases, présidente, et Mme Valérie Edel, directrice adjointe de l'Institut des données de santé.

Mesdames, soyez les bienvenues à l'Assemblée nationale. Depuis environ un mois, nous avons procédé à un certain nombre d'auditions. La vôtre est la dernière à laquelle nous procéderons cette année, avant l'interruption de nos travaux. C'est pourquoi notre mission établira un pré-rapport pour la première quinzaine du mois de février 2017, avant de poursuivre son travail au cours de la prochaine mandature et de rendre un rapport définitif sur ce sujet des données personnelles médicales inter-régimes.

Nous avions mandaté la Cour des comptes, qui a fourni un rapport de grande qualité en mars 2016, à l'intérieur d'un tissu législatif qui s'était étoffé au travers de l'article 193 de la loi de modernisation de notre système de santé, à partir duquel nous vous avons adressé un questionnaire.

Le rapport aborde la question de la gouvernance d'un système qui aura vocation à traiter une masse de données considérable, d'un milliard et demi de données, sachant que les données agrégées du SNIIRAM et du programme de médicalisation des systèmes d'information (PMSI) s'enrichiront de celles du Centre d'épidémiologie sur les causes médicales de décès (CépiDC) et des données médico-sociales. Cette masse soulève des problèmes de sécurité d'accessibilité de ces mêmes données au service de l'intérêt général non seulement de nos concitoyens et de leur santé, mais aussi de la Nation. Enfin, au-delà des réflexions sur la démocratie sanitaire, et donc sur les procédures à utiliser pour les mettre à disposition, la Cour s'est penchée sur la nécessité de définir un modèle économique pour définir les coûts du nouveau système.

Je vous propose de reprendre l'ensemble des questions qui vous ont été adressées, en en faisant saillir les points que vous jugez essentiels. Nous nous permettrons ensuite, éventuellement, de vous demander de préciser certaines de vos réponses.

Monsieur le président, j'ai souhaité qu'Yvanie Caillé et Valérie Edel, qui sont plus à même que moi de vous répondre sur le fonctionnement actuel de l'Institut des données de santé (IDS), et vraisemblablement du futur Institut national des données de santé (INDS), m'accompagnent pour compléter mon propos.

Vous nous avez posé quelques questions sur les recommandations du rapport. Cette analyse nous est apparue extrêmement utile, et ces recommandations nous conviennent.

À titre personnel, j'ai participé à d'assez nombreux travaux préliminaires sur les questions des données de santé. J'ai notamment été membre, pendant un certain nombre d'années, du Haut Conseil de la santé publique (HCSP) et de son groupe de travail « Systèmes d'informations en santé », qui avait produit à l'époque deux rapports – l'un en 2009, l'autre en 2012 – prônant une utilisation plus fine, plus approfondie et plus fréquente des grandes bases de données de l'assurance maladie. Et nous avons eu le plaisir de retrouver, dans ce rapport de la Cour des comptes, certaines de nos recommandations et d'autres qui en étaient voisines.

La mise en application de l'article 193 de la loi avance à grands pas, et je pense qu'une partie des questions qui se posaient et des recommandations qui ont été faites par la Cour trouveront leur application très bientôt, au moment où seront mis en oeuvre les décrets d'application de la loi.

Si j'ai bien compris, vous renaîtrez de vos cendres au deuxième trimestre 2017…

Je crois avoir perçu un plus grand intérêt pour ces données, et une plus fréquente utilisation de celles-ci. Et j'espère – nous ferons tout pour cela – que la mise en place de l'INDS et les textes d'application de la loi pourront prolonger ces demandes et ces recommandations.

Vous nous avez également posé une question sur la sous-utilisation des bases de données, sujet qui nous avait préoccupés lorsque nous travaillions au sein du Haut Conseil de la santé publique. Pour faire comprendre cette sous-utilisation relative, quelques rappels s'imposent.

