Un « médecin geek » vient de révéler une information étonnante : les fichiers de télétransmission envoyés à l’Assurance Maladie par tous les praticiens ayant recours à la Feuille de Soins Electronique (FSE) ne sont pratiquement pas chiffrés. D’après lui, transiteraient en clair sur des serveurs SMTP le NIR et la date de naissance de chaque patient. On ne peut que s’émouvoir de cette absence de mesure de sécurité alors que le NIR est une donnée à caractère personnel qui, bien que non mentionnée à l’article 8 de la loi Informatique et Libertés, est particulièrement protégée, la CNIL ayant ainsi cantonné son usage à la facturation aux organismes de sécurité sociale.
Mais l’Assurance Maladie ne se borne pas à ignorer (superbement) la loi Informatique et Libertés (la CNIL ne se serait-elle pas d’ailleurs vengée sur SOPHIA, à l’automne 2012 ?). Le Code de la Santé Publique en fait également les frais.
Prenons deux exemples, par ordre de numérotation dans le Code de la Santé Publique :
– Art. L1111-8, l’hébergement de données de santé
SNIIRAM, la plus grosse base de données de santé en France, celle qui fait rêver les tenants de l’opendata, les chercheurs, etc., n’est pas hébergée par un hébergeur agréé. Comment fait-on pour échapper à l’application du texte (probablement) le plus sévère du « droit de l’e-santé » ?
En premier lieu, on explique que les données contenues dans le système sont anonymes (« les numéros d’anonymat de l’assuré et du bénéficiaire« ). Contestable en soi, les données n’étant pas anonymes mais seulement indirectement nominatives, cette position est devenue franchement intenable avec la dernière réforme du SNIIRAM. L’arrêté du 19 août 2013 prévoit en effet le transfert à d’autres agences administratives (les ARS, l’InVS, etc.) de plusieurs informations identifiantes comme le sexe, l’année et le mois de naissance, le cas échéant, la date de décès, le département et la commune de résidence.
En second lieu, on joue sur la notion de données de santé. Est-ce que les informations relatives aux prestations servies, le détail de la nature des actes, biens et services présentés au remboursement et les informations relatives au parcours de soins sont des informations relatives à l’état de santé de la personne concernée ? Jurisprudentiellement, la réponse ne fait aucun doute. Mais la doctrine administrative peut être bien plus souple et admettre une telle pirouette juridique.
En dernier lieu, on précise qu’on n’héberge pas la donnée de santé, mais qu’on la produit. Pour certains, c’est l’argument le plus sérieux. Tout dépend surtout de ce que l’on entend par « hébergement ». Si l’on en retient la définition proposée par la CNIL (« organisation du dépôt et de la conservation des données personnelles de santé, afin d’assurer leur pérennité et leur confidentialité « ), effectivement, la qualité d’hébergeur de SNIIRAM peut être contestée. SNIIRAM n’est pas un serveur de sauvegarde mais une base de données à partir de laquelle des études, des recherches, des contrôles sont menés. En revanche, si l’on retient la nouvelle acception de l’ASIP (sur ce point, cf la présentation de l’ASIP sur la MSS lors du Salon Santé & Autonomie), peu importe à quel titre l’hébergement est réalisé. Ce qui compte, c’est que la CNAM stocke alors des données de santé relatives à des patients pour lesquelles elle n’est pas intervenue à la prise en charge. Tel est évidemment le cas en l’occurrence, puisque la base est constituée des données transmises par les professionnels de santé et / ou les patients et que l’Assurance Maladie n’est pas un établissement de santé.
Le problème, c’est que l’ASIP est une agence technique. Elle n’a aucun pouvoir normatif. Les interprétations juridiques qu’elle propose n’ont aucune valeur, de sorte que seule la définition de la CNIL peut être retenue. Ainsi la CNAM pouvait-elle sérieusement contester la qualification d’hébergement de données de santé pour la base SNIIRAM.
Mais, ce bel argument vient d’être mis à mal avec la réforme de SNIIRAM.
Depuis le 20 juillet 2013, plusieurs agences publiques n’intervenant pas dans la prise en charge des patients peuvent accéder aux données de SNIIRAM, lesquelles on l’a vu, ne sont plus anonymes. Ce faisant, SNIIRAM n’est plus un simple lieu de production. C’est un serveur sur lequel lesdites autorités administratives peuvent accéder à des données de santé à caractère personnel.
Or, l’hébergeur de données de santé permettant l’accès à des tiers pour un partage multicentrique d’informations doit être agréé par le Ministre, y compris lorsque le serveur est géré en interne.
