M. le président. La parole est à M. le rapporteur.
M. Alain Milon, rapporteur. Monsieur le président, madame la ministre, mes chers collègues, alors que nous abordons l’examen du titre III du projet de loi, relatif aux enjeux numériques liés aux données de santé, je souhaiterais clarifier quelques éléments généraux sur un sujet éminemment technique.
La commission a modifié et complété cette partie du texte afin de permettre à notre système de santé de prendre pleinement le virage du numérique. À cet égard, je tiens à saluer votre engagement et votre détermination, madame la ministre : la feuille de route que vous avez tracée, à la fin du mois d’avril, pour accompagner la transformation numérique de notre système de santé témoigne d’une solide ambition. Elle permettra d’engager l’ensemble des acteurs du secteur, professionnels, établissements, assurance maladie et éditeurs de logiciels, dans une nouvelle dynamique.
Je souhaite d’emblée indiquer que, à mon sens, l’article 11, portant sur la réforme du système national des données de santé, le SNDS, et sur la création d’une plateforme des données de santé, la PDS, ne présente pas les risques que certains de nos collègues députés ont cru identifier.
D’abord, il élargit le périmètre des données versées au SNDS, ce qui, au vu des enjeux de santé publique, ne peut qu’emporter notre adhésion. Nous avons, à ce titre, contribué en commission à y ajouter le GIR comme donnée de santé essentielle.
Le dispositif de l’article 11 prévoit certes la possibilité d’intégrer des personnes de droit privé au comité éthique de la nouvelle plateforme des données de santé, qui examinera le caractère d’intérêt public des demandes d’accès. Néanmoins, l’arsenal législatif de la loi Informatique et libertés, auquel le texte ne manque pas de se référer, reste parfaitement opérant, et les garanties qu’il apporte, renforcées par l’Assemblée nationale, continueront d’assurer l’indépendance de cette instance, ainsi que la régulation des accès aux données.
Deux questions auxquelles nous n’avons pas, à ce jour, obtenu de réponses restent cependant en suspens, madame la ministre.
D’une part, l’éclatement de la gestion du SNDS, qui passe de la CNAM gestionnaire unique à plusieurs responsables de traitement désignés par décret, pose la question du transfert de la compétence jusqu’ici exercée par la seule CNAM.
D’autre part, bien qu’elle n’expose pas les données de santé à des risques d’exploitation, je m’interroge sur la suppression de la « finalité d’étude, de recherche et d’évaluation », qui semble ouvrir la voie à d’autres formes de traitement, dont on identifie encore mal la portée.
Cela étant, l’article 11 me semble aller dans le sens d’une meilleure qualité de nos plateformes de données de santé. Je n’ai pas besoin de rappeler quels enjeux cruciaux elles représentent pour l’avenir.
M. le président. La parole est à M. Dominique Théophile, sur l’article.
M. Dominique Théophile. L’article 11 du projet de loi transfère les principales missions de l’Institut national des données de santé, l’INDS, au GIP qui sera financé par un budget annuel de 40 millions d’euros, abondé pour moitié par l’État, à hauteur de 80 millions d’euros sur quatre ans.
Le Health Data Hub, projet de plateforme publique des données de santé, remplacera l’INDS et fonctionnera comme un guichet unique, sécurisé, pour les centres de recherche, les hôpitaux, les start-up, les laboratoires. Il rassemblera des données médico-administratives, issues notamment de l’assurance maladie, via la carte Vitale, mais aussi des données cliniques venant d’hôpitaux ou de centres de radiologie. D’autres systèmes de données de santé publics pourront également s’adosser au Health Data Hub.
En conséquence, nous allons créer un écosystème qui modernisera l’exploitation des données de santé et fera de la France un leader dans ce domaine. Il élève notre pays au rang des nations avancées en matière de recherche médicale et de numérisation de la santé.
