Réflexions citoyennes sur la modernisation du systéme de santé

Réflexions citoyennes sur la modernisation du système de santé
Ethica, n°30, septembre 1999, pp. 17-30

Ligue des Droits de l'Homme
Collectif Informatique, Fichiers et Citoyenneté
Collectif pour les droits des citoyens face à l'informatisation de l'action sociale
Collectif des associations et des syndicats contre la connexion des fichiers fiscaux et sociaux

Les mesures de modernisation sanitaire et sociale prévues par la loi du 30 juin 1999 portant création d'une couverture maladie universelle (CMU) soulèvent de nombreuses questions ; en particulier les articles 36 (carte Vitale 2) et 41 (traitement des données personnelles de santé) qui ont des implications juridique, éthique et sociétale que nous abordons sous l'angle de la citoyenneté et de la protection des personnes.

Lancé par l'ordonnance du 24 avril 1996, le dispositif SESAM-Vitale (Système Électronique de Saisie de l'Assurance-Maladie associé à la carte Vitale) doit permettre, selon les pouvoirs publics, la maîtrise des dépenses de santé en assurant à la fois des pratiques médicales ^«transparentes^» et une lutte contre le ^«nomadisme médical^». Son fonctionnement repose sur :

la diffusion à l'ensemble des assurés sociaux (environ 60 millions de personnes) de cartes à puce, dans un premier temps destinées à remplacer la carte papier d'assuré (Vitale 1), puis dans un second temps de nouvelles cartes (Vitale 2), ayant cette fois une double fonction : carte de sécurité sociale et carnet de santé,

l'attribution à chaque professionnel de santé (médecin, pharmacien, laboratoire d'analyse, professions paramédicales,...) d'une carte à puce CPS, conçue comme dispositif d'identification et de signature électronique lors de la télétransmission de documents et comme clé d'accès sécurisée aux réseaux, aux fichiers médicaux et à tout ou partie du volet santé de la carte Vitale 2

l'équipement en matériel informatique de tous les professionnels de santé,

la mise en place d'un réseau spécifique et sécurisé pour la transmission des feuilles de soins, le Réseau Santé-Social (RSS) géré sous forme de concession de service public par la société Cégetel,.

Le volet santé de Vitale 2, mentionné à l'article 36 de la loi du 30 juin 1999 sur la CMU, vise à la fois à assurer un meilleur suivi individuel (par la présence d'informations médicales immédiatement disponibles et utiles à la continuité des soins) et à éviter des redondances dans la prise en charge des patients (par la mention d'actes et de prestations déjà réalisés). Futur carnet de santé dans sa version électronique, il est ainsi destiné à recevoir d'une part des informations relatives ^«aux interventions urgentes^», d'autre part des ^«éléments permettant la continuité et la coordination des soins^».

Il faut souligner que la carte Vitale 2 n'est qu'un des aspects du projet SESAM, qui tend à l'édification d'un système d'information de santé alimenté par le futur codage de l'ensemble des actes, prestations et pathologies, conformément aux ordonnances d'avril 1996.

Pour le citoyen, l'enjeu essentiel, quant aux données personnelles de santé, est la protection des droits individuels, c'est-à-dire que ce volet doit assurer les garanties nécessaires à la protection de la vie privée. Cela implique : l'accord de la personne à l'enregistrement des données la concernant, la confidentialité et le contrôle de l'accès à celles-ci, un droit d'opposition à l'inscription des informations et la possibilité de faire rectifier, voire supprimer certaines d'entre elles, l'identification du praticien de santé au moyen de sa CPS pour toute consultation de la carte. Mais aussi importants que sont ces droits à reconnaître aux personnes pour la gestion du volet santé de la carte Vitale, ils n'épuisent pas les enjeux et les dangers dont ce volet est porteur.

La relation entre le patient et le médecin peut être sérieusement perturbée. D'une part la décision du patient de faire ou non enregistrer des données sur sa carte résultera d'un arbitrage entre des enjeux contradictoires (utilité de mentionner une information, mais risque d'utilisation ultérieure non souhaitée), d'autre part le praticien pourra estimer que sa responsabilité professionnelle est mise en cause par l'absence de telle ou telle information. Parmi les affections chroniques, le cas du diabète est exemplaire : la mention de cette maladie s'avérera utile en cas de malaise, mais pourra entraîner un refus d'embauche si, préalablement au recrutement, elle est connue par un employeur, d'autant que ne manquent pas les entreprises qui refusent d'engager des diabétiques.

