A la suite de la publication d’un document intitulé : « Explicitation du champ d’application du cadre juridique de l’hébergement de données de santé par le ministère chargé de la Santé, représenté par la Délégation à la stratégie des systèmes d’information de santé » (2 avril 2019) des questions resurgissent sur la nécessité de recourir à des hébergeur de données de santé (HDS) dans le domaine de la recherche en santé.
La faute revient à une illustration citée par ce guide explicatif et rédigé en ces termes :
« Par exemple, un établissement de santé exploitant à des fins de recherche une base de données de santé mise en œuvre dans le cadre de la prise en charge sanitaire des patients est tenu de recourir à un hébergeur certifié HDS en cas d’externalisation de l’hébergement de la dite base. »
A quoi correspond spécifiquement cette illustration ? Quel type de recherche est couvert par cette hypothèse ? Qu’est-ce que l’exploitation à des fins de recherche d’une base de données de santé mise en œuvre (constituée ?) dans le cadre de la prise en charge sanitaire des patients ? L’externalisation de la base de données est-elle réalisée spécifiquement pour la recherche ou est-elle déjà effective pour les besoins de la prise en charge sanitaire ?
De manière spontanée nous pouvons penser que cette illustration correspond à une recherche qui serait réalisée par l’équipe soignante à partir des données de ses propres patients. Ceci pourrait également couvrir l’hypothèse où un étudiant en médecine réalise un projet de recherche pour les besoins d’une thèse à partir des données du service où il est accueilli. Si la recherche est réalisée par le personnel du service ayant pris en charge le patient et que les données des patients (non pseudonymisées) sont effectivement exploitées à des fins de recherche et leur hébergement est externalisé, il convient en effet de recourir à un HDS.
En dehors d’une telle hypothèse, les données pouvant être exploitées à des fins de recherches sont obligatoirement pseudonymisées afin de respecter le secret médical entourant de telles données de santé. Or, à compter du moment où un traitement est réalisé sur des données afin de les pseudonymiser, il ne paraît plus possible de considérer que cette nouvelle base de données est « mise en œuvre dans le cadre de la prise en charge sanitaire des patients ». Cette nouvelle base de données (constituée de données pseudonymisées) est mise en œuvre dans le cadre d’une recherche, à des fins scientifiques.
Selon notre appréciation, la pseudonymisation est un élément clé pour déterminer le recours, ou non, à un HDS. Cette pseudonymisation permet de modifier la donnée et de lui ôter tout caractère directement identifiant. Il s’agit d’un premier niveau de protection des données de santé : ne pas pouvoir relier spontanément une donnée à une personne.
Or, l’article L. 1111-8 du Code de la Santé Publique, même s’il n’évoque pas spécifiquement le caractère directement identifiant des données de santé, semble couvrir spécifiquement cette situation.
En effet, le recours à un HDS est requis pour des données de santé, dont l’hébergement est externalisé, recueillies à l’occasion d’activités de prévention, de diagnostic, de soins ou de suivi social et médico-social, pour le compte de personnes physiques ou morales à l’origine de la production ou du recueil de ces données, ou lorsque de telles données sont hébergées pour le compte du patient lui-même.
En d’autres termes, le recours à un HDS est obligatoire lorsqu’un professionnel de santé ou une structure médico-sociale décide d’externaliser des dossiers médicaux ou médico-sociaux contenant des données de santé directement identifiantes recueillies dans l’intérêt des patients, pour leur prise en charge individuelle. Les données contenues dans de tels dossiers sont directement identifiantes puisque les données de santé sont généralement associées à des données administratives permettant d’identifier les patients pour notamment faciliter les prises de contact et plus simplement leur prise en charge (non nous ne sommes pas que des numéros!).
Compte tenu des risques associés à l’hébergement de données de santé directement identifiantes, il convient de recourir à un hébergeur certifié qui démontre, par cette certification, qu’il est en mesure d’offrir un niveau de sécurité adéquate par rapport à la sensibilité des données qui lui sont confiées.
C’est également la raison pour laquelle les données de santé collectées dans le cadre de programme de recherche ne nécessitent pas de recourir à un HDS puisque les risques sont diminués dès les phases de recueil des données.
En effet, les bases de données constituées à partir des cahiers d’observation, sauf exception, sont des données pseudonymisées ne permettant pas d’identifier directement les volontaires-patients. Elles ne contiennent que des données de santé associées à un identifiant prenant la forme de numéros d’ordres ou de code alphanumérique mais aucune donnée administrative. Ces dernières qui demeurent entre les mains de l’investigateur, garant du secret médical.
Cette mesure de protection semble suffisante pour ne pas recourir à un HDS certifié mais nécessite malgré tout de s’assurer de l’existence de mesures de protection adéquates. C’est l’objet des analyses d’impacts (PIA) réalisées afin de s’assurer de la conformité aux méthodologies de référence (MR).
Enfin pour définitivement nous en convaincre, nous pouvons noter qu’aucune MR n’évoque un quelconque recours à un HDS ni même la MR-004 qui concerne notamment les recherches pouvant être menées à partir de données provenant du soin et faisant l’objet d’un usage secondaire.
En conclusion, les guides, s’ils ne sont pas rédigés avec la rigueur juridique requise, produisent un effet inverse, ils désorientent !