Intervention de Christian Babusiaux

Il existe des attentes et des besoins légitimes de la part de la société civile et des chercheurs en matière de données de santé. Comment faire de la recherche ou de la veille sanitaire sans données ? Les ARS ont besoin de données sur les territoires, par exemple pour élaborer les projets régionaux de santé. Les patients réclament des informations sur les soins qui leur sont dispensés et sur les parcours de soins.

Beaucoup de craintes portent sur le respect de la vie privée, alors que ce que l'on appelle le big data est en pleine expansion. Dans tous les domaines, des acteurs captent, traitent ou revendent de grandes quantités de données, par exemple à travers les réseaux sociaux. Ce phénomène est potentiellement intrusif ; mais gardons-nous d'une vision uniquement négative. Notre système pourra y gagner en efficacité : l'appareil de veille sanitaire, actuellement très en retard, devra apprendre à l'avenir à utiliser des masses de données et à y déceler des indicateurs afin d'opérer des repérages très en amont.

L'open data relève d'une toute autre logique : il s'agit d'ouvrir l'accès à des bases de données déjà constituées. Celui-ci comporte deux composantes : l'open data proprement dit, qui peut concerner, par exemple, les données météorologiques ou le trafic de la RATP, et qui n'emporte pas de difficultés quant à la protection de la vie privée ; un open data régulé, dont font partie les données de santé, et qui recouvre des données que l'on ne peut ouvrir à tous pour des raisons de sécurité. C'est dans ce dernier champ qu'intervient l'IDS, sur des données anonymisées.

L'IDS a été créé par la loi de santé publique de 2004 et effectivement mis en place en 2007. Il s'agit d'un groupement d'intérêt public (GIP) qui regroupe treize acteurs majeurs du domaine de la santé : l'Etat, l'assurance maladie, les fédérations hospitalières, les associations de patients, les organismes complémentaires, les professionnels de santé, la caisse nationale de solidarité pour l'autonomie (CNSA)... Il a été constitué comme une instance de régulation.

La première base de données constituée a été le registre des décès. Ont ensuite été mis en place le PMSI puis le Sniiram, qui n'est en réalité vraiment opérationnel que depuis 2011-2012. Depuis 2012, les données relatives aux soins hospitaliers et aux soins de ville sont chaînées au sein du Sniiram et il est, en théorie, possible de suivre les événements de santé et les parcours de soins de l'ensemble des Français. D'autres bases sont en cours de constitution, comme celle sur le handicap par la CNSA, ou le projet Monaco, qui consiste en un chaînage entre les données de remboursement par l'assurance maladie obligatoire et les complémentaires santé.

Deux modalités d'accès aux données de santé doivent être distinguées. L'extraction consiste pour la Cnam à confectionner un jeu de données répondant à une demande précise, émanant par exemple d'un chercheur, après que l'IDS a donné son accord. Un accès direct aux données, sans intervention de la Cnam, est ouvert à certains acteurs.

Le Sniiram comprend plusieurs entrepôts de données. L'échantillon généraliste des bénéficiaires (EGB) est assez largement ouvert aux membres de l'IDS, contrairement aux données de consommation inter-régimes (DCIR), qui couvrent l'ensemble des données individuelles. Ce deuxième entrepôt est fondamental pour la recherche et le pilotage du système de santé, un échantillon, même s'il comprend 650 000 personnes, ne pouvant suffire à rendre compte d'un univers aussi complexe que celui de la santé. C'est pourquoi l'ouverture de l'échantillon ne peut évacuer la question de l'accès au DCIR, qui est encore insuffisant.

Notre premier combat a été de faciliter l'accès des autorités sanitaires au DCIR : l'Institut national de veille sanitaire (InVS), la Haute autorité de santé (HAS), l'Agence nationale de sécurité du médicament (ANSM) ont besoin d'un suivi fin. Nous avons obtenu que la HAS et l'ANSM, en dernier lieu par un arrêté d'août 2013, puissent accéder par elles-mêmes à cette grande base de données. On note donc des progrès, mais il reste encore beaucoup à accomplir. L'accès à ces données par les organismes de recherche publique (le CNRS, l'INRS, les équipes des CHU...) est un deuxième grand chantier. Nous avons franchi une étape importante en obtenant des extractions pour les CHU. Mais le délai de transmission des données, qui atteint quatorze ou quinze mois en pratique, est encore trop important par rapport aux enjeux de la recherche, même si l'on n'en est plus aux deux ans de naguère. Il serait souhaitable que la recherche publique puisse accéder directement aux DCIR ; un simple arrêté suffirait pour ce faire.

S'agissant de la gouvernance des bases de données de santé, deux aspects doivent être distingués. En premier lieu, la gestion des bases par la Cnam et l'agence technique de l'information sur l'hospitalisation (Atih) est bonne, et il me semble qu'elles sont administrées par les organismes qui ont vocation à le faire. S'agissant, d'autre part, de la régulation des accès, le législateur avait été sage en prévoyant dans la loi de 2004 la mise en place de l'IDS comme un régulateur chargé de veiller à la qualité des bases, à leur développement et à leur accès. Il avait antérieurement prévu, dans la loi de financement de la sécurité sociale de 1998, un système de gestion opérationnelle du Sniiram reposant sur des arrêtés et l'intervention d'un comité rassemblant l'assurance maladie, l'Etat et les professions de santé. Le législateur avait donc prévu une distinction entre la gestion et la régulation ou la gouvernance des bases ; mais la pratique n'a pas été conforme à cette volonté initiale. Le comité de pilotage inter-régimes du Sniiram (Copiir) a étendu son attribution de gestion à un contrôle du droit d'accès, ce qui s'explique par l'antériorité de son existence par rapport à l'IDS. La pratique a fait du Copiir un verrou d'accès. Alors qu'il est prévu qu'il se réunisse au moins deux fois par an, il ne le fait qu'épisodiquement, à tel point qu'il ne s'est pas réuni depuis un an. Pendant ce temps, les demandes des CHU et de l'INSERM, qui ont été formulées il y a dix-huit mois, attendent toujours... C'est autant de temps de perdu pour la recherche et pour les patients ! Un arrêté suffirait pourtant à autoriser l'accès de ces acteurs. La situation ne pourrait être que simplifiée si les seuls acteurs intervenant dans ce processus étaient l'IDS et le ministre en charge de la santé, que l'on voit mal s'opposer à une telle demande. Il convient de revenir à la simplicité de la séparation des fonctions voulue par le législateur.

Il faut fixer le cap d'une ouverture maîtrisée et raisonnée des bases de données de santé et avancer résolument et rapidement, sans s'encombrer de faux débats comme celui sur la possible ré-identification des personnes, car des moyens techniques existent pour la prévenir.