Publié le 26 septembre 2023

Quel usage éthique des données de santé ?

Innovation santé
#La synthèse du Lab

En dépit des freins objectifs, les possibilités d’avancer sur l’utilisation des données de santé pour les mutuelles sont réelles et essentielles. Les enjeux pour l’équité du système de santé et l’avenir du métier des mutuelles sont tels qu’il ne faut pas manquer aujourd’hui le tournant de l’intelligence artificielle (IA) en santé, dans la continuité des travaux déjà engagés sur l’accès et l’utilisation des données[1]. Toutes les conditions sont réunies pour lever les derniers obstacles juridiques qui complexifient l’accès aux données de mutuelles, en faisant évoluer les textes, ou en travaillant sur une méthodologie concertée avec la CNIL garante de l’exemplarité des mutuelles. Il s’agit aussi pour la Mutualité Française de prendre sa place dans le système de garantie humaine pour les algorithmes en santé, en contribuant dès à présent à sa construction, voire en assurant sa mise en place opérationnelle pour les opérateurs mutualistes.

 

Intervenants

  • Nathalie BESLAY, avocate spécialisée sur les données de santé, Cabinet Plus Avocats
  • David GRUSON, Président-fondateur Ethik IA, Auteur de S.A.R.R.A. Une conscience artificielle, éd. Bêta Publisher, 2020
  • Florence JUSOT, Présidente du Collège des économistes de la Santé/Université Paris Dauphine, membre du Conseil national d’éthique (CCNE), fondatrice de l’Institut du Numérique en société (Paris Santé Campus)
  • Annie PRÉVOT, Directrice de l’AGENCE DU NUMERIQUE EN SANTE

 

Des freins liés à la complexité et au surcroît de démarches a priori

A ce jour, la France dispose du cadre réglementaire le plus protecteur de l’individu au regard du traitement des données de santé (voir développements infra).
Or, si l’on peut se réjouir d’avoir mis en place de nombreux garde-fous juridiques, le parcours d’accès aux données de santé s’avère long et complexe, alors même qu’il est de nature à servir l’intérêt général.

Les difficultés des chercheurs

La recherche a besoin de s’appuyer sur des bases de données nationales ainsi que sur d’autres sources de données et de pouvoir croiser ces données entre elles (enquêtes, données hospitalières, données de l’industrie pharmaceutique et d’autres industriels de la santé, données épidémiologiques…). Mais à ce jour, les chercheurs sont confrontés à un ensemble de démarches qui rendent l’accès aux données long et difficile, les empêchant de mener à bien des travaux structurants (ex : sur les raisons de non-recours à la CSS, sur le reste à charge final des assurés…), en matière d’évaluation des politiques publiques (ex. : médecins traitants, franchises, etc.) ou des risques sanitaires (ex. : affaire du Médiator®). Les chercheurs se trouvent confrontés à deux problématiques :

  • La réglementation a rendu l’accès aux données plus compliqué qu’il y a une dizaine d’années, ce qui constitue un véritable frein aux projets de recherche. Les travaux de recherche font désormais face à un coût administratif et juridique important. De plus, aujourd’hui, les chercheurs ne peuvent pas construire des cohortes en santé avec l’aide de financement privé.
  • Les délais de mise à disposition des données se sont allongés, affichant 14 mois minimum, ce qui aboutit parfois à la perte des financements obtenus pour des projets de recherche, sans avoir obtenu les données.

Un débat économique sur la valeur des données de santé

Les débats autour des données de santé se focalisent sur leur marchandisation possible, mais dans une approche économique, il faut s’interroger, d’une part, sur le propriétaire des données et, d’autre part, sur les motivations de ceux qui veulent les utiliser, ainsi que sur le partage de la valeur qui en résulte.

Les données de santé nominatives appartiennent sans conteste aux individus. Leur utilisation dans le cadre d’études, de travaux de recherche est possible avec le consentement des personnes concernées, mais on pourrait s’interroger sur le partage de la valeur (ou de la rente), lorsque ces données sont commercialisées : ce partage existe-t-il ? Le propriétaire des données en bénéficie-t-il ? Est-il d’ailleurs souhaitable, sur le plan éthique, de rémunérer l’usage des données de santé d’un individu ? Dès qu’elles sont anonymisées, la question de la propriété des données de santé est encore plus délicate.

La détention de données de santé crée de facto une « rente informationnelle » qui devrait profiter à la collectivité. D’autant que l’évaluation des politiques publiques est complexe et qu’il y a un consensus sur le manque d’évaluation des mesures prises. Mais les difficultés rappelées ci-dessus concernant la recherche rendent les travaux difficiles, et les débats économiques sur le partage de la valeur des données de santé se heurtent à des conceptions très différentes des acteurs (entreprises commerciales, professionnels de santé, associations de patients, pouvoirs publics). Une seule certitude, la transparence sur ces sujets est un impératif.

