Protection des données dans le système de santé: quels intérêts pour les patientes et les patients? Quelques réflexions de principe Jean-François Steiert, Président de la Société suisse de politique de la santé, vice-président de la Fédération suisse des patients, conseiller national [email protected] Table des matières 1. 2. 3. 4. Historique Les intérêts en jeu 2.1 Intérêts individuels 2.2 Intérêts collectifs des patients 2.3 Intérêts collectifs des assurés Exemples actuels 3.1 Règles sur la transmission des données hospitalières 3.2 Dossier électronique du patient Conséquences pour les patients 4.1. Meilleure représentation des patients 4.2. Revendications à court terme Si la question de la protection des données des patientes et des patients date sans doute presque autant que l'histoire de la médecine, des évolutions récentes telles que l'informatisation des données avec les nouvelles possibilités de transmission, de stockage et d'analyse individuelle et collective qui en découlent, l'introduction des forfaits hospitaliers, les différentes composantes de la "médecin électronique" ou encore le glissement du moins partiel du rôle des caisses-maladie de celui d'assureur vers celui d'entrepreneur de la santé la posent avec une plus grand acuité - et parfois des contradictions objectives entre l'intérêt individuel et les différents intérêts collectifs en jeu pour les patient-e-s et les assuré-e-s. 1. HISTORIQUE « Quoique je voie ou entende dans la société pendant l'exercice ou même hors de l'exercice de ma profession, je tairai ce qui n'a jamais besoin d'être divulgué, regardant la discrétion comme un devoir en pareil cas. » Cette traduction d'un extrait du serment d'Hypocrate (dans la version du Littré de 1844) montre que la question de la protection des données dans le domaine de la santé n'est pas une préoccupation nouvelle et que les réflexions sur les conditions qui déterminent la relation de confiance entre le médecin traitant (ou le personnel soignant) et son patient ont accompagné la médecine depuis ses origines. L'histoire du secret médical à travers les siècles nous enseigne que le caractère plus ou moins individualiste ou collectiviste d'une société détermine aussi la perception et la pratique d'un secret qui devient quasi absolu à l'époque des lumières déterminée par les droits individuels, après des périodes telles que le Moyen-Âge où l'individu ne comptait que bien peu - tout comme le secret médical. Au XXIe siècle comme par le passé, la protection des données du patient, qui répond à une approche plus large et systémique que celle du secret médical, est toujours déterminée par la pondération entre intérêts individuels et collectifs dans une société donnée et par conséquent par les rapport de force dynamiques qui régissent cette société. La récente tentative d'un grand assureur suisse visant à obtenir de la part des hôpitaux des données protégées et notamment l'ensemble des diagnostics sous la pression du non-paiement des factures et déclarant publiquement qu'il était prêt à enfreindre la loi pour parvenir à ses fins - une tentative avortée grâce à l'intervention des pouvoirs publics - illustre bien la nécessité de règles claires pour assurer une protection adéquate des données qui tienne compte des intérêts individuels et collectifs et d'une réflexion sur l'équilibre des forces entre les différents acteurs du système de santé, un équilibre qui n'est aujourd'hui plus assuré et dont les manques empêchent tant des règles claires et démocratiquement légitimées en matière de protection des données que d'autres progrès importants dans le système de santé de notre pays. Il en va non seulement de la recherche de solutions optimales pour le système de santé actuel, mais aussi de la création de conditions cadres d'intérêt public pour accompagner le développement de technologies (p. ex. puces RFID) qui peuvent amener des progrès thérapeutiques mais renferment des dangers de sélection, ou encore le développement rapide des méthodes de profilage à l'aide des données individuelles de plus en plus nombreuses et intrusives qui sont accessibles légalement ou illégalement par des groupes d'intérêts particuliers. 2. LES INTÉRÊTS EN JEU Historiquement, l'intérêt du patient à la protection des données, focalisé sur la question du secret médical et ses différentes acceptions, a longtemps été réduit à un intérêt individuel à un secret médical absolu, puis relatif avec l'augmentation des collaborations entre soignants et le développement des assurances sociales. Si ces dernières ont introduit dès le XIXe siècle des relativisations du secret absolu au nom d'un intérêt collectif et non plus seulement individuel, les dimensions collectives de l'intérêt des patients à la protection des données ont rapidement pris plus d'ampleur dans les discussions politiques avec les possibilités de concentration de données offertes par l'informatisation des données au cours des dernières décennies. Dans le débat politique actuel sur la protection des données des patients, il importe de tenir compte tant des convergences que des antagonismes possibles entre l'approche individuelle et l'approche collective de l'intérêt du patient à la protection de ses données. 