En effet, le risque est réel puisqu'on ignore aujourd'hui si une telle affection figurera sur la zone de la carte ^«continuité et coordination des soins^» ou sur celle relative aux ^«interventions urgentes^». Or cette dernière pourrait, sur le plan technique, être rendue libre d'accès, et donc ne pas nécessiter l'usage de la CPS, ce qui pose d'évidents problèmes de confidentialité. Ainsi quiconque possédant un lecteur de carte, disponible sur le marché à un prix modique, et intéressé par la connaissance des affections et traitements d'une personne (assureur, employeur, banquier, bailleur,...) pourrait exiger de celle-ci (demandeur d'emploi, souscripteur, ...), au motif de relever le numéro de sécurité sociale, la présentation de sa carte, et visualiser des informations telle la prise de médicaments (antidiabétiques, antidépresseurs, antiépileptiques...).

En outre, alors que, selon la loi, la carte Vitale 2 doit servir ^«un suivi sanitaire^», il convient de mettre en garde contre l'illusion d'une ^«sécurité médicale^» liée au volet santé. En effet, dès lors que les patients exprimeront diversement leur accord pour inscrire leurs données, le contenu de la carte ne reflétera pas forcément les éléments du dossier médical utiles à la continuité des soins.

Enfin, les citoyens ne peuvent que s'interroger sur la sécurité (accessibilité, intégrité, confidentialité) et le non détournement de leurs données de santé, dans un système gérant 60 millions de personnes et 800 000 professionnels de santé. Et ce d'autant plus que le RSS ne dispose d'aucune exclusivité et que les professionnels peuvent recourir aux services d'autres réseaux qui se connecteront aux points d'accès du RSS, sans être soumis aux mêmes obligations de sécurité que celles imposées à celui-ci par le contrat de concession.

Par ailleurs, il ne faut pas oublier que l'achèvement de la réalisation du projet SESAM pourrait conduire à la constitution de fichiers individuels de santé exhaustifs dans l'espace (données provenant de l'ensemble des praticiens de santé consultés) et le temps (données chaînées chronologiquement), et détenus par la caisse d'affiliation des personnes pour une durée actuellement non déterminée : en un mot une sorte de ^«casier sanitaire^». D'autant que les ordonnances de 1996 ne reconnaissent pas le droit d'opposition des patients à la transmission des codes actes, prestations et pathologies et que leur remboursement est subordonné à celle-ci. Logique d'ailleurs reflétée par la " réhabilitation^» du carnet de santé que la CNAM, dans son plan stratégique, propose de rendre obligatoire dès le 1^er janvier 2000.

En conclusion, le dispositif SESAM-Vitale pourrait obérer gravement les libertés individuelles.

Plusieurs orateurs ont souligné l'importance de la maîtrise par l'intéressé des informations médicales figurant sur la carte, et le principe de recueillir l'accord de celui-ci pour les enregistrer a été soutenu par les représentants du gouvernement et de la majorité parlementaire. Ainsi :

M. Recours, rapporteur, Assemblée nationale, 4 mai 1999 : ^«(...) concilier l'efficacité du suivi médical et le respect des libertés individuelles. La recherche du meilleur équilibre possible entre ces deux exigences nous amène à conférer à chaque français le droit de décider si telle information doit ou non figurer sur sa carte.^».

M. Kouchner, Sénat, 2 juin 1999 : ^«Il s'agit d'un droit fondamental. Le rapport malade-médecin est un rapport de confiance. Si le malade ne le souhaite pas, le médecin ne peut porter la moindre information contre son gré (...) il faut laisser le libre arbitre^».

Le contenu même du volet santé a été largement controversé. Certains ont estimé que, pour contribuer réellement à un ^«suivi sanitaire ", le volet devait contenir une information médicale exhaustive, d'autres qu'il convenait au contraire de restreindre cette information au domaine de l'urgence et aux seules coordonnées des praticiens de santé consultés. La discussion a fait apparaître plusieurs conceptions de la notion de ^«pointeurs " : simple mention des coordonnées des praticiens, ou association aux dites coordonnées d'informations sur les actes récemment pratiqués, voire clé d'accès aux dossiers médicaux détenus par ces professionnels. Dans le premier cas, il s'agit simplement de localiser les dépositaires de l'information et, avec l'accord du patient, d'entrer en contact ; dans le second, il s'agit pour le médecin d'accéder à l'information consignée dans divers dossiers médicaux, sans que le patient dispose du même degré de maîtrise sur ce partage d'information le concernant, et sans dialogue avec le praticien sollicité. Il s'agit là de conceptions divergentes sur le rôle du patient dans la gestion de son information personnelle de santé.

