Transcription

• Speaker #0

  On sait aujourd'hui que les cyberattaques sont de plus en plus fréquentes et on sait aussi que les établissements de santé sont la cible privilégiée des cyberattaquants parce qu'ils vont monétiser les données des patients sur le dark web et aussi demander des rançons auprès des établissements de santé pour débloquer les systèmes d'information. On a un autre enjeu, c'est qu'avec l'arrivée de l'intelligence artificielle, on a des nouveaux acteurs qui... des acteurs de la tech, qui sont peut-être moins sensibilisés à la problématique de la donnée de santé et la réglementation autour de cette donnée de santé. Et donc il va falloir sensibiliser pour permettre la sécurité et la confidentialité de ces données.

• Speaker #1

  Donc c'est ce qui rend le sujet complexe. Et est-ce que c'est ce qui explique cette affaire CGDIM où on voit un acteur qui a l'habitude de traiter de données de santé qui s'est fait épingler ?

• Speaker #0

  Alors effectivement, c'est CGDIM Santé qui a été condamné par la CNIL à hauteur de...

• Speaker #1

  Bonjour à tous et bienvenue dans ce nouvel épisode de PharmaMinds Insight, un format court où je décortique un sujet technique du secteur avec un expert. Le sujet du jour, c'est les données de santé. Et je suis avec Caroline Goupil, avocate de ces BCTG avocats, qui est experte en IT et en data, qui va nous accompagner sur ce sujet. Bonjour Caroline.

• Speaker #0

  Bonjour Nathalie.

• Speaker #1

  Caroline, je suis ravie. à voir aujourd'hui parce que ce sujet prend beaucoup d'ampleur. Pour une première raison, c'est que les datas sont de plus en plus présentes. Une autre raison, c'est que l'IA fait qu'il y a des acteurs nouveaux qui arrivent. Et puis, on le voit, il y a des affaires juridiques qui éclatent. Et en particulier avec des acteurs qui sont très implantés, des experts sur cette scène. Je pense à l'affaire Cégédime, en septembre 2024, il y a eu des premières sanctions qui ont eu lieu. Donc je suis ravie de pouvoir creuser. Est-ce que tu peux commencer peut-être par nous expliquer ce contexte ?

• Speaker #0

  Oui, volontiers. Alors le contexte déjà, les données de santé, on en entend parler depuis pas mal de temps, mais c'est vrai que c'est un sujet qui est... particulièrement d'actualité, tu l'as dit, avec l'explosion de l'intelligence artificielle. On sait que l'intelligence artificielle va être un levier fort d'innovation. Ça va révolutionner le secteur de la santé. Ça va nous permettre notamment d'améliorer les diagnostics, les prescriptions, mais aussi d'accélérer la recherche et même d'avoir une médecine beaucoup plus personnalisée, mais pour permettre le développement de l'intelligence artificielle, il va falloir accéder à la donnée de santé.

• Speaker #1

  Donc c'est des choses qui se font déjà depuis quelques années. Et en fait, ce qui se passe aujourd'hui, c'est quoi ? C'est que ça s'accentue ? Ça s'accélère ?

• Speaker #0

  Qu'est-ce que vous voyez ? Ça s'accélère énormément parce qu'effectivement, on a de l'intelligence artificielle qui explose, qui arrive dans tous les secteurs, et notamment dans le secteur de la santé, depuis quelques années déjà. On n'en entend encore pas. plus parlé avec le sommet sur l'intelligence artificielle qui a eu lieu à Paris il n'y a pas longtemps. En parallèle de ça, on a aussi d'autres enjeux qui sont les enjeux de cybersécurité. On sait aujourd'hui que les cyberattaques sont de plus en plus fréquentes et on sait aussi que les établissements de santé sont la cible privilégiée des cyberattaquants parce qu'ils vont monétiser les données des patients sur le dark web. et aussi demander des rançons auprès des établissements de santé pour débloquer les systèmes d'information qui empêchent l'activité de soins au niveau national. Et donc en fait aujourd'hui on se retrouve à un enjeu assez important qui est comment concilier l'accès massif à la donnée de santé pour permettre l'innovation versus la protection de la donnée qui est un prérequis pour éviter en fait ces cyberattaques. Et comme tu le disais aussi, on a un autre enjeu, c'est que Avec l'arrivée de l'intelligence artificielle, on a des nouveaux acteurs qui sont des acteurs de la tech. Alors, ce n'est pas nouveau parce que le secteur de la santé se digitalise depuis pas mal de temps déjà. Mais on a des acteurs de plus en plus niche, des startups, qui sont peut-être moins sensibilisés à la problématique de la donnée de santé et la réglementation autour de cette donnée de santé. Et donc, il va falloir sensibiliser pour permettre la sécurité, la confidentialité de ces données. Ok,

• Speaker #1

  super. Pour commencer, merci pour ce contexte. Tu peux nous expliquer, en nous disant c'est quoi en fait une donnée de santé, qu'est-ce qu'il faut avoir en tête ?

