Covid-19 (Coronavirus-2019nCoV) et crise sanitaire

Alternatives économiques - Covid-19 : des données de santé entre de trop nombreuses mains

Mai 2020, par Info santé sécu social

Les conditions de création et d’utilisation des fichiers créés par le gouvernement pour traquer les cas de Covid-19 soulèvent des questions d’autant plus nombreuses qu’ils pourraient se retrouver hébergés sur les serveurs de Microsoft.

Pendant le déconfinement, la traque du virus continue. A sa tête, des commandos un peu spéciaux : les « brigades sanitaires », composées de milliers de fonctionnaires qui, dans chaque département sous l’autorité de la Caisse primaire d’assurance maladie (CPAM), ont pour mission d’identifier le plus rapidement possible tous les contacts des personnes testées positives pour casser les chaînes de transmission du virus. Et, ainsi, tenter de maîtriser sa propagation.

Un travail de fourmi, qui suppose de nombreux coups de fil mais aussi la constitution de méga-fichiers de santé très sensibles. Le gouvernement a ainsi créé Si-DEP (Système d’information de dépistage), qui recueille les données des patients testés positifs, et Contact Covid pour les informations concernant les « cas contacts ».

On range dans cette dernière catégorie les 15-20 personnes ayant croisé le patient testé positif, surnommé, lui, le « patient zéro », et ayant donc été potentiellement infectées : membres de la famille, les voisins, les collègues de travail, les amis… Pour chacune de ces personnes, le nom et le prénom, l’adresse, la profession, le lieu de travail, mais aussi l’éventuelle fréquentation, dans les quatorze derniers jours, de certains lieux – comme les écoles, Ephad, centres médico-sociaux ou prisons –, ou encore la localisation et la date d’une éventuelle participation à un rassemblement de plus de dix personnes. Autant d’événements où ils ont pu, à leur tour, contaminer d’autres personnes…

Depuis le 12 mai, le système est en place : les médecins doivent entrer dans le Si-Dep les données de chaque patient qu’ils reçoivent et qui présentent des symptômes de la Covid-19. Ils doivent également recueillir un maximum de cas contacts dans le second fichier Contact Covid. Une fois le patient testé, le laboratoire enregistre le résultat dans le fichier Si-Dep. Si le test est positif, les brigades sanitaires entrent en action et appellent les cas contacts pour les inciter à s’isoler et se faire tester à leur tour.

Une brèche dans le secret médical
Sous les dehors de l’efficacité, ces fichiers soulèvent des enjeux majeurs. Comme le résume la Commission nationale de l’informatique et des libertés (Cnil), leur mise en place repose sur une « dérogation au principe du secret médical [entraînant] le partage de données d’une très grande sensibilité susceptibles de concerner l’ensemble de la population ».

Le médecin peut se passer du consentement des patients présentant des symptômes de la Covid-19 pour inscrire leurs données dans un fichier

En effet, renseigner le diagnostic d’un patient sur un fichier partagé revient à communiquer le diagnostic et son état de santé à un autre acteur, ce qui est par définition une atteinte au secret médical.

Ensuite, concernant le consentement des individus quant au recueil de leurs données, le choix a été fait de s’en passer dans certains cas. Le médecin peut ainsi, sans l’accord des patients zéros, inscrire leurs données dans le fichier SI-DEP.

Les intéressés peuvent juste s’opposer à ce que leur nom soit communiqué aux cas-contacts, et exercer un droit de retrait a posteriori auprès des gestionnaires des deux fichiers, que sont l’Assistance publique – Hôpitaux de Paris (AP-HP) et l’Assurance maladie. Les cas contacts sont, eux, inscrits dans le fichier sans leur accord, puisqu’ils n’ont pas encore été contactés.

Question de confiance
Dans l’arbitrage entre les « inconvénients » de l’atteinte aux droits et les « avantages » de la maîtrise de la diffusion du virus, les autorités comme la Cnil ont estimé que les coûts engagés étaient proportionnels au bénéfice attendu.

Quelques voix s’élèvent cependant contre ce dispositif. Dont celle de l’avocate en santé numérique Caroline Zorn, qui estime que « flouer le secret médical et recueillir ces données sans consentement risquent de porter atteinte à la confiance des patients dans le système de soins ».