Les données relatives aux interventions urgentes ont aussi suscité une discussion : le patient doit-il disposer des mêmes droits, quant à leur mention sur le volet santé, que ceux qui lui sont reconnus pour les éléments permettant la continuité des soins (accord, opposition, rectification, effacement) ?

Certains ont mis en avant la légitimité d'un accès direct par le patient aux données inscrites sur la carte. Le débat a porté sur les risques, dans ce cas, de divulgation à des tiers non autorisés, par exemple du fait de pressions directes ou indirectes exercées sur le titulaire de la carte. L'amendement déposé a finalement été retiré, mais la discussion est restée ouverte, et pourrait rebondir, en écho aux perspectives récemment ouvertes par le premier ministre d'accès direct des personnes à leur dossier médical.

La possibilité de délivrer copie de certaines informations aux patients a aussi été débattue sous l'angle des avantages et des risques pour ces derniers de détenir un tel document. Pour empêcher l'utilisation éventuelle par des tiers de données pouvant porter préjudice socialement à la personne, certains souhaitaient interdire toute copie des informations médicales et d'autres définir restrictivement dans la loi le champ des données concernées.

Le texte de loi adopté le 30 juin 1999 par le Parlement a consacré plusieurs des options initialement présentées par le gouvernement et destinées à promouvoir les droits des personnes :

- l'accord du patient est requis pour l'inscription des informations sur le volet santé ;
- le patient peut conditionner l'accès à une partie des informations par la frappe d'un code secret ;
- le patient a un droit d'opposition à l'inscription d'informations sur le volet santé ; en outre il peut demander à un médecin la rectification ou la suppression d'informations précédemment portées sur ce volet.

Mais le gouvernement, suivi par la majorité parlementaire, a renvoyé au décret des aspects essentiels :

Ces questions sont lourdes de multiples enjeux et appellent la vigilance de tous si l'on veut obtenir l'adhésion des utilisateurs et sauvegarder la qualité du dialogue soigné-soignant, ce qui suppose en particulier :

- que le patient puisse maîtriser l'accès par le professionnel de santé qu'il consulte à un autre professionnel de santé dépositaire d'une information médicale le concernant ;
- que le professionnel de santé dépositaire de l'information médicale de son patient puisse en maîtriser la transmission à tout confrère, selon le contexte et la situation.

Aussi faut-il limiter, après accord du patient, les données inscrites sur la carte au domaine de l'urgence et aux seules coordonnées des praticiens de santé qu'il a consultés (sous une forme codée - qui reste à élaborer - pour éviter par exemple que la mention d'une consultation en psychiatrie ne le stigmatise). Sans oublier que les professionnels de santé, s'identifiant avec leur CPS, doivent être les seuls, outre le patient, à pouvoir accéder aux données de santé inscrites sur la carte, qu'elles concernent l'urgence ou la continuité des soins.

Enfin tous les autres aspects renvoyés au décret devront trouver des solutions aptes à préserver la maîtrise par le patient de l'usage de ses données médicales personnelles.

Ainsi seulement seront assurés à la fois l'utilité sociale du dispositif et le respect de la sphère privée des personnes.

L'article 41 porte sur le traitement des données personnelles de santé à des fins d'évaluation ou d'analyse du système de santé, son objet est d'organiser ^«un cadre général permettant la réalisation de traitements de données garantissant le respect dû aux personnes malades^». Le principe général est l'anonymat des données utilisées dans ces traitements ; ^«toutefois, pour procéder nécessaire à des évaluations ou des analyses pertinentes, il apparaît nécessaire de permettre l'exploitation de données qui peuvent présenter un caractère indirectement nominatif.^»

Ainsi la pertinence de l'évaluation comme de l'analyse nécessite, selon le gouvernement, un nouveau dispositif pour traiter les données issues des systèmes d'information gérés dans le système hospitalier sous la responsabilité du médecin chargé de l'information médicale, et celles issues des systèmes d'information des caisses d'assurance maladie.

En effet, c'est une rupture avec la législation et la réglementation élaborées pour la mise en oeuvre du programme de médicalisation des systèmes d'information (PMSI), suite à la loi n°91-748 du 31 juillet 1991. Celles-ci sont très claires et très précises : le secret médical est levé entre le médecin traitant et le médecin responsable du département d'information médicale (DIM) de l'établissement hospitalier mais doit être strictement respecté au-delà, y compris pour les gestionnaires et la commission médicale de l'établissement.