Les bases de données médico-administratives, le SNIIRAM, le PMSI et d'autres, sont des bases de données de gestion, qui sont faites pour piloter le système, mais pas pour faire des études. Réaliser des études à partir de ces informations peut être très utile, mais nécessite un apprentissage important et des connaissances spécifiques – non seulement des connaissances statistiques, mais aussi sur la manière dont le système d'assurance maladie est géré, puisque c'est le résultat de cette gestion qui figure dans les bases. C'est souvent assez complexe.

Il y a quelques, années j'ai dirigé l'Institut de recherche et de documentation en économie de la santé (IRDES), pionnier de l'utilisation des bases de données de l'assurance maladie, bien avant l'existence du SNIIRAM. L'Institut menait chaque année, puis tous les deux ans, une enquête en population générale qui était générée et appariée avec les données de l'assurance maladie. S'y étaient développées des compétences spécifiques sur le traitement de ces données, et j'ai pu mesurer la difficulté d'analyse de ces bases. Il faut, par exemple, aller repérer un ensemble de prestations s'apparentant à des indemnités journalières d'assurance maladie, car cela n'apparaît pas ainsi dans la base. Cela suppose un apprentissage important. Jusqu'à il y a peu, les compétences étaient rares, et elles étaient localisées sur ces données. Je peux citer la caisse nationale d'assurance maladie des travailleurs salariés (CNAMTS), qui a beaucoup développé l'exploitation des données ; l'IRDES ; certaines équipes de l'Institut national de la santé et de la recherche médicale (INSERM) – celle qui a lancé la cohorte Constances possède une très bonne connaissance de ces sujets.

Je pense que l'ouverture de ces bases permettra à ces compétences de se disséminer et de se renforcer au fil des années. Un certain nombre d'équipes de l'INSERM ou de centres hospitaliers universitaires (CHU) ont commencé à travailler sur ces données, ainsi qu'il ressort des demandes actuellement adressées à l'IDS.

Tout cela fait son chemin. Mais il faut un certain nombre de mois et d'années pour développer de réelles compétences permettant de travailler sur ces données. Par exemple, on a attendu dix bonnes années pour savoir exploiter utilement le PMSI. Et c'était un apprentissage nécessaire.

Dans le cadre du rapport du Haut Conseil de la santé publique, nous avions constaté que cet usage se développait peu à peu.

Nous avions également observé une réaction qui, semble-t-il, est en train de changer. À l'époque – notre premier rapport date de 2009 – de grandes interrogations s'étaient fait jour dans le monde scientifique sur la possibilité de conduire des analyses scientifiques de bonne qualité avec ces bases qui, justement, n'étaient pas faites par des chercheurs pour des chercheurs.

Le monde de l'épidémiologie a beaucoup évolué sur ce sujet, notamment parce que les spécialistes en épidémiologie sociale, comme ceux de la cohorte Constances, ont prouvé que c'était possible. Un certain nombre de travaux menés, par exemple, sur les médicaments et sur la variabilité des pratiques, ont démontré tout leur intérêt.

Il a donc fallu progresser en matière d'apprentissage du traitement des données, mais aussi convaincre que ces données étaient effectivement utiles pour des travaux de recherche et d'évaluation.

Cela explique le moindre accès à ces bases de données.

Je suis économiste et statisticienne, et le monde des statistiques publiques possède une grande tradition d'exploitation des bases de données administratives en général. Mais, dans les années passées, cette tradition n'était pas largement partagée.

Vous nous avez également interrogées sur les délais du projet.

En tant que présidente de l'IDS, je participe au comité stratégique qui pilote l'ensemble du système, et comme tous les membres du comité stratégique, je suis informée de l'avancement des décrets. À la dernière assemblée générale de l'IDS, la représentante de la direction de la recherche, des études, de l'évaluation et des statistiques (DREES) nous a informés que ces décrets étaient en cours d'examen au Secrétariat général du Gouvernement. Je pense que c'est toujours le cas puisque cela se passait il y a quelques jours.