• Speaker #0

  Alors une donnée de santé, elle est protégée à double titre. C'est d'abord une donnée à caractère personnel. Donc là, on sait à peu près la réglementation qui est autour de cette donnée à caractère personnel. Aujourd'hui, tout le monde maîtrise le RGPD, en tout cas, tout le monde a conscience de cette réglementation qui existe. Et au niveau national, on a des lois aussi de protection des données à caractère personnel. Donc ça, c'est le premier sujet. Et la donnée de santé, elle a une spécificité, c'est que c'est en plus d'être une donnée à caractère personnel, c'est une donnée sensible. Alors, ce n'est pas la seule donnée qui est donnée sensible. Il y en a d'autres, comme les convictions religieuses, les orientations sexuelles, mais c'est une donnée. Donc, il y a une couche supplémentaire de protection. Sur ces couches supplémentaires de protection, on peut en citer quelques-uns. Déjà, en termes de traitement, il y a un principe qui est l'interdiction du traitement sauf exception. Donc ça ne veut pas dire qu'on ne peut jamais traiter la donnée de santé, mais il faut qu'elle soit vraiment soumise à des exceptions à ce principe d'interdiction. Et on a d'autres règles qui sont l'hébergement, par exemple. On doit héberger des données de santé au travers d'hébergeurs qui sont certifiés HDS. Et là, on a d'autres sujets aussi de formalité, notamment auprès des autorités, qui peuvent être plus ou moins lourdes en fonction de la manière dont on veut traiter la donnée de santé. Et pour terminer, assez récemment, on a une directive NIS2, qui est une directive qui vient imposer des mesures de sécurité extrêmement lourdes à certaines entités, les entités qui sont considérées comme des entités essentielles ou importantes. Et parmi ces entités, bien évidemment, sont visées des entités du secteur de la santé, comme les établissements de santé. Donc voilà, on a un cadre réglementaire qui est particulièrement lourd. Et par ailleurs, parce que je pense que ta question n'était pas que sur le cadre réglementaire, c'est finalement, c'est quoi une donnée de santé ?

• Speaker #1

  Oui, c'est aussi dans la durée, en fait. J'imagine que c'est une donnée qui vit.

• Speaker #0

  Oui, c'est une donnée qui vit. Et en plus, qui a une interprétation extrêmement extensive. C'est-à-dire qu'on va naturellement penser aux données qui, par nature, sont des données de santé. Donc là, c'est assez simple. On est sur, par exemple, les dossiers des patients, les diagnostics, les résultats d'analyse, les radios, les éléments comme ça. Donc ça, c'est vraiment par nature, c'est une donnée de santé. Mais on a aussi des données qui, par destination ou par croisement, vont être des données de santé. Je vais donner deux exemples parce que ça va être un peu plus parlant. par exemple une photo d'une personne n'est pas une donnée de santé. En revanche, si elle a été prise dans un cadre préopératoire, par destination, en réalité, elle va devenir une donnée de santé. Je te donne un autre exemple, parce que là, c'est la CGIE qui a considéré assez récemment cette donnée comme des données de santé. Ce sont les données de commande d'une personne qui passe une commande sur un site Internet d'un médicament qui n'était pas soumis à prescription. Cette donnée-là, donc les données de contact, de livraison, ont été considérées comme des données de santé. Donc là, on voit qu'on est vraiment sur une définition extrêmement extensive de la donnée de santé, ce qui peut poser problème parce que, comme on l'a vu, en fait, on a un cadre réglementaire extrêmement lourd sur ces données.

• Speaker #1

  Donc c'est ce qui rend le sujet complexe. Et est-ce que c'est ce qui explique cette affaire CGDIM, où on voit un acteur qui a l'habitude de traiter de données de santé, qui sait ce que c'est, qui... s'est fait épingler. Est-ce que tu peux nous parler de cette affaire et nous la décoder ?