Se pose la question de la confidentialité des données, que j’ai déjà évoquée, et celle de l’optimisation des données pour des territoires, comme ceux de l’outre-mer, dont les populations sont exposées à des maladies tropicales et exclusives. Je fais ici référence aux maladies véhiculées par les moustiques, telles que le zika, la dengue ou le chikungunya, qui ont fortement touché La Réunion et les Antilles françaises. À ce sujet, je tiens d’ailleurs à saluer l’équipe de chercheurs de l’Institut Pasteur à Paris, qui, en collaboration avec l’Institut Pasteur de Guadeloupe, le centre hospitalier universitaire de Guadeloupe, le centre hospitalier universitaire de Martinique, l’Institut du cerveau et de la moelle épinière, l’Inserm et le CNRS, a mené une vaste étude d’observation de la population lors de l’épidémie de 2016 aux Antilles françaises. Pour ce faire, des neurologues, des neurobiologistes et des infectiologues se sont associés pour étudier le cas des malades du zika.
M. le président. La parole est à Mme la ministre.
Mme Agnès Buzyn, ministre. L’article 11 du projet de loi vise à démultiplier les usages des données de santé en mobilisant les techniques à l’état de l’art de l’intelligence artificielle, tout en préservant un haut niveau de protection de la vie privée.
La France pourra ainsi devenir un leader mondial dans ce domaine et, surtout, faire bénéficier les Français des avancées de la médecine rendues possibles grâce à l’intelligence artificielle. Pour cela, le présent article étend le périmètre du SNDS et crée la plateforme des données de santé, ou le « Health Data Hub », en bon anglais.
L’élargissement du SNDS aux données cliniques recueillies par les établissements ou par les professionnels, aux données des services de PMI, aux données de médecine scolaire, transforme profondément ce système. Ces données ne seront plus rassemblées dans une base unique. Certaines seront appariées au SNDS historique de manière automatisée, et d’autres ne le seront que de façon ponctuelle, pour répondre aux besoins de projets précis.
Cette configuration permet d’allier l’agilité et la sécurité nécessaires à nos ambitions. Elle n’est toutefois pas compatible avec l’existence d’un responsable de traitement unique, seul chargé de mettre à disposition les données du SNDS ainsi élargi. La CNAM conservera donc ses compétences sur le SNDS historique et le PDS, comme ses missions le prévoient. Elle sera un acteur majeur pour l’exploitation des nouvelles données du SNDS ou pour les utilisations les plus innovantes nécessitant des capacités de calcul renforcées, par exemple, ou le recours à des technologies de pointe.
De plus, ce projet élargit les possibilités d’accès aux données du SNDS à l’ensemble des traitements d’intérêt public. L’exigence d’une finalité précise de recherche, d’étude ou d’évaluation est supprimée, ce qui, je l’entends, suscite des inquiétudes. Toutefois, cette exigence constitue à l’heure actuelle un frein pour certains travaux, sans apporter de garanties supplémentaires par rapport aux finalités limitées du SNDS, décrites par ailleurs dans la loi. Cette disposition empêche ainsi de constituer des bases de données pérennes entre les données du SNDS et des données sociales ou des données environnementales, ce qui oblige chaque équipe de recherche à créer de telles bases au cas par cas. Au-delà de la perte de ressources liée à l’absence de mutualisation, cette interdiction conduit à la multiplication de sous-bases, et donc à la dissémination de données.
Aussi ai-je souhaité supprimer la « finalité d’étude, de recherche ou d’évaluation », mais j’ai ajouté d’autres garanties dans le texte, notamment en supprimant le dispositif de correspondance permettant la réidentification des personnes à partir des données du SNDS.
Enfin, comme vous l’avez souligné, monsieur le rapporteur, les garanties apportées par le règlement général sur la protection des données, le RGPD, et la loi Informatique et libertés s’appliquent en totalité.
Cet article instaure un équilibre entre les usages innovants et efficaces des données de santé en vue d’améliorer nos connaissances et, à terme, la qualité des soins et la protection de la vie privée. Cet équilibre a d’ailleurs été salué par le Conseil d’État, qui a considéré que « le projet de loi ne méconnaît aucune exigence de valeur constitutionnelle ou conventionnelle, dès lors que le SNDS apporte des garanties suffisantes pour l’utilisation des données auxquelles il donne accès ».
J’espère avoir ainsi avoir répondu à certaines interrogations.
M. le président. L’amendement n° 322, présenté par Mmes Cohen, Apourceau-Poly, Gréaume et les membres du groupe communiste républicain citoyen et écologiste, est ainsi libellé :
Supprimer cet article.