Le parcours complexe des complémentaires santé

Les assureurs et les mutuelles sont régulièrement stigmatisés dans les débats sur les données de santé, et considérés comme moins capables de traiter « correctement » les données de santé, voire soupçonnés d’être mal intentionnés (ex : suspicion d’utilisation des données de santé pour tarifer en fonction de l’état de santé ou sélectionner les assurés). De ce fait, ils n’ont pas été traités comme les autres acteurs dans les textes qui ont installé le partage des données de santé, le législateur ayant souhaité encadrer plus fortement leurs pratiques par des obligations additionnelles. Ainsi, pour traiter les données du SNDS, les assureurs et les mutuelles doivent :

  • soit prouver, a priori, qu’ils ne sont pas dans le cadre d’une « finalité interdite ». Pour mémoire, il n’est pas possible d’utiliser le SNDS pour trois finalités interdites (Articles L. 1461-1 III du code de la santé publique et R. 1461-1 du code de la santé publique) :
    • prendre une décision à l’encontre d’une personne physique identifiée sur le fondement des données la concernant et figurant sur l’un de ces traitements,
    • promouvoir des produits de santé en direction des professionnels de santé ou des établissements de santé,
    • exclure de garanties des contrats d’assurance ou modification de cotisations ou de primes d’assurance pour un individu ou un groupe d’individus.

Il appartient aux mutuelles de démontrer a priori que les traitements qu’ils souhaitent réaliser ne vont pas conduire à l’exclusion de garantes d’un contrat d’assurance santé. Mais cette démonstration par la négative est très difficile à apporter. Pour preuve, après un travail de deux années sur son argumentaire et après moults échanges avec la CNIL, un organisme mutualiste n’a pas réussi à démontrer qu’il n’allait pas utiliser les données de santé pour affiner sa tarification.

En cause, le flou persistant sur les modalités de démonstration négative demandée sur la finalité interdite. De l’avis d’avocat, la rédaction des textes est, non seulement stigmatisante, mais également imparfaite (ne précisant ni le niveau de preuve, ni de critères définis). Une piste intéressante serait que les acteurs de la complémentaire santé travaillent de façon pragmatique pour proposer une méthodologie commune permettant d’attester de l’absence de finalité interdite.

  • Soit recourir à un bureau d’études. Conséquence de cette exigence de preuve compliquée, les complémentaires santé se sont vues imposer l’obligation, au même titre que les industriels en santé (ex : laboratoires pharmaceutiques), de passer par un tiers de confiance pour traiter les données de santé.

Avec le développement des systèmes d’’intelligence artificielle considéré à « haut risque », les mutuelles, comme d’autres acteurs, seront soumises à de nouvelles exigences de conformité. En effet, le Parlement européen a adopté, le 14 juin, l’AI Act, un texte de régulation des IA visant à veiller à ce que les solutions mises sur le marché européen soient sûres et respectent les droits fondamentaux des citoyens et les valeurs de l’Union Européenne.

Un cadre éthique et juridique pourtant suffisant

Le cadre législatif et réglementaire le plus protecteur au monde

La France est l’inventeur de la protection des données personnelles, les premiers textes datant de 1978, conçus au moment même où s’est développée l’informatique.

Sur le sujet plus pointu des données de santé, la France peut, là encore, se prévaloir de disposer du cadre légal le plus protecteur, puisqu’il va au-delà des exigences du RGPD.

  • L’arsenal législatif est large. En effet, il prévoit 35 infractions pénales en cas de non-respect du cadre d’utilisation des données de santé : accès, usage, publication, transformation, dégradation.
  • Des autorités compétentes comme la CNIL sont actives et l’usage des données de santé est très encadré, y compris techniquement (rôle de l’Agence du numérique en santé notamment). On dénombre finalement assez peu de contentieux sur ce sujet des données de santé, y compris dans le champ de la complémentaire santé. Les contestations, souvent de principe, viennent plutôt de certains représentants de professionnels de santé peu enclins à faciliter les contrôles dont ils pourraient faire l’objet, à commencer par les contrôles tarifaires.
  • Si l’on considère spécifiquement le cas des complémentaires santé, s’ajoute encore à cela, une régulation via les contrats responsables, les exigences prudentielles de l’ACPR en matière de gestion du risque et, pour les mutuelles, via les dispositifs de non-discrimination du code de la Mutualité.

On peut donc s’interroger sur la persistance d’une « légende urbaine » attribuant aux complémentaires santé des intentions malhonnêtes quant à l’usage des données de santé. La CNIL, comme d’autres autorités, a tous les moyens pour contrôler les agissements des mutuelles en matière de données de santé, qui n’ont aucun intérêt à rompre le lien de confiance qui les lie à leurs adhérents sur un sujet aussi sensible.