• Speaker #0

  Alors effectivement, c'est CGDIM Santé qui a été condamné par la CNIL à hauteur de 800 000 euros en septembre 2024. CGDIM en fait, et CGDIM Santé, est un acteur qui met à disposition un logiciel de gestion aux médecins de ville. Donc ces médecins, dans le cadre de leur activité, collectent de la donnée de leurs patients et les intègrent dans ce logiciel. Et ce que proposait CGDIM, c'est qu'il proposait aux médecins de participer à une sorte de laboratoire qui permettait d'intégrer les données de leurs patients dans un data lake, une sorte d'entrepôt. Et CGDIM Santé les avait, je vais dire, entre guillemets, anonymisés pour les intégrer dans cet entrepôt et permettre à des tiers de pouvoir exploiter cette donnée, notamment à des fins de statistiques. et de recherche. Et ce qu'il s'est passé, c'est que la CNIL a considéré que les données n'avaient pas été anonymisées, mais qu'en réalité, elles avaient été pseudonymisées. Et c'est là où on voit effectivement la difficulté de cette réglementation, c'est qu'il y a une différence, en fait, d'un point de vue technique et juridique, sur le concept d'anonymisation.

• Speaker #1

  Ok, c'est pas la même chose.

• Speaker #0

  C'est pas la même chose. Donc, d'un point de vue technique, on va considérer que lorsqu'elle est chiffrée, elle est anonymisée, alors qu'en réalité... Ici, d'un point de vue juridique, il faut que l'anonymisation soit irréversible pour considérer que la donnée a été anonymisée. Si elle n'est pas irréversible, elle n'est que pseudonymisée. Et la différence est fondamentale parce que lorsqu'on anonymise une donnée, elle sort totalement du champ de la réglementation sur les données de santé, alors que lorsqu'elle est pseudonymisée, on reste dans le champ de la réglementation. Donc l'enjeu est structurant et ce qu'il s'est passé pour Cégédime Santé, c'est que CGD m'avait cru anonymiser les données et donc sortir l'ensemble de ces données du champ de la réglementation. Et la CNIL est venue leur rappeler que l'anonymisation n'avait pas été faite selon les règles strictes juridiques et qu'on était dans un cadre de pseudonymisation et que de ce fait-là... Il tombait sous le coup de la réglementation et qu'il n'avait absolument pas respecté.

• Speaker #1

  Donc c'était quelque chose qui n'était pas voulu, pas su ? Ou c'est parce que c'est justement des flous qui font que parfois on a des choix business à faire ?

• Speaker #0

  Alors, c'est difficile de répondre. Moi, mon sentiment, c'est qu'il y a une vraie intention qui était l'intention de l'anonymisation. Et on voit en fait... En pratique, ça devient extrêmement difficile et voire impossible, même surtout avec l'arrivée de l'intelligence artificielle, d'anonymiser totalement les données. Et donc effectivement, on est face à une réglementation qui rend les choses un petit peu difficiles pour les entreprises, parce qu'on a anonymisé, on doit respecter la règle de l'anonymisation, on sait que c'est quasiment impossible, versus d'autres pays qui retiennent une règle d'anonymisation qui est beaucoup plus souple. Et donc, on est face à une distorsion de concurrence parce qu'on est dans un pays où, en fait, on doit respecter les règles du RGPD. Et l'autre sujet, effectivement, c'est est-ce que lorsque je sais que je suis à la frontière de cette réglementation, est-ce que je respecte cette réglementation ou est-ce que je saisis les opportunités business au risque, effectivement, d'être en non-conformité avec cette réglementation ?

• Speaker #1

  OK, on ne saura pas.

• Speaker #0

  Je n'ai pas fait partie des processus des décisions. Je pense qu'il y a une vraie volonté d'anonymiser et qu'effectivement...

• Speaker #1

  Mais du coup, c'est un enjeu d'être aussi accompagnée sur ces choix, sur ces décisions de prise de risque.

• Speaker #0

  Effectivement, il faut comprendre techniquement ce qu'on fait, avoir un accompagnement juridique pour comprendre jusqu'où on peut aller. et ensuite... prendre des décisions business en fonction de cette réglementation qui est lourde, mais qui n'est pas volontairement lourde en réalité. L'enjeu derrière, c'est de protéger les droits fondamentaux, les intérêts des personnes. Et encore une fois, on est sur une donnée qui est extrêmement sensible. Leur exploitation peut mettre à risque les données des personnes.