2.1 Intérêts individuels La Fondation suisse pour la sécurité des patients estime à 1300 cas par année le nombre de décès par suite d'incidents thérapeutiques qui pourraient être évités, l'Office fédéral de la santé place ce chiffre entre 2000 et 3000 et les deux professeurs de pharmacologie suisses Gerd Kullak-Ublick et Stephan Krähenbühl ont évoqué le nombre de 5000 patientes et patients qui décéderaient chaque année des suites de thérapies médicamenteuses incompatibles entre elles. Même si ces chiffres sont sujets à discussion, ils illustrent l'intérêt de la patiente et du patient à ce que ses données de santé soient rendues disponibles de manière cohérente et claire aux différentes personnes qui interviennent dans sa thérapie et ses soins. Cela nous amène à la clé de voute du droit de la protection des données dans le système suisse de santé: notre culture, notre histoire et les règles de droit qui en découlent confèrent au patient le droit à disposer de ses données de santé (dans la même approche, le secret professionnel ancré dans le Code pénal constitue une protection de la sphère privée du patient et non pas un droit particulier du médecin), selon des normes qui inscrivent les données de santé dans la liste des données sensibles dignes de protection particulière (art. 3, let. c, ch. 2 de la loi sur la protection des données (LPD)) et qui en règlent l'usage (art. 4 LPD). Ces normes, tout comme les normes de droit particulier qui figurent dans la loi fédérale sur la partie générale du droit des assurances sociales, la loi fédérale sur l'assurance accidents, la loi fédérale sur l'assurance invalidité, la loi fédérale sur l'assurancemaladie et la loi fédérale sur la prévoyance professionnelle, confèrent non seulement un droit, mais comprennent aussi des restrictions à ce droit et plus particulièrement au libre consentement du patient à transmettre ou non tout ou partie de ses données de santé. Si la pratique des associations de patients montre peu de cas problématiques dans l'interprétation des limites entre le droit à l'autodétermination et ses exceptions en ce qui concerne la transmission des données entre prestataires de soins (mais de nombreux obstacles techniques et de procédures), il en va différemment de la transmission des données aux assureurs qui, pour des raisons légitimes ou non, peut entrer en contradiction avec les intérêts objectifs du patient. De telles contradictions peuvent se retrouver entre l'engagement légitime de l'avocat d'un patient engagé dans une procédure individuelle civile ou pénale et une association de patients qui peu estimer justifiable une dérogation à une norme de protection des données pour des motifs liés à un intérêt collectif. Enfin, il faut relever que, dans la pratique, l'application du principe de proportionnalité se heurte fréquemment aux rapports de force défavorables au patient: lorsque ce dernier est sous la menace d'un non-remboursement ou du refus d'une prestation thérapeutique qui lui semble importante, il sera prêt à faire des concessions très larges, dans des conditions qui ne garantissent plus le libre arbitre. Du point de vue des associations de patients, les réformes en cours devront veiller à assurer ce libre arbitre notamment par un meilleur contrôle des acteurs en place, par une meilleure information des patients (y.c. renforcement de la formation des prestataires aux question de protection des données) et par un renforcement des droits des patients auquel le Conseil fédéral s'est déclaré prêt à s'atteler dans sa réponse à plusieurs interventions parlementaires au début 2012. 2.2 Intérêts collectifs des patients Les patientes et les patients vus dans leur ensemble devraient viser un système de santé qui offre des prestations de haute qualité à toutes les personnes qui en ont besoin, indépendamment de leur provenance, de leur domicile, de leur capacité financière ou d'autres facteurs qui peuvent être source de discriminations. Ces attentes ont des conséquences sur les questions de propriété, de transmission et de protection des données: La qualité des traitements dépend notamment de l'évolution des différentes méthodes thérapeutiques et de leur implémentation dans les pratiques, ce qui implique des investissements importants dans les différents types de recherche (fondamentale, épidémiologique, clinique, d'approvisionnement, etc.) et, pour