Un cadre éthique sur la base du principe de « garantie humaine » est en développement sur les algorithmes d’IA.

En matière de santé, l’introduction de l’intelligence artificielle, lorsqu’elle se matérialise par le développement d’outils d’aide au diagnostic, ou à la décision thérapeutique, pose une multiplicité de questions à la fois éthiques, sociales, ou juridiques. Le principe de « garantie humaine », levier de régulation des enjeux éthiques associés au numérique et à l’intelligence artificielle en santé, tente de répondre à ces enjeux.

  • La loi de bioéthique de 2021 a instauré en son article 17 ce principe de supervision humaine de l’IA dans la conception et l’application du pilotage par les données, ainsi que le devoir d’information du patient en cas de recours à l’IA.
  • Depuis 2021, des modèles appliqués de garantie humaine sur l’IA sont opérationnels. Le premier exemple concerne la santé bucco-dentaire pour la détection de risques carieux ou inflammatoires ; l’Union de dentistes endosse le rôle de superviseur.
  • Enfin, les articles 14 et 29 du Règlement européen sur l’IA ont également intégré la notion de « garantie humaine ». En assurance santé, le traitement d’IA est considéré à haut risque. Les sanctions appliquées sont identiques à celles du RGPD.

Le principe de « Garantie Humaine » de l’IA

La « Garantie Humaine » renvoie à une valeur forte consistant à conserver l’Humain au premier plan, en évitant des mécanismes de délégation de nos décisions à des outils numériques et algorithmiques sans contrôle. Il s’agit de s’assurer que l’IA reste à la fois efficace et éthique.

De manière concrète, il s’agit de réguler l’IA dans son mode de fonctionnement, ainsi que dans les décisions en amont et en aval de l’algorithme, en établissant des points de supervision humaine à des moments identifiés par les professionnels de santé, les citoyens et les concepteurs d’innovation. La supervision peut aussi consister en une analyse a posteriori de dossiers, afin de garder un regard humain sur les options conseillées ou prises par l’algorithme et, si besoin, d’apporter des corrections au modèle

Cette notion de Garantie Humaine portée par Ethik-IA, a été intégrée depuis peu dans la Loi sur la Bioéthique, ainsi que dans le règlement européen sur l’IA.

Ces reconnaissances successives – et de plus en plus larges – du principe de « Garantie Humaine » représentent des avancées importantes de la régulation positive de l’émergence des outils d’IA en Santé. Elle pourrait favoriser des champs d’exploitation encore à la traîne.

Si l’IA d’interprétation d’imagerie est mature et que l’IA générative progresse vite, l’utilisation de l’IA pour améliorer les parcours des patients et la prévention est freinée par la surrèglementation de ces données, qui induit des difficultés pour entraîner les algorithmes, faute d’y avoir accès. Le principe de précaution semble guider les réflexions sur l’usage des données de santé.

Or, se pencher sur les enjeux éthiques des données de santé peut aboutir à une lecture inverse du principe de précaution. Ainsi, l’avis 143 du Comité consultatif national d’éthique (CCNE) rappelle que les données de santé sont d’abord des attributs des personnes et ne peuvent pas être commercialisées sauf à être anonymisées. Les finalités d’intérêt public et général justifient l’utilisation de ces données mais là encore, il y a peu d’indications qui permettent de déterminer les travaux comme relevant de l’intérêt public et général, surtout lorsque des organismes de droit privés y sont associés. Les tensions éthiques qui émergent sur le sujet des données de santé concernent notamment les principes de bienfaisance, de justice et d’équité, et conduisent à une approche stricte du principe de précaution. Mais n’y a-t-il pas également un risque éthique dans l’empêchement du partage des données de santé ?

L’enjeu principal est de trouver un équilibre pour, d’une part, soutenir l’innovation et, d’autre part, maîtriser les risques et dérives potentielles. Autrement dit : encadrer et penser notre capacité d’innovation sans la bloquer.

Une urgence à agir pour les mutuelles

Les débats sur les données de santé se focalisent largement sur les dérives possibles, mais il est primordial de rappeler qu’il existe aussi un risque à ne pas les exploiter. L’absence d’usage de ces données aurait même un coût, y compris éthique !

Le moment semble d’autant plus opportun d’agir qu’il y a une volonté politique de développer les usages du numérique en santé, par l’intermédiaire de Mon Espace Santé, nouveau service public de santé qui s’adresse aux citoyens, et de favoriser la collecte des données de santé de façon maîtrisée (la stratégie nationale du numérique en santé a posé les bases de l’accès aux données de santé des citoyens en construisant les règles d’interopérabilité des systèmes d’information, portées par l’Agence du numérique en santé).