Sur l'état d'avancement du projet, j'imagine que la DREES vous a déjà dit un certain nombre de choses. À ma connaissance, les décrets seront mis en application au 1er avril 2017. C'est donc à cette date que le Système national des données de santé (SNDS) sera formellement créé. Mais à vrai dire, une version temporaire de ce SNDS existe déjà, à travers le SNIIRAM apparié au PMSI, tel que l'assurance maladie le gère depuis un certain nombre d'années.

Que pensez-vous de la capacité du système à alimenter le fichier ? Le paysage est en effet quelque peu éclaté. Pour avoir organisé, avec Gisèle Biémouret, un certain nombre de visites, notamment à la Caisse nationale de solidarité pour l'autonomie (CNSA), nous sommes restés sur notre faim, en raison de l'absence de données systématisées, randomisées, centralisées. On peut d'ailleurs se demander de quel droit ces structures – quel que soit leur statut – s'autorisent à ne pas fournir de données, alors même qu'elles reçoivent des subsides publics.

Le système est en cours de construction. Je pense que la loi servira d'aiguillon, mais que c'est aussi le travail du comité de pilotage stratégique du SNDS de faire que la situation évolue et d'aider la CNSA à progresser.

De mon point de vue, pour que le nouveau système puisse ingérer les données de la CNSA, il faut disposer d'un fichier national, issu des maisons départementales des personnes handicapées (MDPH), constitué de manière cohérente. Mais le système d'information des MDPH n'était pas fondé jusqu'à présent sur le numéro d'inscription au répertoire (NIR). Il faut mener un travail d'identification pour pouvoir apparier ce fichier avec le SNDS.

Tout cela est soluble. Cela prendra un peu de temps. À ma connaissance, le système de la CNSA est plutôt basé sur l'identifiant national de santé. À l'époque, au HCSP, on avait fortement prôné une table de passage, évidemment contrôlée, pour faire le lien entre les deux. Mais il existe d'autres moyens.

Je suis par ailleurs directrice des statistiques démographiques et sociales à l'Institut national de la statistique et des études économiques (INSEE), donc en charge du répertoire des personnes physiques. Je sais donc qu'à partir d'un certain nombre d'identifiants personnels, on peut retrouver des NIR. Il est ainsi techniquement possible, moyennant un contrôle législatif et un contrôle de sécurité solides, d'apparier ces données à terme.

C'est toujours une question de volonté. À votre avis, un échéancier prévisionnel peut-il être envisagé ?

Je n'ai pas, à ce jour, connaissance d'un échéancier avec une « date d'atterrissage » définitive.

Mais quelle est votre opinion de spécialiste ? Douze, dix-huit, vingt-quatre mois ?

Plutôt un délai de l'ordre de deux années. Il est très difficile de parler avec précision. Tout dépend bien entendu des moyens que l'on y met.

Si l'on se réfère à d'autres projets, on s'aperçoit que le développement du SNIIRAM, puis son appariement au PMSI, ont pris plusieurs années. Il en fut de même du travail que nous avions réalisé à l'IRDES, et qui pourrait préfigurer ce que sera l'appariement et l'échantillonnage d'assurés complémentaires.

Je précise que ce n'est pas forcément la réalisation technique qui prend plusieurs années, mais la préparation, la concertation, la réflexion autour du système cible, etc.

Pouvez-vous nous parler du partage des données issues des complémentaires ?

Une expérimentation a été déjà faite, dans le cadre du projet « Méthodes, outils et normes pour la mise en commun des données des assurances complémentaires et obligatoires » (MONACO) que j'avais lancé à l'époque dans le cadre de l'IRDES. Je m'aperçois que j'ai une grande antériorité sur toutes ces questions, et c'est un plaisir pour moi de constater que la situation évolue dans un sens positif…

Lorsque nous avons lancé cette expérimentation, c'était tout de même un pari. Nous avons obtenu assez facilement un « abri » à l'Institut des données de santé pour développer le projet, l'accord des grandes familles de complémentaires santé pour le réaliser, et la participation volontaire d'un certain nombre d'entreprises, de mutuelles, d'institutions de prévoyance et de sociétés d'assurance. Des appariements ont été réalisés. Cela a montré que c'était faisable.