chacun de ces domaines, de données dont une part plus ou moins importante est constituée de données individuelles de patientes ou de patients, qui peuvent être pseudonymisées ou anonymisées. Il y a là un intérêt collectif évident des patients en tant qu'ensemble à ce que des données puissent être réunies, dans des conditions à déterminer dans des processus démocratiques et transparents. Les ressources tant financières qu'humaines à disposition du système suisse de santé étant limitées (politiquement sinon économiquement pour les premières, objectivement pour les secondes), l'objectif d'égalité dans l'accès aux prestations de qualité, que les limites et les difficultés liées à des contingences géographiques ou sociales ne justifient pas d'abandonner, débouche sur un nécessaire souci d'efficacité dans l'utilisation de ces ressources. Cela présuppose, comme pour l'aspect précédent relatif à la qualité, des transferts de données individuelles et des banques de données, par exemple pour la validation des factures de la part des assureurs ou pour étayer les décisions qui relèvent des politiques publiques de la santé. Il y a là aussi un intérêt collectif des patients, dans le respect des conditions évoquées au point précédent. Si l'intérêt collectif des patients débouche sur la nécessité de constituer des banques de données basées sur des données individuelles de patients, cet intérêt commande aussi à ce que ces banques de données ne soient pas affectées à des objectifs en contradiction avec leur raison d'être: dans les enjeux actuels, cela touche principalement les stratégies de sélection de risques (généralement, mais pas nécessairement, de la part des assureurs), en contradiction avec le principe l'égalité de l'accès aux soins. En complément à l'intérêt individuel du patient développé au point 2.1, il s'agit ici d'assurer l'intérêt des patients dans leur ensemble, notamment par le respect du principe de proportionnalité ainsi que par des mécanismes assurant la transparence et la légitimité démocratique des règles qui déterminent ce principe dans la pratique. 2.3 Intérêts collectifs des assurés Ce point figure ici en guise de rappel, dans la mesure où l'intérêt collectif des assurés, qui correspondent à l'ensemble des personnes domiciliées ou établies en Suisse en ce qui concerne l'assurance-maladie obligatoire, peut entrer en contradiction avec l'intérêt collectif des personnes malades, du moins dans des perspectives à court terme qui peuvent déterminer des processus politiques, notamment lorsqu'il s'agit d'évaluer l'opportunité de la prise en charge de certains prestations. L'intérêt des patients - et souvent de la société dans son ensemble dans une perspective à long terme - consiste ici à rappeler les enjeux plus généraux d'impact de la santé sur l'équilibre et le développement d'une société par rapport à des considérations d'efficacité à trop court terme ou trop étroitement focalisés sur les coûts de la santé au sens strict, lesquels omettent les impacts sur l'emploi, le chômage, etc. 3. EXEMPLES ACTUELS 3.1. Transmission des données hospitalières – centre de contrôle des données indépendant des assureurs ? Au mois d’août 2011, les négociations entre l’association faîtière des hôpitaux de suisse H+ et l’association faîtière des assureurs-maladie santé suisse sur la transmission des données hospitalière aux assureurs après l’introduction généralisée des forfaits par cas dans le cadre du nouveau financement hospitalier ont échoué, parce qu’une forte majorité des hôpitaux contestaient, pour des raisons relevant tant de leur organisation interne que de la protection des données, les règles très ouvertes de transmission des données qui avaient été convenues entre les négociateurs des deux faîtières sur la base d’une interprétation très extensive du consentement implicite du patient. Suite à cet échec, les associations suisses de patients et de consommateurs ont exprimé publiquement leurs craintes : pour le secret médical, menacé par la transmission de données superflues du point de vue du contrôle des factures, la menace que cela impliquerait pour la relation de confiance entre le médecin et ses patients et par là pour la qualité du système de santé ; pour le principe de solidarité, menacé par l’utilisation de flux de données, notamment par les assureurs, à des fins contraires aux intérêts des patients, et plus particulièrement des stratégies de sélection de risques. Pour empêcher une telle évolution, les associations ont demandé au Conseil fédéral, de concert avec H+ et la FMH, en un premier temps, des règles de portée nationale précisant que seules les données anonymisées peuvent être transmises de manière systématique aux assureurs ; pour la suite, le transfert de la prise en charge et de