Pour améliorer l’efficience du système de santé

Ne pas pouvoir accéder, analyser, ou encore croiser, des données de santé expose clairement les acteurs du système de santé, en particulier l’Assurance maladie obligatoire (AMO), à un risque d’inefficience du système de santé à plusieurs niveaux.

Travailler sur les données médicales ou de remboursement permettrait ainsi d’identifier des interventions évitables, car inefficaces, voire dangereuses, d’analyser en temps réel des risques sanitaires et leurs conséquences (ex. : crise sanitaire du Covid19, affaire du Médiator®, etc.).

En termes de suivi ou de prévention, l’AMO aurait parfois intérêt à accéder aux données nominatives des assurés, afin de repérer des ruptures, des moments d’inobservance, ou tout simplement leur proposer des dépistages, leur faire des rappels, etc. Ce sont d’ailleurs des axes de travail dans AMELI et « Mon espace Santé.

Pour améliorer la gestion du risque des assureurs

Se priver d’un usage collectif des données de santé revient à se priver d’un levier d’efficience dans la gestion du risque, que ce soit pour les assureurs complémentaires, mais aussi pour l’AMO, laquelle pourrait mieux cibler ses priorités vers des actions réduisant les risques des assurés et améliorant l’efficience du système de santé (clé de l’équilibre des comptes).

Les règles prudentielles de Solvency II obligent l’ensemble des complémentaires santé à faire de la gestion du risque, en déterminant notamment des réserves destinées à couvrir les risques potentiels. Pouvoir s’appuyer sur des données de santé d’assurés permettraient aux organismes d’assurance complémentaires de travailler sur des prévisions plus fines et plus fiables.

Mieux gérer le risque c’est aussi faire en sorte que ses adhérents soient mieux orientés, mieux accompagnés, et en meilleure santé. La deuxième séance du LAB a permis de mettre en exergue le fort potentiel des données dans le virage préventif, notamment dans la détection des risques.

Ne pas agir reviendrait aussi à se priver d’une capacité à corriger un certain nombre d’inégalités dans l’accès aux soins, à personnaliser les accompagnements, la prévention. Comment faire pour ne pas passer à côté des améliorations que l’usage des données pourrait apporter aux adhérents des mutuelles, en matière par exemple de personnalisation.

Pour garantir l’éthique et l’intérêt général d’un système

Les mutuelles ont une place certaine à occuper dans l’information, la formation et le portage technique et politique de ces sujets. Des innovations techniques se mettent en place ; les mutuelles doivent s’en saisir et les promouvoir auprès de leurs adhérents, pour les rendre plus autonomes dans leur parcours de soins.

Ainsi, si des acteurs européens d’intérêt commun ne prennent pas en main le sujet, il y a un risque de voir apparaître des plateformes extra-européennes d’outils payants d’IA en santé (une forme de « Netflix de l’IA »), voire intégrant des agents conversationnels pouvant répondre aux questions de santé de l’utilisateur. De l’avis d’experts, il est urgent de se saisir de ces sujets qui avancent vite (ex. : essor en 2023 des IA génératives et auto-apprenantes). Outre les inégalités générées par ce type de plateformes payantes et non régulées, l’autre risque de l’essor de plateformes étrangères serait une inadaptation au contexte européen (en termes de population, de protocole, de médicaments, etc.)

En fixant un cadre méthodologique

Le cadre juridique étant en place, il est désormais urgent de parvenir à avancer sur cette base pour dépasser les blocages et désamorcer les procès d’intention à l’encontre des assureurs et des mutuelles.

S’il ne s’avérait pas possible de faire évoluer les textes imparfaits sur la « finalité interdite », il conviendrait de réfléchir à l’établissement d’un cadre de confiance méthodologique et éthique commun, afin de prouver que les complémentaires santé sont capables de mettre les moyens humains et techniques de conformité (importance de l’exemplarité) en associant patients, professionnels de santé et industriels. La Mutualité, en tant que fédération, pourrait prendre le leadership pour défendre l’accès et l’utilisation des données de santé, pour définir ce cadre de confiance, voire pour jouer le rôle de tiers de confiance dans la « garantie humaine » sur le traitement des données de santé par des mutuelles du Livre 2.

[1] Au début de ce nouveau cycle du LAB « Place de la Santé » sur le numérique en santé, il a été rappelé que les dimensions éthiques liées au numérique avaient a été abordées au sein des travaux de l’Espace fédéral d’éthique de la Mutualité Française ; le propos du LAB est d’aller au-delà sur les enjeux de prévention, de réduction des risques en santé, pour les mutuelles, en tant qu’assureurs, offreurs de soin et acteurs de la prévention.