« La liste des personnes autorisées à consulter ces fichiers est bien trop large »

Car le respect du consentement n’est pas un simple formalisme : y déroger, c’est risquer de nuire globalement à la confiance portée dans le système de soins. Or, cette dernière est déterminante pour qu’un système de santé fonctionne efficacement et pour que les patients viennent consulter en ayant confiance dans le personnel médical. Sans cela, il y a un risque d’omission ou de mensonge de la part des patients, voire de non-consultation.

Caroline Zorn, par ailleurs membre du Syndicat des avocats de France (SAF), ajoute que « la liste des personnes autorisées à consulter ces fichiers est bien trop large, puisqu’elle s’étend du service de santé des armées aux médecins, aux laboratoires ou pharmacies… Personne ne peut certifier qui a eu accès à quoi, comment et pourquoi ».

Une urgence… durable ?
Aurait-on pu faire autrement ? L’avocate souligne du moins que la Covid-19 aurait pu être ajoutée à la liste des maladies à déclaration obligatoire (à côté de la dengue, du choléra, du Sida…), où le médecin doit transmettre aux autorités tout nouveau cas. « Cela aurait été souhaitable, juge Benoit Blaes président du syndicat des jeunes médecins généralistes (SBJM), car cela entraîne des conditions de renseignements et de stockage des données qui sont consensuelles et acceptées par tous. »

Mais pour modifier la liste des maladies à déclaration obligatoire, « il faut l’avis du Haut Conseil de santé publique, et pour ce faire cela nécessite une confirmation biologique de la maladie, or nous sommes en pénurie de test, et ces derniers sont pas suffisamment fiables », explique Caroline Zorn.

« L’enjeu est que tout ce qui a été fait dans l’urgence reste dans l’urgence »

« L’enjeu maintenant est que tout ce qui a été fait dans l’urgence reste dans l’urgence », plaide le médecin syndicaliste Benoit Blaes. Autrement dit, que ces dispositifs exceptionnels disparaissent avec l’état d’urgence sanitaire, à l’inverse de nombreuses dispositions du droit qui, adoptées dans le cadre de l’état d’urgence suite aux attentats de 2015, ont été prolongées plusieurs fois voire pérennisées…

Pour l’instant, la loi indique que les données doivent être effacées au bout de trois mois, et les fichiers supprimés six mois après la fin de l’état d’urgence sanitaire, prévu pour le 10 juillet.

Enjeux de souveraineté
Autre inquiétude : le transfert de ces données à la plate-forme des données de santé, également connue sous le nom de Health Data Hub. Cette dernière a pour vocation de servir la recherche, en permettant l’analyse la plus large des données du système de soins français. Elle doit favoriser, en particulier, le développement des technologies d’intelligence artificielle, qui ont besoin de grandes quantités de données pour « apprendre », en quelque sorte.

Or, comme l’a révélé Médiapart, le développement de cette plate-forme a été fortement accéléré pendant le confinement, un arrêté du 21 avril y autorisant le versement de nombreuses bases de données de santé, dont les deux fichiers Si-Dep et Contact Covid.

Le gouvernement a confié l’hébergement de sa plate-forme de données de santé à Microsoft, entreprise soumise à la législation américaine

Le problème est que le gouvernement a confié l’hébergement des données de cette plate-forme l’entreprise américaine Microsoft. Cela signifie que les informations des patients français sont hébergées par une entreprise non seulement étrangère, mais surtout soumise à la législation américaine. Et c’est là que le bât blesse : car cette législation permet aux autorités américaines de demander l’accès à n’importe quelle donnée hébergée par une entreprise nationale, que ce soit sur le sol ou à l’étranger. Potentiellement, les données de santé des Français pourraient donc se retrouver entre les mains des autorités des Etats-Unis !

La Cnil est donc montée au créneau pour demander que l’hébergement soit réalisé par une entreprise relevant de la juridiction européenne. Un souhait resté pour l’heure sans effet, ce qui montre, une fois de plus, la dépendance de la France et de l’Europe en matière numérique et particulièrement dans l’hébergement des données.

JUSTIN DELÉPINE