Ainsi à propos des conditions générales de transmission et d'échange des informations, l'article R712-58 du Code de la santé publique précise que : ^«Lorsque les données relevant du système commun d'information ou des échanges d'informations [mentionnés dans ledit article] sont des données nominatives, ..., elles sont rendues anonymes avant tout échange ou partage.^»

Et à propos de l'accès des tiers au système commun d'information de l'État et des organismes d'assurance maladie, l'article R712-61 dispose : ^«Les données concernant les personnes physiques ne peuvent être communiquées que sous forme de statistiques agrégées et d'informations constituées de telle sorte que ces personnes ne puissent être identifiées^».

Néanmoins cette législation et cette réglementation n'ont de fait pas été respectées pour diffuser les données du PMSI à la presse.

Les études concernant le système hospitalier prennent appui sur des systèmes d'information à caractère administratif et/ou médical, en particulier sur les bases de résumés de sortie anonymes (RSA) issus du PMSI. Or, les études réalisées par la direction des hôpitaux du Ministère de l'emploi et de la solidarité révèlent qu'à partir des données relatives à l'âge, au sexe, à l'identifiant de l'établissement d'hospitalisation et au mois de sortie du patient, plusieurs dizaines de pour cent des enregistrements dans la base nationale des RSA sont uniques, c'est-à-dire correspondent à un seul patient. Ainsi, en connaissant ces données qui sont facilement accessibles, par exemple, par l'employeur ou par la presse au sujet d'une personnalité, une personne ayant accès à une telle base de données peut connaître les diagnostics établis et les actes réalisés pendant le séjour hospitalier du patient concerné.

Les bases de données issues du PMSI sont donc indirectement identifiantes, et de façon massive, ce qui pose un très grave problème de respect de la vie privée.

L'administration de la santé et la CNIL ont commis une erreur d'interprétation du terme résumé de sortie anonyme (RSA). En effet, si un RSA pris isolément est effectivement anonyme, replacé dans l'ensemble de la base des RSA, il peut devenir indirectement identifiant s'il s'avère qu'il est unique dans la base selon les critères recherchés, pour les raisons exposées ci-dessus. Or cette investigation n'a pas été faite. Ce sont les bases de RSA dans leur ensemble qui ont été considérées comme anonymes, c'est-à-dire non indirectement identifiantes, et de ce fait ont été diffusées telles quelles aux différents intervenants, sans autre précaution ni travail supplémentaire en vue de leur exploitation.

Cependant, des méthodes pour rendre les bases de RSA non identifiantes existent, sommairement selon quatre types : appauvrissement des données des bases exhaustives, réalisation de bases segmentées, production de statistiques agrégées par établissement, enquêtes par échantillon.

Ces méthodes assurent la possibilité de réaliser l'évaluation des activités de soins et de prévention et, de façon générale, la transparence justifiée du système hospitalier. Á tout le moins n'ont pas été réalisées les études qui montreraient que pour certains besoins ces méthodes sont insuffisantes.

La transparence du système de santé et le respect de l'anonymat seraient contradictoires.

A l'Assemblée le 31 mars 1999 M. Accoyer parle ^«d'un article liberticide, portant atteinte à la liberté de la presse et au droit à l'information de tous les Français sur le système de soins. Sous prétexte de protéger la confidentialité des données du [PMSI], cet article interdit en pratique toute publication des données.^»

Tandis que le 4 mai 1999 M. Préel estime que le gouvernement avance masqué ^«en prétextant une possible remise en cause du secret médical. En réalité, le risque est nul. La vraie raison de ces dispositions, tient à la publication, cet automne, d'une comparaison, d'ailleurs contestable, entre les différents hôpitaux.^»(Publication Sciences & Avenir, 1998)

Cependant, M. Évin ne croit pas qu'à partir des données du PMSI il soit ^«légitime de trop extrapoler car le PMSI n'a jamais été conçu comme un instrument d'évaluation de la qualité.^»

Le rapporteur, M. Recours, précise : ^«Il y a vingt ans, ce concept était clair : si l'on ne mentionnait ni le nom, ni le prénom, ni le numéro de Sécurité sociale, la personne était protégée. On n'en est plus là aujourd'hui car tous les recoupements sont possibles. C'est bien pourquoi l'anonymat ne suffit pas. Il faut lui substituer le concept de données non identifiantes. La position la plus ^«liberticide " n'est donc pas celle que l'on pense, et il importe de garantir la non-identification, au lieu de s'en tenir à la notion, dépassée, d'anonymat^»

Le Sénat adopte le 2 juin un amendement de réécriture préparé par la commission des affaires sociales fondé sur le principe ^«d'une communication de ces données à des tiers après traitement en vue de rendre impossible l'identification des personnes.^»

La Commission mixte paritaire se réunit le 8 juin sans adopter un texte commun. Le rapporteur, M. Huriet, précise que ^«le Sénat avait considéré qu'il ne revenait pas à des tiers destinataires d'informations identifiantes, d'assurer la protection des droits des personnes, non plus qu'à la CNIL de juger du ^«sérieux^» ou des ^«références^» du demandeur, comme le prévoyait le projet de loi.^». M. Recours précise qu'à titre personnel, il approuve ^«la référence faite par le Sénat aux données personnelles de santé ayant ^«subi un traitement garantissant qu'elles ne permettront pas l'identification, même indirecte, des personnes qu'elles concernent^{» »}.

