Pierre Morange Je vous remercie, chers collègues, pour ce concert d'éloges. En cette fin de législature, j'exprime le voeu ardent que la MECSS, dont la composition transpartisane lui permet de se dispenser des querelles idéologiques pour se concentrer sur l'analyse du rapport coût-efficacité de notre système de sécurité sociale, continue, au cours de la législature à venir, de formuler des recommandations unanimes. Si notre commission autorise la publication du rapport, les recommandations qu'il contient, adoptées ce matin par la Mission, y gagneront encore en puissance, en crédibilité et en légitimité, et nos concitoyens trouveront dans ces travaux une nouvelle réponse ...
Pierre Morange Merci, madame la présidente. Je veux tout d'abord remercier, au nom de Gisèle Biémouret, coprésidente, et des membres de la MECSS, la commission des affaires sociales ainsi que les administrateurs, qui m'ont accompagné dans ces travaux.Je reconnais que l'intitulé de ce rapport d'information – pour lequel nous avons sollicité l'avis de la Cour des comptes, laquelle nous a remis les conclusions de ses travaux en mai 2016 – est quelque peu aride et qu'il pourrait dissuader les meilleures volontés de s'intéresser au sujet. Il présente comme particularité de ne pas comporter de recommandations puisqu'il s'agit d'un rapport d'étape : de fait, nous sommes au ...
Pierre Morange L'ONIAM a pour mission d'assurer l'indemnisation des accidents médicaux ; elle agit donc, par définition, en aval. Je souhaiterais savoir si la gestion en amont fait l'objet d'une réflexion collégiale avec l'Agence nationale de sécurité du médicament et des produits de santé (ANSM). Une prospective intelligente pourrait, en effet, définir, outre les enjeux de la prise en charge sanitaire au titre de la réparation, les moyens financiers, techniques et humains qui y concourent. Je pense au rapport que je vais présenter dans quelques instants et qui porte sur la gestion des données du Système national des données de santé (SNDS), jugée insuffisamment exploitée ...
Pierre Morange, rapporteur, président
Pierre Morange Je vous remercie. Sans doute la MECSS vous interrogera-t-elle de nouveau en fin d'année avant de finaliser son rapport.
Pierre Morange, rapporteur, président
Pierre Morange Il faut donc que l'ensemble des acteurs du secteur sanitaire et social, jusqu'au niveau le plus fin, s'approprient ces questions.
Pierre Morange, rapporteur, président
Pierre Morange Il nous serait utile d'avoir cette estimation, non pas pour instruire un quelconque procès d'intention mais pour éclairer la représentation nationale, de sorte qu'elle puisse insister auprès du pouvoir exécutif – qui en est nul doute convaincu – sur l'importance de ce suivi et de la ligne budgétaire qui doit y être affectée, sachant que celle-ci ne doit pas être centralisée mais qu'elle doit plutôt irriguer l'ensemble des systèmes spécialisés qui structurent le secteur de la santé dans le pays.Dans le domaine, si vaste et évolutif, des systèmes de sécurité et du modèle économique qui permettrait d'en assurer la pérennité, auriez-vous, ...
Pierre Morange, rapporteur, président
Pierre Morange Existe-t-il des estimations financières en la matière ?
Pierre Morange, rapporteur, président
Pierre Morange Le remplacement de cette fameuse « brique » coûterait environ, nous a-t-on dit, 20 millions d'euros : est-ce le cas ?
Pierre Morange, rapporteur, président
Pierre Morange Y a-t-il un modèle – économique ou de sécurité – européen qui vous semble plus pertinent que les autres ?
Pierre Morange, rapporteur, président
Pierre Morange Quand les conclusions de l'analyse de risque seront-elles rendues ?
Pierre Morange, rapporteur, président
Pierre Morange Quels sont les avantages et inconvénients respectifs des six solutions évoquées ?
Pierre Morange, rapporteur, président
Pierre Morange Il va de soi que cette réflexion est nécessaire et qu'elle doit s'appuyer sur des références au niveau européen. La réglementation européenne étant plus stricte que la réglementation française, quel est votre sentiment, général Martin, sur l'action à conduire pour atteindre ces objectifs en matière de sécurité, de confidentialité et de procédures ?
Pierre Morange, rapporteur, président
Pierre Morange La gestion technique du SNDS est confiée à la CNAMTS, qui est tout à la fois productrice et hébergeur de données, même si certains estiment qu'il serait plus judicieux de séparer les deux fonctions. Concernant la fonction de stockage, un modèle similaire à celui du CASD aurait pu être envisagé, ne serait-ce que pour faciliter les échanges et les procédures. Ce n'est semble-t-il pas le cas, puisque les analyses sont différentes. Quel est votre sentiment à ce sujet – sans faire aucun procès d'intention ?