La parole est à Mme Cathy Apourceau-Poly.
Mme Cathy Apourceau-Poly. L’article 11 crée une plateforme des données de santé, qui se substitue à l’Institut national des données de santé, tout en élargissant ses missions. Elle aura notamment pour rôle de réunir, d’organiser et de mettre à disposition les données du système national des données de santé.
Ce nouveau dispositif est censé restructurer une base de données de 1,2 milliard de feuilles de soins et d’à peu près 500 millions d’actes médicaux, dispersés entre les hôpitaux, les cliniques et autres laboratoires de biologie médicale.
Pour notre part, nous sommes évidemment favorables à ce que ces données soient mises à la disposition de la recherche publique.
Notre crainte principale est qu’apparaisse un nouveau marché des données de santé, qui pourrait profiter essentiellement aux grandes multinationales du numérique, moyennant la monétisation de ces données. Nous craignons que cette base de données publique, financée par l’État, soit gratuitement mise à la disposition des géants du numérique, d’autant que nous avons appris que Microsoft était déjà candidat pour héberger les données des patients, tout comme Thales et Atos. Nous craignons aussi qu’une base unique de données de santé fasse l’objet d’attaques de la cybercriminalité. Ainsi, aux États-Unis, plusieurs millions de dossiers de santé ont été piratés entre 2010 et 2017.
Les cybercriminels s’intéressent davantage à notre carte Vitale qu’à notre carte bancaire. Quoique… (Sourires.) Toutes les informations concernant la santé peuvent les intéresser : le nombre d’hospitalisations, les traitements prescrits, la nature des pathologies, surtout quand les données récupérées concernent l’ensemble de la patientèle d’un hôpital sur plusieurs années.
Les risques en matière de protection des données des patients sont trop importants. C’est pourquoi nous demandons la suppression de cet article.
M. le président. Quel est l’avis de la commission ?
M. Alain Milon, rapporteur. Mon propos liminaire est largement suffisant. L’avis est défavorable.
M. le président. Quel est l’avis du Gouvernement ?
M. le président. L’amendement n° 33 rectifié bis, présenté par MM. Bonne et Henno, Mmes Malet, M. Mercier, Puissat et Bonfanti-Dossat, M. Bascher, Mmes Deroche, Deromedi, Bruguière et Estrosi Sassone, M. B. Fournier, Mme Chauvin, M. Hugonet, Mme Gruny, MM. Genest, Karoutchi, D. Laurent, Laménie, Lefèvre, Mandelli, Mayet, Morisset, Mouiller, Pellevat, Perrin, Raison, Savary, Saury, Vogel et Cuypers, Mme Imbert, MM. Bouloux, Charon, Sido et J.M. Boyer et Mme Lamure, est ainsi libellé :
Au début de cet article
Insérer un paragraphe ainsi rédigé :
…. – Le premier alinéa du I de l’article L. 1111-8 du code de la santé publique est complété par une phrase ainsi rédigée : « Ces conditions ne s’appliquent pas dans le cas où l’hébergement des données de santé à caractère personnel fait l’objet d’un transfert ou d’une convention conclue entre plusieurs personnes morales de droit public dont l’une assure la tutelle administrative et financière des autres. »
La parole est à Mme Viviane Malet.
Mme Viviane Malet. La rédaction actuelle du code de la santé publique contraint les collectivités territoriales à obtenir une certification pour l’hébergement de données de santé lorsque cet hébergement est le fruit d’une convention constitutive, comme c’est le cas pour les conseils départementaux, qui hébergent les données des maisons départementales des personnes handicapées, les MDPH, ou d’un transfert décidé par délibération, comme c’est le cas pour les communes, qui hébergent les données des centres communaux d’action sociale, les CCAS.
Cette obligation contrevient manifestement à l’esprit de la loi Touraine de janvier 2016, qui entendait circonscrire l’obligation de certification aux personnes morales de droit privé hébergeant pour le compte de tiers, les textes réglementaires d’application allant même jusqu’à définir une relation contractuelle entre l’hébergeur et son client.
De même, elle expose potentiellement ces collectivités à des sanctions pénales, alors même que l’hébergement des données de santé à caractère personnel correspond à leur mission de service public. C’est pourquoi il est proposé de les exclure du champ de l’obligation de certification.