Á l'Assemblée, le 9 juin M. Recours propose une nouvelle rédaction qui intègre le principe retenu par le Sénat. Mais l'amendement est rectifié, sous la pression du gouvernement, pour introduire une procédure dérogatoire d'exception.

Enfin le 29 juin, M. Huriet dit le Sénat ^«surpris et déçus que l'Assemblée nationale ne suive pas la proposition du Sénat qui avait pour elle la simplicité et la caution d'interlocuteurs aussi différents que la LDH ou les spécialistes du PMSI^».

Le texte de loi adopté le 30 juin 1999 par le Parlement consacre la motivation initiale du gouvernement en modifiant le cadre juridique.

Le principe est établi que ^«les données issues des systèmes d'information visés à l'article L. 710-6 du code de la santé publique, celles issues des dossiers médicaux détenus dans le cadre de l'exercice libéral des professions de santé, ainsi que celles issues des systèmes d'information des caisses d'assurance maladie, ne peuvent être communiquées à des fins statistiques d'évaluation ou d'analyses des pratiques et des activités de soins et de prévention que sous forme de statistiques agrégées ou de données par patient constituées de telle sorte que les personnes concernées ne puissent être identifiées.^»

Mais il est prévu qu'il peut être dérogé à ce principe sur autorisation de la CNIL et à condition que les données ne comportent ni le nom, ni le prénom des personnes, ni leur numéro d'inscription au répertoire national d'identification des personnes physiques. Ainsi l'article 8 de la loi n°93-8 du 4 janvier 1993 et l'article L. 710-7 du code de la santé publique sont modifiés pour tenir compte de la possibilité de dérogation.

La CNIL doit donc s'assurer de la ^«nécessité de recourir à des données personnelles et de la pertinence du traitement au regard de sa finalité déclarée d'évaluation ou d'analyse des pratiques ou des activités de soins et de prévention.^»

Si le demandeur n'apporte pas d'éléments suffisants pour attester la nécessité de disposer de certaines informations parmi celles dont le traitement est envisagé, elle peut ^«interdire la communication de ces informations par l'organisme qui les détient et n'autoriser le traitement que des données ainsi réduites^».

La décision pourrait être prise par le président de la CNIL. Alors le travail d'investigation de la commission n'aurait pas lieu, ce qui semble inadmissible étant donné le caractère technique de l'investigation et le caractère sensible des données personnelles concernées.

Il est préférable de donner à la CNIL des moyens adéquats pour assurer sa mission et mener à bien ces nouvelles investigations en coordination avec les médecins responsables des DIM.

Il est pour le moins singulier de modifier le niveau de protection de la vie privée sans que la preuve formelle ait été apportée que cet abaissement est absolument nécessaire en fonction de considérations supérieures d'intérêt public et sans que la légitimité d'une telle évolution soit largement reconnue au sein de la société.

Nous ne méconnaissons pas la légitimité de mesures visant à la maîtrise des dépenses de santé afin de sauvegarder la système de sécurité sociale et de le rendre efficient. Mais nous affirmons la prééminence de la personne sur une régulation étroitement gestionnaire. Car les seules exigences financières ne doivent remettre en question ni le libre arbitre du patient ni son droit au respect de la vie privée.

Toute restriction, même partielle, à ces principes ne peut être légitimement justifiée que par une utilité sociale avérée au terme d'un débat démocratique prenant en compte des enjeux multiples et clairement définis. En effet, le citoyen, soignant ou soigné, doit être conscient de ceux-ci pour exercer sa vigilance et pour accorder sa confiance face aux évolutions qui lui sont ainsi proposées.

Gérard BADÉYAN (Collectif des associations et des syndicats contre la connexion des fichiers fiscaux et sociaux)
Monique HEROLD (Ligue des Droits de l'Homme)
Annie MARCHEIX (Collectif Informatique Fichiers et Citoyenneté)
Pierre SUESSER (Collectif pour les droits des citoyens face à l'informatisation de l'action sociale)