On apparie une très grande proportion des assurés. C'est un peu plus compliqué, un peu plus variable en termes de lignes de remboursement. Mais on peut déjà obtenir, à partir de cette expérimentation, beaucoup d'éléments qui permettront de construire le système cible. Je suis assez optimiste.

Là encore, existe-t-il un calendrier prévisionnel ?

À ma connaissance, la DREES a engagé un travail avec les représentants des assurances complémentaires. Je le sais parce que nous en parlons régulièrement et parce que, à titre technique, l'équipe est venue me consulter pour reparler de l'expérimentation MONACO et avoir quelques conseils de ma part sur la manière de faire. Je pense qu'on peut aller assez vite.

C'est-à-dire ?

Un an ou deux. Il faut un cadre juridique, des conventions. Il faut mettre en place un système susceptible de rendre compte d'un échantillon représentatif d'assurés, et donc réaliser un échantillon aléatoire et en faire un tirage en accord avec les familles de complémentaires santé. Toutes les complémentaires qui figurent dans cet échantillon doivent pouvoir techniquement envoyer des données. Il est nécessaire de définir des cahiers des charges techniques. Cela prend tout de même quelques mois.

Madame la directrice générale, combien de « divisions » à l'IDS ? Quel budget, quelles ressources humaines ?

L'IDS repose habituellement sur 6 équivalents temps plein (ETP) mais, depuis quelques mois, les effectifs ont diminué en raison de départs et de changements. C'est pourquoi, au 31 décembre, nous ne serons plus que 3 ETP. Des procédures de recrutement, que nous espérons efficaces, sont en cours pour reconstituer les effectifs.

Nous avons demandé à la DREES si les moyens techniques et financiers de l'IDS et du futur INDS étaient correctement formatés, au vu de l'importance des enjeux et des compétences qui seront conférées à ce dernier. Ils nous ont parlé d'une augmentation d'au moins 50 %. Sur 3 ou même 6 ETP, cela n'entraînera pas un débours financier monstrueux. On est encore loin de l'armée mexicaine ! Plus sérieusement, j'avoue être étonné de la modicité des moyens qui sont consacrés à un service aussi stratégique.

Compte tenu des nouvelles missions de l'INDS, il est prévu que nous retournions le plus rapidement possible à 6 ETP au début de 2017, pour passer à 9 ETP à la fin de la même année, et l'effectif devrait se stabiliser autour de 12 personnes en 2018.

Cela vous semble-t-il suffisant ?

Même si l'on peut parler de continuité, nous sommes en phase de création d'une nouvelle structure, avec de nouvelles missions, et un certain nombre de changements vont intervenir. Nous nous laissons donc la possibilité de voir comment les effectifs évolueront, et s'ils permettent de répondre à ces nouvelles missions.

Mais vous avez peut-être une idée sur le sujet ?

Je pense que cet effectif de 12 personnes, à moyen terme, est raisonnable. En effet, l'INDS aura à gérer le flux des demandes et – comme l'IDS d'ailleurs – à faciliter l'accès aux données et l'institution d'un dialogue entre les utilisateurs, les utilisateurs et les producteurs, en organisant des groupes de travail et des commissions. Cela étant, je passe sur d'autres missions de l'INDS, sur lesquelles on reviendra et qui nécessiteront aussi des moyens.