• Speaker #1

  Et quand on regarde ce cas, on voit qu'il y a celui qui a collecté. La donnée, mais il y a aussi des médecins qui sont impliqués, collecteurs, donc impliqués, je ne sais pas à quel niveau responsables, et des tiers qui ont été...

• Speaker #0

  Oui, alors effectivement...

• Speaker #1

  Faire des traitements dessus, comment on doit lire tout cet écosystème ?

• Speaker #0

  Alors l'ACNIL, dans ce cas-là, c'est centré sur la violation de la réglementation par CGDim Santé. Mais en réalité, effectivement, on est dans un écosystème global avec des partenaires différents. On a d'abord le professionnel de santé qui va collecter la donnée et qui va traiter de la donnée de ses patients. Ce qu'il faut savoir, c'est qu'à chaque fois qu'une entité ou une personne à titre professionnel traite de la donnée personnelle et a fortiori de la donnée de santé, il a des obligations. Donc le professionnel a lui-même des obligations en tant que responsable de traitement sur la collecte et la manière dont il traite les données de santé de ses patients. Ensuite... on a l'éditeur de logiciels qui lui a en plus une double casquette parce qu'il va héberger les données de santé de son professionnel donc sur instruction de son professionnel il les héberge, il intervient en tant que sous-traitant du professionnel de santé. Et là ça crée une complexité parce qu'en tant que sous-traitant le professionnel qui lui est responsable de traitement a des obligations de vérification il est responsable de son sous-traitant donc le professionnel de santé le médecin doit s'assurer ... que l'éditeur de logiciel respecte bien ses obligations. Et par ailleurs, l'éditeur de logiciel... Ce qui,

• Speaker #1

  dans la réalité, n'est pas forcément fait.

• Speaker #0

  Alors, il a une obligation, mais dans la réalité, ce n'est pas toujours facile de demander à un médecin d'aller contrôler comment il respecte l'éditeur de logiciel dont il ne connaît pas le métier. Par nature, certainement, plus de capacité d'être en conformité, d'être conforme à la réglementation RGP. Donc ça, c'est vrai que c'est compliqué. Et donc l'éditeur de logiciel a une autre casquette. Là, en créant cet entrepôt, il n'est pas intervenu en tant que sous-traitant, il l'a créé pour ses propres finalités. Donc il est intervenu en tant que responsable de traitement, donc il a de nouvelles obligations. Et en laissant l'accès à ces données à des tiers, en fait, ces tiers ont aussi de nouvelles obligations parce qu'ils vont traiter des données pour leurs propres finalités. Et ils ont ces obligations-là. et par ailleurs Ils ont une obligation parce qu'ils n'ont pas collecté la donnée directement auprès des patients. Donc ils vont aussi devoir s'assurer que la base de données est licite. Donc là, on voit bien les chaînes de responsabilité, c'est-à-dire qu'on ne peut pas juste se dire « Bon ben moi, on m'a donné un accès contractuellement, c'est bon, je peux l'exploiter, il faut que je respecte les règles liées au RGPD, c'est suffisant. » Non, il va falloir aussi s'assurer que ces données ont été collectées licitement par l'éditeur.

• Speaker #1

  Et du coup, quel dispositif vous leur recommandez d'appliquer ? Ça dépend de qui on est ? Oui,

• Speaker #0

  alors c'est compliqué, ça dépend de qui on est. Généralement, ça va passer par le contrat, par la sélection des partenaires, prestataires,

• Speaker #1

  etc. Oui, puisque votre relation de confiance doit s'instaurer.

• Speaker #0

  Et ensuite, dans le contrat, quelles sont les obligations que j'impose ? Quelles sont les informations que je demande de vérification pour m'assurer que je suis dans... avec un partenaire qui respecte les règles, parce que je ne veux pas être associée avec un partenaire qui ne les respecte pas, et parce que je ne veux pas prendre le risque moi-même d'être en non-conformité, parce qu'on voit bien qu'on a des obligations de vérification. Donc ça va passer par un contrat et ça va passer par un suivi aussi pendant tout le long de la relation contractuelle, pour s'assurer que ce n'est pas parce qu'on signe un contrat qui est bien fait que c'est suffisant, il faut aussi s'assurer sur le long terme qu'on respecte bien ces obligations.