Pierre Morange, rapporteur, président
Pierre Morange Il a la faveur de la CNIL.
Pierre Morange, rapporteur, président
Pierre Morange En effet, le caractère très hétérogène du parc informatique hospitalier français est bien connu. L'ancienne idée selon laquelle il fallait homogénéiser ce parc a vécu ; en l'absence de vision planificatrice des équipements, elle a été supplantée par la notion d'interopérabilité des systèmes. De surcroît, les niveaux de sécurité varient, certains étant des plus rustiques – et constituant autant de portes d'entrée pour une attaque. Compte tenu de l'efficience et de la solidité des équipes de la CNAMTS – sans entrer pour autant dans le vieux débat de la répartition des compétences entre la CNAMTS et les ARS, qui a suscité sinon de la ...
Pierre Morange, rapporteur, président
Pierre Morange Une telle approche serait sans doute adaptée sur le terrain dans les GHT, dont le dimensionnement territorial varie selon les cas. L'échelon régional, cependant, qui monte en puissance, devrait avoir une vision assez horizontale de ces sujets partagés. Avez-vous estimé les ressources humaines qu'il faudrait déployer pour ce faire ? Faut-il selon vous doter chaque ARS, nonobstant les caractéristiques démographiques de chaque région, d'une équipe de deux ou trois personnes, par exemple ? Un format particulier de structure minimale capable d'assurer ces missions a-t-il été dessiné ?
Pierre Morange, rapporteur, président
Pierre Morange Est-ce déjà possible au niveau des ARS ?
Pierre Morange, rapporteur, président
Pierre Morange Existe-t-il un plan structuré assorti d'un échéancier, permettant de vérifier que l'ensemble des préconisations sont bien mises en oeuvre ? Il s'agit d'un domaine extrêmement évolutif, où le champ des possibles se démultiplie chaque jour. Quelles sont donc les déclinaisons concrètes des préconisations, étant entendu qu'il faut en la matière demeurer humble et modeste ?
Pierre Morange, rapporteur, président
Pierre Morange La pédagogie étant l'art de la répétition, quels moyens faudrait-il déployer pour répandre cette culture de la sécurité et, surtout, à quel niveau ? Faut-il cibler les GHT, ou y ajouter les agences régionales de santé (ARS), qui sont tout de même responsables de l'organisation de l'offre de soins à l'échelle de la région et qui, à ce titre, doivent naturellement, compte tenu des risques, assurer la sécurité des moyens mis à la disposition de la santé de nos concitoyens ? La question n'est pas uniquement d'ordre budgétaire. Au-delà de cet ouvrage de pédagogie qu'il faudra inlassablement remettre sur le métier en réexaminant les moyens à lui affecter, ...
Pierre Morange, rapporteur, président
Pierre Morange Grâce à la mutualisation des ressources, notamment.
Pierre Morange, rapporteur, président
Pierre Morange Plusieurs publications ont en effet présenté des modèles d'attaques informatiques qui mettent la santé des patients en danger, ciblant des pompes à perfusion ou des stimulateurs cardiaques par exemple.
Pierre Morange, rapporteur, président
Pierre Morange De ce point de vue, de quels pouvoirs pédagogiques de sanction les employeurs disposent-ils dans les cas de non-respect des procédures, qui suscitent un danger et constituent de ce fait des failles de sécurité ?
Pierre Morange, rapporteur, président
Pierre Morange Quel est le pourcentage de ces attaques par opportunisme ou de ce vandalisme ?
Pierre Morange, rapporteur, président
Pierre Morange Quelle est la motivation de ces « attaques par opportunisme » ? Est-ce tout simplement du vandalisme informatique, le goût de nuire, sans espoir de « retour sur investissement » grâce à une exploitation des données détournées au profit de tiers ?
Pierre Morange, rapporteur, président
Pierre Morange À quel chiffre parviendrait-on si on appliquait le premier mode de calcul ?
Pierre Morange, rapporteur, président
Pierre Morange Avez-vous établi une typologie des incidents ? Par exemple, certains des 1 300 incidents que vous avez évoqués ont-ils été causés par des ransomwares – logiciels de rançon ? Ou bien les avez-vous comptés séparément ?Pour parvenir au chiffre de 1 300 incidents, avez-vous utilisé le premier ou le deuxième des modes de calcul que vous avez évoqués ?
Pierre Morange, rapporteur, président
Pierre Morange Vous devriez faire de la politique, monsieur Loudenot ! (Sourires.)J'en viens aux actes de piraterie informatique. Le ministre de la défense a déclaré que 24 000 attaques informatiques avaient été déjouées en 2016, soit le double de l'année précédente. La presse a relaté de nombreuses affaires, notamment le piratage de 500 millions de comptes d'utilisateurs de l'opérateur Yahoo. Avez-vous des chiffres à nous communiquer en ce qui concerne les attaques informatiques dans le domaine sanitaire et social ? Progressent-elles d'une année sur l'autre ?
