Le Big data en santé est constitué notamment des données médico-administratives (SNIIRAM, PMSI, Registre national des causes de décès, des données sur le handicap, échantillon généraliste des bénéficiaires), des données génomiques issues principalement du séquençage de gènes tumoraux (INCa) et de gènes déficients dans le cas des maladies rares (Centres de référence...), des données issues d’un parcours de soin d’un patient, des séjours hospitaliers, des causes de décès, des organismes complémentaires, des données issues de la e-santé ou santé connectée…
Ces données sont stockées dans de gigantesques centres de data à l’instar des établissements de santé qui mettent en place des entrepôts hospitaliers de données issues de leurs systèmes d’information.
À titre d’exemple, l’hôpital Européen Georges-Pompidou (AP-HP) travaille sur le développement d’un entrepôt de données cliniques comprenant les données structurées et codées du dossier patient, les examens de laboratoire, les images, les comptes rendus et les prescriptions médicamenteuses. Cet entrepôt de données correspond à une cohorte hospitalière de 600 000 patients suivis pendant plusieurs années, mis à disposition des cliniciens pour leurs activités de recherche clinique. La récolte, le stockage et la gestion de ces gros volumes de données sont contraints par un cadre juridique récemment actualisé en France.
Sécurisation des données de santé
Le cadre juridique est désormais adapté pour permettre un plus grand partage des données de santé, dans le respect de la vie privée des personnes. Les données de santé, de par leur confidentialité, sont régies par le Code de la santé publique.
L’article 193 de la loi de modernisation de notre système de santé prévoit que les données de santé à caractère personnel, recueillies à titre obligatoire et destinées aux services ou aux établissements publics de l’État ou des collectivités territoriales ou aux organismes de Sécurité sociale, peuvent faire l’objet de traitements à des fins de recherche, d’étude ou d’évaluation présentant un caractère d’intérêt public, dans le respect de la loi relative à l’informatique, aux fichiers et aux libertés (6 juillet 1978).
En outre, la nouvelle loi modifie légèrement l’article 1111-8 du Code de santé publique : « Toute personne qui héberge des données de santé à caractère personnel recueillies à l’occasion d’activités de prévention, de diagnostic, de soins ou de suivi social et médico-social, pour le compte de personnes physiques ou morales à l’origine de la production ou du recueil desdites données ou pour le compte du patient lui-même, doit être agréée à cet effet. Cet hébergement, quel qu’en soit le support, papier ou électronique, est réalisé après que la personne prise en charge en a été dûment informée et sauf opposition pour un motif légitime. » En d’autres termes, cet article modifié étend le périmètre de l’obligation, pour les responsables de traitement, en cas d’externalisation de l’hébergement, de recourir à un hébergeur agréé, dès lors qu’elle s’impose dorénavant au secteur de la santé, mais aussi à celui du secteur social. Par ailleurs, le consentement de la personne concernée par les données – dûment informée – n’a plus à être recueilli : il est présumé (1).
Des hébergeurs agréés
Parallèlement à la protection juridique des données, des exigences techniques ont également été mises en place avec l’agrément « Hébergeur Agrée de Données de Santé » (HADS), qui garantit la confidentialité, l’intégrité, la disponibilité et la traçabilité des informations sensibles que constituent les données médicales. Le respect de nombreuses exigences est impliqué comme l’authentification forte, le chiffrement des données, la traçabilité des accès… La liste des hébergeurs agréés a été mise à jour le 6 juillet 2016 par l’ASIP (2).
(1) http://www.usine-digitale.fr/article/donnees-de-sante-ce-que-change-la-loi-du-26-janvier-2016.N376544
(2) http://esante.gouv.fr/services/referentiels/securite/hebergeurs-agrees
Ces données sont stockées dans de gigantesques centres de data à l’instar des établissements de santé qui mettent en place des entrepôts hospitaliers de données issues de leurs systèmes d’information.
À titre d’exemple, l’hôpital Européen Georges-Pompidou (AP-HP) travaille sur le développement d’un entrepôt de données cliniques comprenant les données structurées et codées du dossier patient, les examens de laboratoire, les images, les comptes rendus et les prescriptions médicamenteuses. Cet entrepôt de données correspond à une cohorte hospitalière de 600 000 patients suivis pendant plusieurs années, mis à disposition des cliniciens pour leurs activités de recherche clinique. La récolte, le stockage et la gestion de ces gros volumes de données sont contraints par un cadre juridique récemment actualisé en France.
Sécurisation des données de santé
Le cadre juridique est désormais adapté pour permettre un plus grand partage des données de santé, dans le respect de la vie privée des personnes. Les données de santé, de par leur confidentialité, sont régies par le Code de la santé publique.
L’article 193 de la loi de modernisation de notre système de santé prévoit que les données de santé à caractère personnel, recueillies à titre obligatoire et destinées aux services ou aux établissements publics de l’État ou des collectivités territoriales ou aux organismes de Sécurité sociale, peuvent faire l’objet de traitements à des fins de recherche, d’étude ou d’évaluation présentant un caractère d’intérêt public, dans le respect de la loi relative à l’informatique, aux fichiers et aux libertés (6 juillet 1978).
En outre, la nouvelle loi modifie légèrement l’article 1111-8 du Code de santé publique : « Toute personne qui héberge des données de santé à caractère personnel recueillies à l’occasion d’activités de prévention, de diagnostic, de soins ou de suivi social et médico-social, pour le compte de personnes physiques ou morales à l’origine de la production ou du recueil desdites données ou pour le compte du patient lui-même, doit être agréée à cet effet. Cet hébergement, quel qu’en soit le support, papier ou électronique, est réalisé après que la personne prise en charge en a été dûment informée et sauf opposition pour un motif légitime. » En d’autres termes, cet article modifié étend le périmètre de l’obligation, pour les responsables de traitement, en cas d’externalisation de l’hébergement, de recourir à un hébergeur agréé, dès lors qu’elle s’impose dorénavant au secteur de la santé, mais aussi à celui du secteur social. Par ailleurs, le consentement de la personne concernée par les données – dûment informée – n’a plus à être recueilli : il est présumé (1).
Des hébergeurs agréés
Parallèlement à la protection juridique des données, des exigences techniques ont également été mises en place avec l’agrément « Hébergeur Agrée de Données de Santé » (HADS), qui garantit la confidentialité, l’intégrité, la disponibilité et la traçabilité des informations sensibles que constituent les données médicales. Le respect de nombreuses exigences est impliqué comme l’authentification forte, le chiffrement des données, la traçabilité des accès… La liste des hébergeurs agréés a été mise à jour le 6 juillet 2016 par l’ASIP (2).
(1) http://www.usine-digitale.fr/article/donnees-de-sante-ce-que-change-la-loi-du-26-janvier-2016.N376544
(2) http://esante.gouv.fr/services/referentiels/securite/hebergeurs-agrees
CCAM technique : des trous dans la raquette des revalorisations
Dr Patrick Gasser (Avenir Spé) : « Mon but n’est pas de m’opposer à mes collègues médecins généralistes »
Congrès de la SNFMI 2024 : la médecine interne à la loupe
La nouvelle convention médicale publiée au Journal officiel, le G à 30 euros le 22 décembre 2024