• Speaker #1

  Ok, on voit la complexité des différents acteurs dans un monde où tout est amené à se densifier. Comment tu lis la réglementation à venir sur le RGPD, sur l'IA ? Et dans quel sens ça va en fait et comment doivent se préparer ces acteurs ?

• Speaker #0

  Alors jusqu'à présent, on était plutôt sur une tendance qui était au durcissement des règles. On a un millefeuille de réglementations. On a commencé avec le RGPD, mais on a plein d'autres réglementations sur la data de manière générale qui sont venues en plus de cette réglementation. Une des dernières en date, c'est le règlement sur l'intelligence artificielle. C'est un règlement qui va rajouter des obligations dans le secteur de la santé parce qu'il est fort probable qu'un certain nombre de systèmes d'intelligence artificielle qui vont être utilisés dans le secteur de la santé Merci. qui vont tomber sous le coup des obligations en tant que système d'intelligence artificielle à haut risque et qui impose un nombre d'obligations à l'ensemble des acteurs de l'intelligence artificielle. Il ne suffit pas d'être fournisseur de l'intelligence artificielle pour être soumis à ces obligations. En tant qu'utilisateur professionnel, j'ai aussi des obligations. Donc ça, ça va clairement dans le sens d'un renforcement de la réglementation. Après, on a quand même un sujet, c'est qu'il y a une pression forte des acteurs de la tech pour assouplir cette réglementation. On a parlé rapidement tout à l'heure de distorsion de concurrence. On voit qu'on a un enjeu de souveraineté nationale lié à l'intelligence artificielle. Et donc, on commence peut-être à voir les prémices d'un assouplissement. En tout cas, là, mi-février, il y a eu le retrait d'une directive qui était en discussion depuis quelques années. sur la responsabilité en matière d'intelligence artificielle, qui a été totalement retirée et qui n'est plus à l'ordre du jour. Et on voit aussi de nouvelles solutions, notamment le règlement européen sur l'espace européen des données de santé. Ce règlement vise à harmoniser le cadre réglementaire des données de santé au niveau européen pour faciliter l'accès à la donnée de santé, la recherche. au niveau européen. OK.

• Speaker #1

  Donc, c'est à vocation à aider, mais à être un petit peu... à durcir la loi, quoi.

• Speaker #0

  Ouais. Alors, on était sur une tendance de durcissement. Là, on voit qu'il y a une pression qui va plutôt dans le sens de comment assouplir les règles. Mais vraiment, on est sur plutôt un curseur, en fait. C'est-à-dire que l'idée, c'est pas forcément de... C'est bloquant, ouais. D'enlever la réglementation, encore une fois, on est sur des données sensibles, c'est important de les protéger. Je pense qu'on a de la chance d'être dans un pays qui vise à protéger les droits fondamentaux, les intérêts des personnes. En revanche, effectivement, il faut placer le curseur au bon endroit pour rester compétitif et innovant. Donc on se retrouve face à un défi qui est comment permettre l'accès massif aux données de santé pour favoriser l'innovation, tout en préservant la sécurité de ces données de santé. pour assurer un niveau de protection suffisant aux patients et à notre système de santé national.

• Speaker #1

  Merci beaucoup, Caroline, pour ce point très clair, technique, mais on en a besoin. On se rend compte qu'il faut mettre en place des traitements de données qui soient à la hauteur de ces enjeux. Je pense que ça va beaucoup aider, que ce soit des fondateurs, des responsables data. Voir plus clair s'ils ont d'autres questions à vous poser ou mieux comprendre comment vous pouvez les aider ou tu souhaites rediriger nos auditeurs ?

• Speaker #0

  Alors, on a un site internet, BCLG Avocat et puis sinon sur LinkedIn. Parfait.

• Speaker #1

  Merci. À bientôt.

• Speaker #0

  Merci Nathalie.

• Speaker #1

  Merci d'avoir écouté jusqu'au bout ce nouvel épisode de Farmament Insight. Ce format est tout nouveau, alors je suis vraiment curieuse de savoir ce que vous en avez pensé. Partagez-moi vos retours en commentaire ou par message, ils sont précieux. Et surtout, abonnez-vous dès maintenant sur votre application préférée pour être sûr de ne pas manquer les prochaines sorties. A très vite !