Quoi qu'il en soit, nous n'allons pas réaliser, concrètement, des extractions de données. Nous allons faciliter les choses, mettre en place des réflexions, des analyses sur les besoins, la qualité et les retours d'expérience des utilisateurs. Tout cela ne nécessite pas forcément de nombreuses personnes, mais une bonne organisation avec les partenaires de l'INDS. C'est pour cette raison que les moyens paraissent relativement limités. Les plateformes d'accès aux données seront séparées, se trouveront ailleurs, et utiliseront d'autres moyens.

Le directeur de la DREES nous a rappelé que les décrets d'application à venir, complétés par des arrêtés, aboutiraient à une simplification et à une fluidité des procédures d'accès aux données. On conçoit que cela permette d'optimiser l'emploi des ressources humaines existantes.

Vous avez vous-même évoqué le fait qu'il y aurait d'autres compétences au sein du futur INDS. Or, déjà, nous sommes dans un paysage dont la perception et la lisibilité sont parfois matière à interrogation. Il semble en effet que certaines compétences se recoupent, se chevauchent. Qu'en pensez-vous ? Avez-vous des éclaircissements à nous apporter ?

La loi rend l'architecture générale beaucoup plus lisible : la DREES est responsable du pilotage du système, la CNAMTS de la gestion des bases de données et le futur INDS aura pour tâche de faciliter les accès aux données et les échanges avec les utilisateurs. Le nouveau paysage est donc assez clair. À cela s'ajouteront des « bulles d'accès », autrement dit des plateformes de mise à disposition des données ; l'INSERM, notamment, en prévoit une, qui assistera les chercheurs dans la préparation de leurs projets.

La seule compétence qui devra être partagée est la connaissance générale des possibilités offertes par ces bases de données et de la manière de les mettre en oeuvre. Ainsi, l'INDS n'a pas pour mission de développer des compétences particulières en matière de sécurité informatique des données, mais il devra avoir les compétences suffisantes pour faire remonter les observations des utilisateurs à ce sujet. En revanche, nous devons maîtriser parfaitement les utilisations possibles des bases de données – aussi avons-nous prévu de recruter de nouveaux statisticiens – et leur circuit de transmission. Nous devrons aussi continuer d'entretenir avec la Commission nationale de l'informatique et des libertés (CNIL) les bonnes relations que nous avons déjà par l'entremise de Mme Valérie Edel.

Au regard de la considérable masse de données en jeu, des dévoiements dont elles peuvent faire l'objet et de la multiplication des demandes de droit d'accès, jugez-vous suffisants les moyens dont dispose la CNIL, votre partenaire quotidien ? La durée d'instruction des demandes d'autorisation d'accès est considérée par plusieurs de nos invités comme un goulot d'étranglement. Dans votre perspective, celle, en quelque sorte, d'un utilisateur, l'allégement des procédures permis par la loi suffira-t-il à améliorer la situation ? La Cour des comptes est d'avis que l'accent doit être mis moins sur le contrôle a priori que sur une politique de contrôle a posteriori. Qu'en pensez-vous ?

Les représentants de la CNIL caractériseront mieux que je ne saurais le faire l'adéquation entre les moyens dont ils disposent et leurs besoins. Je puis seulement vous dire que Mme Valérie Edel évalue régulièrement les délais de traitement des dossiers que nous soumettons à la CNIL, et qu'ils sont encore importants.

L'explosion des demandes faites à la CNIL en 2015 et 2016 a en effet provoqué l'allongement du délai de réponse, qui a pu atteindre quinze mois.

Quel est maintenant le délai de réponse médian ?

Fin 2015, quinze mois s'écoulaient entre le dépôt de la demande d'extraction de données à la CNIL et l'autorisation. L'alerte ayant été donnée, de réels progrès ont eu lieu en 2016, avec le retour à une certaine fluidité ; même si quelques dossiers coincent encore, on tend à revenir à une situation un peu plus classique. Le délai de réponse moyen est désormais compris entre trois et quatre mois, mais il reste plus élevé pour certains dossiers. La tâche de l'IDS est précisément de suivre les dossiers en attente pour rappeler les urgences et parvenir à réduire les délais d'autorisation. Le délai actuel de traitement médian est compris dans une fourchette de six à huit mois.