M. le président. Quel est l’avis de la commission ?
M. Alain Milon, rapporteur. Cet amendement apporte une clarification, que la commission a jugée bienvenue, entre le droit issu de la loi Touraine en matière d’hébergement des données de santé et la déclinaison réglementaire qui en a été faite.
Il est en effet prévu, au titre de cette loi, que tout hébergeur de données de santé pour le compte de tiers doit recevoir une habilitation préalable. En application stricte, cette disposition devrait donc s’appliquer aux collectivités territoriales, essentiellement les conseils départementaux et les communes, qui hébergent des données de santé pour le compte de tiers, quand bien même elles en exercent la tutelle administrative et financière : c’est le cas des MDPH pour les conseils départementaux et des CCAS pour les communes.
Cette démarche, pouvant coûter jusqu’à 400 000 euros aux collectivités concernées, me semble superflue à deux titres.
D’abord, les dispositions légales qui régissent l’hébergement des données de santé par des personnes morales de droit public sont déjà précisées dans la loi Informatique et libertés.
Ensuite, l’intention du législateur à l’origine de cette habilitation était manifestement d’en limiter le champ aux cas où l’hébergement des données de santé était confié à des personnes morales de droit privé. Les dispositions réglementaires qui évoquent explicitement une relation de client à fournisseur sont, à cet égard, incontestables.
La commission est donc favorable à cet amendement.
M. le président. Quel est l’avis du Gouvernement ?
Mme Agnès Buzyn, ministre. Le Gouvernement pense que tout hébergeur de données de santé doit se soumettre à ces règles de sécurité. Avis défavorable.
M. le président. L’amendement n° 468, présenté par le Gouvernement, est ainsi libellé :
Alinéa 12
Compléter cet alinéa par les mots :
, lorsque ces données sont appariées avec les données mentionnées aux 1° à 6° du présent I
La parole est à Mme la ministre.
Mme Agnès Buzyn, ministre. Cet amendement vise à clarifier les périmètres du SNDS en ce qui concerne les données relatives à la perte d’autonomie.
En effet, la commission des affaires sociales du Sénat a souhaité intégrer au SNDS les données de GIR, qui sont relatives au niveau de perte d’autonomie d’une personne âgée. Cet ajout ouvre des perspectives très pertinentes pour les études sur la dépendance. Toutefois, il ne s’agit pas de données de santé par nature. Les intégrer systématiquement au SNDS reviendrait à leur appliquer toutes les obligations pesant sur celui-ci, notamment le référentiel de sécurité, particulièrement lourd et contraignant. En conséquence, il convient de limiter l’intégration de ces données au SNDS à celles qui sont appariées à certaines autres données de ce dernier.
M. le président. Quel est l’avis de la commission ?
M. Alain Milon, rapporteur. C’est un avis très favorable !
M. le président. L’amendement n° 805, présenté par M. Milon, au nom de la commission des affaires sociales, est ainsi libellé :
Alinéa 20
Remplacer la référence :
article 79
par la référence :
article 36
La parole est à M. le rapporteur.
M. Alain Milon, rapporteur. C’est un amendement purement rédactionnel.
M. le président. Quel est l’avis du Gouvernement ?
M. le président. L’amendement n° 806, présenté par M. Milon, au nom de la commission des affaires sociales, est ainsi libellé :
I. – Alinéa 26
Après les mots et les signes :
et les mots : «
insérer les mots :
la procédure définie
II. – Alinéa 39
Supprimer cet alinéa.
La parole est à M. le rapporteur.
M. Alain Milon, rapporteur. C’est là aussi un amendement rédactionnel.
M. le président. Quel est l’avis du Gouvernement ?
M. le président. L’amendement n° 324, présenté par Mmes Cohen, Apourceau-Poly, Gréaume et les membres du groupe communiste républicain citoyen et écologiste, est ainsi libellé :
Alinéa 48
Après les mots :
constitué entre
insérer les mots :
l’Assurance maladie,
La parole est à Mme Laurence Cohen.
Mme Laurence Cohen. Selon un article du Monde daté du 23 janvier 2019, on ne dispose d’aucune donnée pour 78 % de la population française.
