Le secret des données de santé est indispensable à un exercice professionnel de qualité. Certaines grandes manœuvres laissent prévoir que celui-ci est menacé. Le Dr Jacques de Toeuf prévient  “s’il ne devait plus être respecté, à titre personnel, en tant que Président du Comité de gestion de la plateforme eHealth, j’en tirerais les conclusions qui s’imposent.”

La Loi portant des dispositions diverses en matière de santé, en voie d’élaboration au Parlement, crée, en ses articles 163 à 166, le dispositif de centralisation des données de prescriptions : toutes les prescriptions sont concernées, tant celles des médicaments que celles des produits médicaux. Y sont définies aussi les procédures d’authentification des prescripteurs, des prescriptions, etc. Cette loi modifie en conséquence la Loi sur l’exercice des professions de santé. Les articles ont été approuvés en commission santé de la Chambre.

La gestion exclusive du système est confiée au SPF SCAE, à l’AFMPS et à l’INAMI. Ce sont ces organes qui sont responsables du respect des dispositions du RGPD. L’exposé des motifs de la loi précise que les données sont cryptées. L’accès à la base de données est réservé aux patients / prescripteurs / prestataires exécutant la prescription. Les données sont détruites après un an.

Sur la forme, il y a peu à dire. Les impératifs du RGPD sont respectés : durée du consentement, finalité, proportionnalité, etc. Reste à voir comment ce sera mis en œuvre sur le terrain.

Vers la fin de Recip-e ?

Sur le fond, deux remarques. La première est la marginalisation de l’ASBL Recip-e, association qui regroupe les professionnels concernés par la prescription : médecins, pharmaciens, dentistes, etc. Elle gère depuis plus de dix ans tout le système de prescription des médicaments et a préparé l’élargissement de ses missions aux prescriptions autres (matériel médical, adressage entre professionnels) , avec le support technique de la plateforme eHealth et de l’INAMI.

Lieu privilégié de dialogue entre professionnels, elle se montrait fort créative, et créait le consensus. Maintenant, elle sera limitée à un rôle de support technique des administrations citées, avant sans doute de disparaître. Dommage pour une structure interprofessionnelles qui avait le soutien de tous. C’est une des manifestations de la décision des autorités de marginaliser les professions en confiant la gestion de leurs activités à l’administration . Demain, il en sera de même pour l’élaboration des recommandations cliniques ou des trajets de soins ? L’Etat est-il vraiment le seul à  bien faire les choses , étant garant du bien commun et étranger à toutes les pressions corporatistes ? Il est permis d’en douter, à constater ce qui se passe quotidiennement, voyez la gestion de la Covid ou d’autres dérives bien connues.

La deuxième pose la question de la pertinence de la centralisation des données de santé. Dans cette optique, centraliser la gestion des prescriptions de toute nature – médicaments, produits de santé et de soins, et demain, les prescriptions dites d’envoi et d’adressage – est un premier pas. Les premières versions de cette loi en projet mentionnaient une Health Data Authority (HDA), qui ne figure plus dans la dernière version du texte.

Cependant, le concept HDA se met en place. Il est encouragé par la Commission européenne, dont le plan de relance octroie des fonds pour les innovations IT.

La note 2021_069 du Conseil général de l’INAMI réserve un chapitre à ce thème. On y apprend que 29 millions d’euros, issus du Plan de relance européen, sont destinés à la mise en place du dossier patient intégré, électronique et interprofessionnel, dans un environnement sécurisé. Selon le Conseil général, six actions seront financées par ce biais : care sets (regroupement de soins), e-prescription, clinical decision support, distribution et information médicament, téléconsultation, et Health Data System. Ce dernier thème, financé à hauteur de 7 millions d’euros sur 5 ans, ce sera la Health Data Authority. (HD)

Pas conforme au RGPD

Et c’est ici que les choses risquent de se corser. Le plan Health data a été initié en 2016, par une convention entre l’INAMI et Sciensano, qui, faut-il le rappeler, résulte de la fusion entre l’Institut Public de Santé (ex-Institut Pasteur) avec l’Institut vétérinaire. 

La convention portait sur le regroupement des données de santé issues de plusieurs sources (par exemple le registre du cancer, les données de facturation, les APR-DRG des hôpitaux…) dans le but de procéder à des études scientifiques, de soutenir la politique de santé du Gouvernement, etc. C’est pour cette Health Database embryonnaire que fut créé le circuit d’anonymisation, de pseudonymisation à deux étapes, la HD for providers, la HD for Primary care, la HD for patients.

Cette centralisation soulevait le problème majeur de la confidentialité des données de santé. La plateforme eHealth a contribué au support technique, et le nouvellement créé Comité de Sécurité de l’Information (CSI) a approuvé les procédures de cette HD. Je ne pense pas que l’HD reçut une approbation de l’Autorité de Protection des Données (pas encore créée à l’époque ?)