Permettre de partager les données SNIIRAM non anonymisées constitue donc une véritable pilule empoisonnée pour la CNAM, puisque cela devrait en toute logique conduire à exiger le recours à un hébergeur de données de santé.
C’est la CNIL qui va être contente, elle qui dans le rapport sur l’impact et les enjeux des nouvelles technologies d’exploration et de thérapie du cerveau estimait que « qu’il sera nécessaire, à terme, d’étendre cette réglementation (…) aux bases de données de l’assurance-maladie ».
– Art. L6316-1, la télémédecine
Prise en compte par la loi dès 2004, la télémédecine se définit comme une pratique de la médecine à distance par l’intermédiaire des NTIC. En 2010, cinq formes d’actes ont été envisagées, parmi lesquels la télésurveillance, pratique « qui a pour objet de permettre à un professionnel médical d’interpréter à distance les données nécessaires au suivi médical d’un patient et, le cas échéant, de prendre des décisions relatives à la prise en charge de ce patient ».
La CNAM, bien qu’elle ne prenne toujours pas en charge les actes de télémédecine, croit visiblement que l’e-santé est un vecteur de diminution des dépenses d’assurance maladie. En 2012, elle a mis en place SOPHIA. Début 2013, elle a obtenu l’instauration de la téléobservance. Ce mois-ci, elle devrait étendre son programme de télécoaching Santé Active.
Aucune de ces activités n’a fait l’objet d’un contrat de télémédecine.
Pourtant, un programme de téléobservance suppose de vérifier à distance le respect du traitement, données qui sont mises à disposition du médecin prescripteur par le PSAD.
Là encore, c’est par une pirouette qu’on échappe à la qualification d’acte télémédical. L’objectif ici poursuivi n’est en aucun cas thérapeutique, le médecin n’a pas la main sur les données. L’enjeu est exclusivement financier, de sorte que l’activité ressort plus du champ d’application du Code de la Sécurité Sociale que de celui du Code de la Santé Publique.
Pourquoi ces longs développements ?
Il ne s’agit pas ici de s’interroger quant à savoir qui est le patron en matière sanitaire. En revanche, il s’agit de pointer du doigt la distorsion concurrentielle que subissent tous les acteurs du monde de l’e-santé du fait des passe-droits que s’arrogent la CNAM.
Les organismes d’assurance maladie sont des personnes morales de droit privé gérant un service public administratif (SPA). En conséquence, ils peuvent, dans une certaine mesure, dire le droit, fixer les règles. Rien de plus normal. S’agissant de la télétransmission, cela permet à l’Assurance Maladie de fixer le cahier des charges techniques à respecter et de sanctionner le recours à des feuilles de soins papier. L’usage de ces prérogatives devient en revanche délicat lorsque l’Assurance Maladie use de sa qualité de SPA tout en intervenant sur le secteur industriel et commercial.
SOPHIA et Santé Active sont des programmes d’e-santé qui fonctionnent ou sont en cours de développement dans le privé. La téléobservance pourrait parfaitement être mise en place à des fins de télésurveillance par des médecins libéraux.
Les règles du jeu sont alors faussées, n’étant pas les mêmes pour la CNAM et les entrepreneurs.
La première sait que la CNIL ne pourra jamais lui infliger une sanction financière ou d’interdiction d’exploiter le traitement pour violation de l’article 34 de la loi de 1978, alors que les seconds devront, dans leur dossier d’autorisation, exposer en détail comment ils assureront la sécurité des données de santé et renoncer expressément à l’utilisation du NIR.
La première peut jouer avec les termes de l’article L1111-8, là où les seconds encourraient une peine d’emprisonnement et d’amende conséquente et l’interdiction de mettre en oeuvre leur traitement de données..
La première s’arroge le droit de moduler le remboursement des soins en fonction de l’observance mais refuse de modifier la nomenclature des actes pour prendre en charge les actes de télémédecine que pourraient proposer les seconds.
Permettre à l’Assurance Maladie de se soustraire à l’application du droit commun du seul fait qu’elle exerce une mission de service public administratif s’avère déjà contestable (à titre de comparaison, le DMP est hébergé par un hébergeur agréé et est conforme à la loi Informatique et Libertés). Le permettre alors qu’elle intervient sur le secteur concurrentiel n’est non seulement pas justifié, mais surtout pas admissible.
La vigilance s’impose mais ne suffit pas. Garantir un développement privé de l’e-santé suppose de faire sanctionner toute distorsion concurrentielle.