Pierre Morange, rapporteur, président
Pierre Morange La CNIL a souhaité un renforcement de ses moyens et de ses effectifs. Jusqu'à présent prévalait une sorte de principe « de l'entonnoir » : pour accéder aux données, il n'y avait pas d'autre solution que d'obtenir une autorisation de la CNIL, et les délais d'instruction étaient un peu étirés – pour le dire en termes diplomatiques. Mais l'entrée en vigueur de l'article 193 de la loi de modernisation de notre système de santé va améliorer la fluidité des procédures : le contrôle a posteriori permettra de gérer un nombre beaucoup plus important de dossiers de recherche, publique ou privée, l'objectif étant de développer l'exploitation des données, ...
Pierre Morange, rapporteur, président
Pierre Morange Selon certains, la notion d'intérêt général est envisagée de manière plus restrictive dans le règlement européen que dans la réglementation française, laquelle est encore en devenir, ainsi que je l'ai évoqué dans mon propos liminaire.D'autre part, les moyens de la CNIL sont, on le sait, relativement limités, et la question des moyens ouvre sur celle du financement et du modèle économique. Vous allez sans doute me dire que ces questions ne relèvent pas de votre domaine de compétence, mais cela ne vous interdit pas d'y réfléchir, notamment au regard des modèles existant ailleurs en Europe. Quel dispositif vous semblerait le plus pertinent ou le plus ...
Pierre Morange, rapporteur, président
Pierre Morange Selon vous, les moyens sont-ils suffisamment étoffés pour relever le défi du contrôle a posteriori ?
Pierre Morange, rapporteur, président
Pierre Morange Quel est votre sentiment, monsieur Loudenot, en ce qui concerne la qualité du « coffre-fort informatique » ? Que pensez-vous des remarques de la Cour des comptes à propos de l'obsolescence de certains algorithmes ? Compte tenu de la sensibilité des données de santé, quel est votre avis sur les différents modèles de sécurité informatique, notamment sur celui du Centre d'accès sécurisé aux données (CASD) ? Le CASD suit une procédure différente de celle de la CNAMTS, bien qu'il exploite lui aussi des données de santé, celles du programme de médicalisation des systèmes d'information (PMSI).
Pierre Morange, rapporteur, président
Pierre Morange Si j'ai bien saisi le sens de votre propos, votre réserve porte non seulement sur la forme – vous n'êtes pas favorables au classement de la CNAMTS parmi les OIV –, mais aussi sur le fond : le niveau de sécurité qui doit être celui d'un OIV ne vous semble pas forcément le plus adapté pour répondre à l'exigence de sécurité des données de santé.
Pierre Morange, rapporteur, président
Pierre Morange Nous poursuivons nos travaux sur les données médicales personnelles versées au Système national d'information inter-régimes de l'assurance maladie (SNIIRAM), puis au Système national des données de santé (SNDS). Nous avons le plaisir d'accueillir le général Arnaud Martin, haut fonctionnaire adjoint de défense et de sécurité au pôle « défense et sécurité » du secrétariat général des ministères chargés des affaires sociales, et M. Philippe Loudenot, fonctionnaire de sécurité des systèmes d'information (FSSI) pour les ministères chargés des affaires socialesNous sommes, en quelque sorte, au milieu du gué du processus d'ouverture des données de ...
Pierre Morange, rapporteur, coprésident
Pierre Morange La finalité n'est pas de substituer la télémédecine à la médecine classique mais de faire qu'elle participe d'un système multivectoriel.Je vous remercie, monsieur Lucas, pour la précision de vos réponses.
Pierre Morange, rapporteur, coprésident
Pierre Morange Avez-vous des recommandations à faire sur la qualité des informations collectées, dont certains considèrent la médicalisation inaboutie ?
Pierre Morange, rapporteur, coprésident
Pierre Morange La Cour des comptes s'en est inquiétée et a recommandé que la prochaine convention d'objectifs et de gestion (COG) de la CNAMTS prévoie expressément le rehaussement du niveau de sécurité informatique du SNIIRAM.À quelles sanctions ordinales faites-vous référence ?
Pierre Morange, rapporteur, coprésident
Pierre Morange La masse de données de santé collectées va considérablement progresser et, en parallèle, les piratages informatiques malveillants. La complexité de l'arborescence sanitaire et l'hétérogénéité des procédures et des logiciels renforcent les risques d'atteintes à la sécurité informatique et donc à la confidentialité des données de santé. Le CNOM a-t-il engagé une réflexion à ce sujet ?