Les fichiers de l’assurance maladie, alimentés par les cartes Vitale, ne contiennent pas le diagnostic, seulement le nom des médicaments à rembourser. Il est donc assez compliqué d’en déduire les pathologies soignées.
Néanmoins, si ce fichier est insuffisant en lui-même, il peut être croisé avec d’autres informations, comme celles provenant des hôpitaux ou des laboratoires d’analyses ou d’imagerie médicale, et ainsi constituer une source précieuse pour la recherche. Sans le fichier de l’assurance maladie, la future plateforme des données de santé ne sera pas vraiment alimentée.
Pour autant, qui est le propriétaire des informations détenues par l’assurance maladie ? Pas les usagers, l’État non plus : ce sont les assurés sociaux. Quand le Gouvernement prévoit de nationaliser le fichier des données de santé, c’est nous, en tant qu’assurés sociaux, qui sommes retirés du jeu, si je puis dire.
C’est pourquoi exclure l’assurance maladie du pilotage de la plateforme des données de santé, alors même que c’est elle qui assure la mission, essentielle, de collecte des données, nous paraît assez dangereux et déconnecté des réalités. Notre amendement vise à corriger cette erreur.
M. le président. Quel est l’avis de la commission ?
M. Alain Milon, rapporteur. Cet amendement pose plusieurs problèmes, madame Cohen.
En désignant généralement l’assurance maladie, on ne sait s’il prévoit la participation de la CNAM ou du réseau des CPAM. Plus spécifiquement, il convient de bien distinguer la mission, certes essentielle, qu’assurait jusqu’alors la CNAM comme gestionnaire unique des données de santé du SNDS et la mission de l’Institut national des données de santé, auquel se substitue la PDS, qui a pour tâche de se prononcer sur l’opportunité d’une demande de traitement de ces données de santé.
La CNAM, contrairement à ce qu’affirment les auteurs de l’amendement, n’assure pas la collecte des données de santé ; elle gère l’entrepôt national alimenté par ses divers contributeurs. Ce monopole de gestion est d’ailleurs abrogé par le présent projet de loi.
Cette mission, essentiellement gestionnaire, ne confère pas en soi la qualité à l’organe gestionnaire pour se prononcer sur l’opportunité d’une demande de traitement. Elle pourrait même mettre la CNAM dans une situation de juge et partie, dans le cas où cette dernière se trouve à l’origine d’une demande de traitement.
Si cet amendement n’est pas retiré, l’avis sera défavorable.
M. le président. Quel est l’avis du Gouvernement ?
Mme Agnès Buzyn, ministre. Il est défavorable, mais je voudrais rassurer Mme Cohen : le groupement d’intérêt public « Plateforme des données de santé » dispose d’une gouvernance très large et représentative, constituée de l’État, des organismes assurant une représentation des patients et des usagers du système de santé, des producteurs de données de santé – je pense par exemple aux hôpitaux publics ou aux équipes de recherche du CNRS –, des utilisateurs publics et privés de données de santé, y compris des organismes de recherche en santé. La CNAM étant un producteur de données de santé, elle est déjà présente dans la gouvernance du groupement d’intérêt public tel qu’il est défini.
M. le président. La parole est à Mme Laurence Cohen, pour explication de vote.
Mme Laurence Cohen. Compte tenu des explications qui viennent de nous être fournies, nous allons retirer notre amendement, qui exprimait une inquiétude apparemment non fondée. En tous cas, il est mal ficelé !
M. le président. L’amendement n° 324 est retiré.
Je suis saisi de deux amendements identiques.
L’amendement n° 219 rectifié bis est présenté par Mmes Berthet et Lassarade, MM. Meurant et Sol, Mmes Bonfanti-Dossat et Bruguière, M. B. Fournier, Mmes Garriaud-Maylam et Gruny, M. Mandelli, Mme Noël, M. Pellevat, Mme Puissat, MM. J.M. Boyer et Bonhomme, Mme Deroche, MM. Duplomb et Laménie, Mme Lamure et M. Sido.
L’amendement n° 649 rectifié est présenté par Mme Guillotin, MM. Arnell, Artano, A. Bertrand et Cabanel, Mme M. Carrère, MM. Castelli, Collin et Corbisez, Mme N. Delattre, MM. Gabouty et Guérini, Mme Jouve et MM. Requier et Vall.