La création d’une HD Authority est en route, incluse dans la Roadmap e-santé Version 3 en cours d’élaboration. On y trouve toutes les habituelles vertueuses déclarations de respect de la vie privée, de collaboration entre toutes les parties : fournisseurs de données (les prestataires), les clients (les demandeurs d’infos santé, comme les associations scientifiques, le Gouvernement, les agences de l’Etat, les mutuelles) et l’industrie IT. En pratique, cela revient à mettre en place le cadre légal pour la réutilisation des données de santé aujourd’hui hébergées dans des serveurs épars et accessibles selon des procédures strictes (trop aux yeux des faiseurs de lois) et demain rassemblées chez  un opérateur unique. Cette réutilisation pose cependant un gros problème : ces données de santé ont été collectées par des organes dédiés, pour des finalités précises. Les rassembler dans une HD Authority avec d’autres finalités n’a jamais été communiquée au patient lorsqu’il a donné son consentement à la constitution de son dossier électronique, médical ou médicamenteux. Normalement, il faudrait lui demander son accord pour la réutilisation. Ce ne sera pas le cas.

On observe déjà des tendances à contourner cet obstacle. Rappelons les débats sur la matrice d’accès, rédigée par le CSI, aux données du dossier médical à l’intention des autres prestataires : infirmiers, kinésistes, pharmaciens, sages-femmes, etc. Chaque groupe professionnel voulait accéder au plus grand nombre de données du Sumher, ce qui semble excessif et disproportionné, en tout cas à nos yeux. Un accord limité a été trouvé en faveur des infirmiers et des kinésithérapeutes, plus conforme aux besoins de ces professionnels et à la protection des données.

La plateforme eHealth développe un nouveau modèle (Paradigme Shift) qui devrait rendre les accès encadrés selon les pathologies 

Remplacer ”opt in” par “opt out”

Une réflexion est en cours, chez certains, visant à remplacer le modèle « opt in », où le patient consent au partage de données, par un modèle « opt out », c’est-à-dire où le patient qui ne dit mot consent. Or tous les utilisateurs de la plateforme eHealth, y compris les associations de patients, se sont prononcés en faveur de l’opt in, et ont formulé une série d’interdiction d’accès aux données de santé des personnes, visant entre autres les assurances et les mutuelles. Passer à un opt out sera, aux yeux de beaucoup, inadmissible.

Pour en revenir au dossier patient intégré électronique interprofessionnel, il faut être prudent. Les concepteurs de ce outil ne tarissent pas d’éloge sur le concept : enfin, moyennant l’accord éclairé (l’est-il vraiment ?) du patient et une relation thérapeutique enregistrée, toutes les informations de santé de chacun sont lisibles par le patient et/ou des tiers , qu’ils soient un des professionnels reconnus ou non (aide soignante, personne de support de la famille, etc).

C’est énorme et disproportionné. Point n’est besoin d’accéder à tout le dossier pour diagnostiquer et traiter/accompagner un patient, seules les données pertinentes peuvent être « partagées » et pour une période limitée à l’exécution de la prestation. Le Sumehr, comme tout autre dossier professionnel, est le carnet de la vie sanitaire d’un citoyen, il héberge des informations confiées sous le sceau de la confidence sans lequel il n’y a pas de pratique de qualité. La mise en commun de toutes ces informations ne se justifie que dans des situations spécifiques (patients chroniques avec polypathologies traitées par plusieurs intervenants sur une longue durée), jamais dans les traitements de courte durée où une prescription précisant les points d’attention devrait suffire. Mieux vaudrait améliorer la qualité de la prescription que de croire résoudre la question du partage de données en les rassemblant dans une mégabanque rendue accessible à des conditions minimales.

En bref, le partage de données au bon moment et dans les limites du nécessaire est plus utile et plus sécurisé que l’usine à gaz qui se construit. Ouvrir l’accès à tous aura en outre pour conséquence que le Sumehr sera expurgé par le médecin de nombreuses données sensibles, et que le patient ne confiera pas tout à son médecin, ou même qu’il refusera tout hébergement dans ue database. Quel progrès, l’outil partagé sera vidé de substance !

Aucun doute que l’étape suivante sera une nouvelle loi instaurant une rafale de sanctions à l’égard de celui qui omettrait de consituer un dossier complet. Notre ministre adore les sanctions, surtout administratives qui font l’économie de procédures au civil, ainsi qu’en témoignent les mesures  punitives figurant dans le projet de loi dispositions diverses . Notez au passage que le service du contrôle médical de l’INAMI édictera les règles de bonne pratique, avec le consentement tacite ou affirmé de bon nombre d’oraganisations professionnelles.

En résumé, le gouvernement crée les règles de fonctionnement de l’outil, et plus tard lui confiera des missions de gestion sanitaire. C’est la technique de la découpe du salami.    

Une vigilance de tous les instants s’impose. Le paradigma shift peut contribuer au maintien de la confidence s’il prend cette exigence comme fil conducteur : « confidentiality in all policy »  Le secret des données de santé est indispensable à un exercice professionnel de qualité. Il n’a déjà que trop été malmené. Nous devons alerter la société des dommages irréversibles à la relation soignant-soigné que causerait la disparition de cette confidentialité. Si elle ne devait plus être respectée, à titre personnel, en tant que Président du Comité de gestion de eHealth, j’en tirerais les conclusions qui s’imposent.