Pierre Morange, rapporteur, coprésident
Pierre Morange C'est bien pourquoi je tiens à dire les choses clairement, puisque l'utilisation croisée des métadonnées, de la médecine prédictive et du séquençage du génome permettrait d'affiner les contrats d'assurance complémentaire santé en fonction des risques de maladie potentiels. Le développement obligatoire des assurances complémentaires amplifie ce risque.
Pierre Morange, rapporteur, coprésident
Pierre Morange Je me réjouis de constater qu'en ces temps troublés le consensus reste possible sur certains sujets.
Pierre Morange, rapporteur, coprésident
Pierre Morange Je suis un grand partisan de l'assurance maladie obligatoire, et très réservé à l'idée de décliner les contrats en fonction de tranches d'âge. C'est une hérésie si l'on se rappelle l'esprit dans lequel a été créée notre sécurité sociale, expression de la solidarité nationale. Je pense que mon collègue Renaud Gauquelin ne me contredira pas.
Pierre Morange, rapporteur, coprésident
Pierre Morange J'ai été à l'origine de l'interconnexion de tous les fichiers, et je pense que l'exploitation des données pour combattre la fraude en matière sociale est encore insuffisante, mais je rappelle que cette fraude ne porte que pour un quart ou un tiers sur les prestations, le reste étant une fraude aux prélèvements, par travail dissimulé ou emploi de travailleurs détachés.Quels sont selon vous les usages les plus intéressants de l'exploitation des données de santé ? Le CNOM y a-t-il recours et, si tel est le cas, pour quel emploi ? Quel degré d'agrégation des données par spécialité et par territoire protège d'une part les professionnels de santé des risques ...
Pierre Morange, rapporteur, coprésident
Pierre Morange La question se pose en effet, d'autant que l'existence de contrats de soins et de réseaux constitués par affiliation, couplée à la codification des actes et à la définition de référentiels, soumet de fait certains praticiens à d'éventuels diktats médico-économiques fondés sur des critères assurantiels, lesquels ne sont pas nécessairement la réponse pertinente aux besoins de nos concitoyens et aux impératifs de santé publique. La financiarisation des données de santé comporte un risque réel.
Pierre Morange, rapporteur, coprésident
Pierre Morange Et Axa consent unrabais de 8 % sur leurs contrats à ceux de ses assurés prouvant qu'ils font 10 000 pas chaque jour !
Pierre Morange, rapporteur, coprésident
Pierre Morange J'ai le même sentiment.
Pierre Morange, rapporteur, coprésident
Pierre Morange En sont-ils conscients ?
Pierre Morange, rapporteur, coprésident
Pierre Morange La Cour des comptes, s'interrogeant sur l'obsolescence de certains algorithmes de cryptage, s'est inquiétée de la qualité du « coffre-fort informatique » où sont stockées les données de santé confiées à la Caisse nationale d'assurance maladie des travailleurs salariés (CNAMTS), et le directeur du Centre d'accès sécurisé aux données (CASD) s'est dit devant nous partisan de confiner ces données dans une « bulle sécurisée ». D'évidence, comme le recommande la Cour, la prochaine convention d'objectifs et de gestion de la CNAMTS devra être l'occasion de renforcer la sécurité informatique. Quelles réflexions ces questions vous inspirent-elles ? ...
Pierre Morange, rapporteur, coprésident
Pierre Morange À quels aspects financiers faites-vous allusion ?
Pierre Morange, rapporteur, coprésident
Pierre Morange Le CNOM sera-t-il membre du futur GIP ?
Pierre Morange, rapporteur, coprésident
Pierre Morange Monsieur Lucas, je vous souhaite la bienvenue et vous prie de bien vouloir excuser Mme Gisèle Biémouret, coprésidente de la MECSS, empêchée. Votre audition porte sur les données médicales personnelles inter-régimes détenues par l'assurance maladie, versées au Système national d'information inter-régimes de l'Assurance maladie (SNIIRAM) puis au Système national des données de santé (SNDS). Nous rendrons un rapport préliminaire le 21 février, mais l'ampleur du sujet est telle que la réflexion de notre mission se poursuivra pendant la prochaine législature. Une partie des décrets d'application de l'article 193 de la loi du 26 janvier 2016 de modernisation de ...
Pierre Morange, rapporteur, coprésident
Pierre Morange Je vous remercie pour vos réponses, que vous pourrez compléter par écrit, si vous avez notamment des propositions à formuler sur la multiplicité des problématiques qui nous concernent, qu'il s'agisse du nombre des données, de leur confidentialité, de la sécurité informatique, des méthodes de travail et de la diversité des partenaires impliqués : nous les étudierons avec attention, avant de rendre nos conclusions en fin d'année ou en début d'année prochaine.