Ces deux amendements sont ainsi libellés :
Alinéa 48
Après les mots :
système de santé,
insérer les mots :
des représentants des professionnels de santé,
La parole est à Mme Martine Berthet, pour présenter l’amendement n° 219 rectifié bis.
Mme Martine Berthet. L’article 11 définit ainsi la composition du futur groupement d’intérêt public « Plateforme des données de santé » : l’État, les organismes assurant une représentation des malades et des usagers du système de santé, des producteurs de données de santé et des utilisateurs publics et privés de données de santé, y compris des organismes de recherche en santé.
Cet amendement a pour objet de prévoir que les professionnels de santé qui ont successivement été membres de l’Institut des données de santé puis de l’Institut national des données de santé soient membres de la future plateforme des données de santé.
M. le président. La parole est à M. Jean-Claude Requier, pour présenter l’amendement n° 649 rectifié.
M. Jean-Claude Requier. Les professionnels de santé sont les premiers producteurs de données de santé. Cependant, l’appellation « producteurs de données » n’est pas assez explicite et a un caractère technique qui masque l’essence même de ces acteurs.
La création du GIP « Plateforme des données de santé » traduit une belle ambition. Néanmoins, sa réussite sera largement dépendante des professionnels de santé. Il apparaît donc naturel de prévoir leur présence au sein du GIP dans la loi.
M. le président. Quel est l’avis de la commission ?
M. Alain Milon, rapporteur. Avis favorable.
M. le président. Quel est l’avis du Gouvernement ?
Mme Agnès Buzyn, ministre. Tel que l’article est rédigé, le GIP intègre tous les producteurs de données. La rédaction est très large : elle vise l’État, les organismes assurant la représentation des malades et usagers du système de santé, les producteurs de données de santé, les utilisateurs publics et privés de données de santé, y compris des organismes de recherche.
À mon sens, plus on voudra détailler sa composition, plus on risquera d’oublier des acteurs. L’objectif est de s’assurer que l’État garde la main, que le dispositif est sécurisant pour tout le monde. Je crains qu’un excès de précision ne déclenche des guerres de représentation et un flux croissant de requêtes. Je suis donc défavorable à cet amendement.
M. le président. La parole est à M. le rapporteur.
M. Alain Milon, rapporteur. Je n’avais pas vu les choses ainsi. Je me rallie à l’avis défavorable de Mme la ministre.
M. Jean-Claude Requier. Je retire l’amendement n° 649 rectifié, monsieur le président !
M. le président. L’amendement n° 649 rectifié est retiré.
Madame Berthet, retirez-vous également l’amendement n° 219 rectifié bis ?
Mme Martine Berthet. Non, je le maintiens. Il est fait référence, à l’alinéa 48, à une « représentation des malades et des usagers du système de santé ». Les professionnels de santé peuvent-ils être considérés comme des usagers du système de santé ?
Mme Martine Berthet. Soit. Je retire l’amendement.
M. le président. L’amendement n° 219 rectifié bis est retiré.
Je suis saisi de deux amendements faisant l’objet d’une discussion commune.
L’amendement n° 280, présenté par Mmes Cohen, Apourceau-Poly, Gréaume et les membres du groupe communiste républicain citoyen et écologiste, est ainsi libellé :
Alinéa 48
Supprimer les mots :
et privés
La parole est à Mme Laurence Cohen.
Mme Laurence Cohen. C’est un amendement de repli, notre proposition de supprimer l’article 11 ayant été rejetée.
Nous proposons que, a minima, le groupement d’intérêt public dénommé « Plateforme des données de santé » ne comprenne pas d’utilisateurs privés de données de santé. S’il nous semble normal qu’il soit composé de représentants de l’État, des malades et des usagers ou d’utilisateurs publics, l’expression « utilisateurs privés » nous inquiète.
Nous vous demandons, madame la ministre, monsieur le rapporteur, de nous apporter quelques précisions sur ce que recouvre l’expression « utilisateurs privés ». Les données de santé sont par définition sensibles et nous craignons des dérives, mais peut-être s’agit-il d’une interprétation erronée de notre part.
Nous souhaitons en tout cas que, par prudence, l’on conserve une maîtrise publique de l’utilisation de ces données.