Combien de demandes sont faites chaque année ? Comment se répartissent-elles, en nombre ou en proportion, entre chercheurs, compagnies d'assurances, industries pharmaceutiques, professions de santé ?

Jusqu'à présent, les demandes que l'IDS transmet à la CNIL émanent uniquement d'organismes de recherche.

Savez-vous si la CNIL, qui réceptionne les demandes de toutes provenances, a établi cette ventilation ?

À ma connaissance, ce n'est pas le cas car les dossiers, complexes, croisent de multiples sources ; la CNIL n'a donc pas d'indicateurs portant uniquement sur les données du SNIIRAM.

Nous pouvons vous transmettre les tableaux que nous établissons pour recenser les demandes que nous recevons, assorties des délais de réponse constatés. Nous faisons un suivi attentif, mais c'est plus simple pour nous que pour la CNIL puisque nous avons à faire à une seule catégorie de demandeurs.

Mon expérience de ces questions me conduit à souligner que les délais d'instruction des dossiers ne tiennent pas uniquement à la CNIL : certaines demandes sont mal formulées ou mal documentées, et il nous arrive de les retourner à leurs auteurs en les priant de nous donner un complément d'information. C'est en quoi l'appui aux porteurs de projets est nécessaire ; c'est ce que prévoit l'INSERM, c'est ce que nous prévoyons, et c'est ce que prévoient sans doute d'autres organismes encore. Tout cela repose sur un apprentissage minutieux du système.

Souhaitez-vous nous faire part d'inquiétudes ou de recommandations sur la méthodologie dont devront user les bureaux d'études qui seront amenés à traiter de certains sujets pour les producteurs de données de santé ou les assureurs ?

Le futur INDS sera le lien entre tous les utilisateurs des données, publics et privés. Il est important que ces derniers participent à la réflexion sur les besoins et la mise en oeuvre des accès. Déjà, l'IDS dans sa structure actuelle ne compte pas seulement des producteurs de données de santé ou des producteurs potentiels : les usagers aussi sont représentés, qui utilisent les données par l'intermédiaire de laboratoires ou de bureaux d'études. Cela étant, l'application de l'article 193 de la loi emportera une transformation profonde.

L'accès élargi aux données de santé, dans la transparence, est voulu pour améliorer la démocratie sanitaire. Outre que les associations de patients aspirent légitimement à avoir accès à certaines informations, les médias s'en servent pour classer les établissements de santé. Ne faut-il pas s'assurer que l'accès aux données anonymisées est fondé sur des critères incontestables, non pour restreindre l'accès à ces informations mais pour être certain de leur qualité et éviter qu'elles ne soient manipulées ?

Ces questions ont été longuement débattues par la commission dite « open data » à laquelle je participais lorsque je dirigeais l'Institut national d'études démographiques (INED). Dans la recherche, il y a du bon et du mauvais, et l'évaluation est fondée sur la contre-expertise. Nous soutenions le principe de l'ouverture des données, considérant que le fait qu'un grand nombre d'usagers potentiels puissent les utiliser est la meilleure garantie que se forgent des analyses soumises à contre-expertise. La loi implique la transparence des méthodes et des résultats ; c'est exactement ce qui vaut dans la recherche et ce modèle nous semble être le bon. Certaines études seront peut-être meilleures que d'autres, mais elles pourront être contestées parce qu'il faudra faire savoir comment elles ont été conduites. La contre-expertise se construit collectivement. C'est le pari de l'ouverture de la consultation des données : on ne pourra plus fonctionner sur des on-dit, des analyses opposables pourront être réalisées, des discussions techniques sur la manière de traiter les données et de les interpréter seront possibles, et c'est la meilleure garantie contre les éventuelles déviances du système. On ne peut empêcher l'accès à des données au motif qu'elles risquent d'être utilisées de manière à en donner une interprétation inappropriée. C'est la clef du choix qui a été fait.

