Données de santé : la Cour des comptes pointe la frilosité de la CNIL
La Cour des comptes dénonce la sous-exploitation des données de santé agrégées par la Caisse nationale d'assurance maladie dans le Sniiram, une base « sans équivalent en Europe ». L'institution pointe le pilotage défaillant du système et l'approche jugée trop restrictive de la CNIL.
En service depuis 2004, le système national d'information inter régimes de l'assurance maladie (Sniiram) sera intégré au système national des données de santé (SNDS). Celui-ci a été créé par la loi de modernisation de notre système de santé du 26 janvier 2016. Un texte dont la portée dépendra des décrets d'application. Le Sniiram, une base de données médico-administratives adossée à un système d'information puissant, demeure donc, et pour longtemps, « le coeur du système des données de santé » en France, note la Cour des comptes dans un rapport rendu public mardi 3 mai.
Une base sans équivalent en Europe
Le Sniiram est « sans équivalent en Europe au regard du nombre de personnes concernées et de la diversité des données », observe la Cour des comptes. Chaque soin consommé est associé à des informations sur les bénéficiaires, les organismes de prise en charge, le décompte des remboursements, les prestations proposées, les professionnels ou établissements de santé.
Chaque année, ce sont ainsi 1,2 milliard de feuilles de soins, 500 millions d'actes médicaux et 11 millions d'hospitalisations (sur le seul champ médecine-chirurgie-obstétrique) qui sont déversées dans le Sniiram. Et le taux de couverture de la population est de 98 % (assurés et ayants droits).
Mais une gestion des accès à revoir
L'évolution du Sniiram et la prise de conscience progressive de sa richesse par des acteurs extérieurs aux régimes d'assurance maladie obligatoire « ont entraîné une augmentation des demandes d'accès ponctuels et une évolution timide des droits d'accès permanents », souligne le rapport. Ces demandes émanent essentiellement d'agences et autorités sanitaires, et d'équipes de chercheurs.
Malheureusement, l'utilisation « rigoureuse et ouverte » de la base à des fins d'intérêt général reste encore limitée. Des modalités juridiques d'accès très contraignantes et des droits accordés au cas par cas par des acteurs qui manquent de coordination, expliquent la tendance, selon la Cour.
Lire aussi : RGPD : LinkedIn écope d'une amende de 310 millions €
L'État, par exemple, a laissé la maîtrise de l'évolution du Sniiram à son seul gestionnaire technique : la Caisse nationale d'assurance maladie des travailleurs salariés (CNAMTS). Et laissé la gestion des conditions d'accès à la base « à des acteurs plus souvent rivaux que complémentaires, IDS (Institut des données de santé) et CNIL (Commission nationale informatique et libertés), l'un plutôt libéral au regard des possibilités d'ouverture, l'autre au contraire d'approche très restrictive », souligne la Cour des comptes. « S'il appartient sans conteste à la CNIL de veiller au respect de l'anonymat des personnes concernées et à la sécurité des données, ajoute-t-elle, ses procédures d'instructions techniques et juridiques sont marquées par de multiples exigences a priori qui contrastent fortement avec l'absence de tout contrôle a posteriori. »
Des potentialités à exploiter
Dans ces circonstances, « le degré d'utilisation du Sniiram (est) très variable suivant le type d'acteurs. Sans compter le fait que, même en cas d'accès permanent, les procédures d'interrogation sont complexes et nécessitent le soutien ou l'entremise de la CNAMTS ». Cette dernière elle-même « n'exploite pas encore le Sniiram au maximum de ses potentialités, en particulier en matière de gestion du risque et de lutte contre les abus et la fraude des professionnels de santé ».
Enfin, « par son manque d'investissement et d'expertise, renforcé par des droits d'accès parfois trop restreints, l'État s'est, quant à lui, privé au niveau national comme déconcentré, d'un instrument précieux pour le pilotage du système de santé et la recherche d'efficience des dépenses d'assurance maladie ». Malgré tout, l'utilisation du Sniiram à des fins de veille sanitaire est en pleine expansion grâce au chaînage avec le programme de médicalisation des systèmes d'information (PMSI).
Une ouverture maîtrisée des données
En matière de données de santé, « les enjeux d'amélioration et de sécurisation de l'existant, de gouvernance et d'ouverture fluide des accès pour encourager leur utilisation à des fins d'intérêt général » sont des priorités. La Cour des comptes recommande également que la CNAMTS soit reconnue comme opérateur d'importance vitale (OIV) soumis aux règles et contrôles périodiques externes de sécurité qu'impliquent ce statut. La CNIL, de son côté, devrait « accompagner une ouverture sécurisée des données et non plus la freiner », en mettant l'accent sur une politique de contrôle a posteriori.
Quant à la nouvelle gouvernance prévue par la loi Santé de janvier 2016, elle devra résoudre « l'éclatement du pilotage » du Sniiram, et distinguer clairement le gestion technique du SNDS en devenir, de la gestion des droits d'accès et de la définition des orientations stratégiques, selon la Cour des comptes. L'implication « forte et convergente » du ministère de la santé, de l'assurance maladie et de la CNIL, est nécessaire. Mais la rénovation du cadre juridique d'accès aux données de santé ne suffit pas. Il convient, selon l'institution, de mesurer les coûts potentiels du SNDS, et d'en assurer la soutenabilité financière, en trouvant l'équilibre entre la gratuité d'une offre de base et des services spécifiques payants. Les données de santé resistent donc encore à l'Open Data.
Lire aussi : SOS Médecins va lancer son entrepôt de données
Lire aussi :
Loi Numérique : le volet Open Data adopté mais dérogations multiples (MAJ)
Loi santé : le DMP 2.0 adopté par l'Assemblée nationale
L'ouverture des données de santé fait débat à l'Assemblée
crédit photo © Peshkova / Shutterstock.com
Sur le même thème
Voir tous les articles Data & IA