Dans l'optique du parcours de soin, considérez-vous que le classement des établissements hospitaliers ou médico-sociaux réalisé par l'exploitation des données de santé peut être adapté à la médecine ambulatoire et donc aux individus ?

C'est déjà le cas : depuis plusieurs années, des équipes de chercheurs réalisent des études sur les parcours de soins avec le SNIIRAM. La DREES a également publié des études à ce sujet.

Peut-on en tirer des enseignements sur les pratiques individuelles ?

Quand on analyse la variabilité des pratiques, on peut repérer les caractéristiques de zones géographiques ou mettre en évidence que l'exercice de certains professionnels de santé diffère de celui de leurs confrères ou consoeurs.

Le constat partagé est que le gisement de données dont nous disposons est insuffisamment exploité pour lutter contre la fraude d'une part, le mauvais suivi des patients d'autre part. Peut-on concevoir d'utiliser les bases de données de santé pour classer les praticiens en médecine ambulatoire comme les médias classent les services hospitaliers ?

Les usagers sont très intéressés par l'analyse de la qualité des soins en général ; mais nous n'en sommes pas encore là. Mme Yvanie Caillé, qui fut la responsable d'une association d'usagers, souhaitera peut-être vous répondre.

Si je l'ai bien comprise, la question est de savoir si l'on peut utiliser les données de santé pour évaluer la pratique d'un professionnel. Ce n'est pas exclu pour les spécialistes de pathologies ciblées, qui soignent un nombre de patients critique, c'est-à-dire suffisant pour que les statistiques soient parlantes ; en ce cas, les données peuvent révéler des différences de pratiques. Je ne pense pas que la notion de classement puisse s'appliquer facilement à des individus. En revanche, les données peuvent montrer les pratiques différant des recommandations, et les usagers sont très intéressés de savoir quels professionnels de santé appliquent les règles de bonnes pratiques et quels autres le font moins bien. C'est naturel, et souhaitable en termes de démocratie sanitaire.

Ma réponse était plutôt faite en termes de santé publique, donc en termes statistiques, plutôt qu'en termes d'individus. C'est dans ce domaine que les bases de données médico-administratives sont les plus adaptées. Les organismes d'assurance maladie peuvent ensuite avoir toute liberté pour travailler à un niveau plus fin. Mais à mon avis les études et les recherches porteront sur des questions populationnelles ; c'est le sujet de ces bases et c'est une bonne chose.

Si la collecte des informations est de qualité et le seuil critique statistique atteint, et si des logiciels d'aide à la prescription validés par la Haute Autorité de santé (HAS) sont utilisés pour optimiser le rapport coût-efficacité, on pourra, par croisements, constater quelles pratiques ne sont pas conformes aux règles et à la déontologie médicale. Articuler ces données incontestables permettrait, sans faire de classification, d'éclairer les citoyens sur la qualité de la prestation de soins financée par les deniers publics qui leur est fournie.

Nous sommes dans une période intermédiaire et les futurs co-présidents et rapporteurs de la MECSS, quels qu'ils soient, souhaiteront vraisemblablement vous recevoir à nouveau à l'automne prochain. Dans l'intervalle, avez-vous d'autres commentaires à faire ?

Nous y verrons alors plus clair sur la constitution, le fonctionnement et le modèle économique de l'INDS, et nous aurons d'autres éléments à vous apporter.

Je suis profondément convaincue de l'utilité collective d'un accès élargi aux données de santé. Le chemin n'est pas nécessairement aisé mais nous avons là un trésor dont l'exploitation peut servir très utilement le bien collectif. Si j'ai accepté cette présidence, c'est qu'après avoir beaucoup réfléchi à ce sujet et avancé de nombreuses recommandations, il m'intéressait de participer à la mise en oeuvre d'une innovation qui me semble importante pour tous.

Mesdames, je vous remercie.