la transmission des données par un organe de révision indépendant, comme le demandait le conseiller national Ignazio Cassis (PRD/TI) par le biais d’une motion appuyé par des collègues de tous bords politiques ; une telle solution permettrait un contrôle systématique des factures dans le respect du secret médical et des intérêts des patients, éviterait par ailleurs la création de dizaines de services de révision auprès de chaque assureur et par là l’engagement d’un nombre inutilement élevé de médecins pour des tâches administratives – et permettrait enfin à la collectivité de disposer de données communes et consolidées pour l’ensemble du pays, par exemple pour des études de type épidémiologiques, dans l’intérêt des patients et dans le respect de la protection des données. Le Conseil fédéral a édicté en 2012 une ordonnance entrée en vigueur le 4 juillet qui reprend dans ses grandes lignes la première revendication ; la mesure va dans la bonne direction, mais l’indépendance très relative (et restreinte) des instances de contrôle / médecins de confiance face aux assureurs reste très peu satisfaisante. Dans ce contexte, la commission de la santé et des affaires sociales du Conseil national a décidé de transmettre la motion Cassis évoquée cidessus sous forme de postulat de commission et de poursuivre ainsi les réflexions en direction d’un organe de révision indépendant avec une banque de donnée idoine. 3.2. Dossier électronique du patient Le projet d’introduction du dossier électronique du patient que le Conseil fédéral prévoit de soumettre au Parlement d’ici la fin de l’année 2012 et les réactions très controversées à la procédure de consultation sur ce projet illustrent à un niveau pratique les différents intérêts individuels et collectifs des patients, des prestataires et des assureurs. Le projet constitue un enjeu important tant pour le développement de la transmission des données dans l’intérêt individuel et collectifs des patients que pour un grand nombre de questions liées à la protection des données. Pour répondre aux intérêts des patients, le projet devra être réalisé à une large échelle, avec de fortes garanties pour le caractère volontaire de la participation de chaque patient contre les pressions que pourraient exercer notamment les assureurs, un accès direct de chaque patient concerné à l’ensemble de ses données avec des clés d’attribution d’accès aux différentes catégories de tiers que lui seul peut activer ou non, la possibilité de désigner une personne de confiance et une campagne d’information active en collaboration avec les associations de patients et de consommateurs. Ce dernier point est indispensable au climat de confiance qui sera nécessaire pour que les progrès indéniables rendus possibles par le dossier électronique en termes de sécurité thérapeutique sur le plan individuel et, à plus long terme, de connaissances du système dans l’intérêt public puissent être mis en valeur. 4. CONSÉQUENCES POUR LES PATIENTS 4.1. Meilleure représentation des intérêts des patients La plupart des organes et institutions qui disposent de compétences normatives formelles ou informelles pour déterminer les conditions de transmission et ainsi aussi de protection des données par voie contractuelle sont constitués de représentants des prestataires d'une part, des assureurs d'autre part, sans que les patientes et les patients, concernés pourtant en tout premier lieu, ne soient impliqués dans les processus. La position de certains assureurs selon lesquels ils représenteraient les intérêts des patients était sans doute juste dans les premières décennies de l'assurance-maladie dès la deuxième moitié du XIXe siècle ou au début du XXe siècle encore, mais s'est estompée avec la complexification progressive du rôle de l'assureur et semble aujourd'hui difficilement défendable à l'heure où la plupart des assureurs poursuivent du moins partiellement des intérêts commerciaux liés à leurs offres d'assurances complémentaires, dont les intérêts ne se recoupent qu'avec ceux d'une minorité de patientes et de patients aux ressources financières supérieures à la moyenne. Pour répondre à la fois aux exigences de la protection des données individuelles de chaque patiente et de chaque patient, qui requièrent des règles précises ainsi que des procédures assurant le respect de ces dernières, et aux intérêts collectifs évoqués au début de cet article, qui impliquent notamment des soucis d'utilisation efficace des ressources collectives engagées et souvent aussi de rapidité, il est indispensable de pouvoir construire un système de protection des données dans un climat qui soit autant que possible un climat de confiance. Dans un système de santé tel que le système suisse, déterminé plus que de nombreux autres par des relations contractuelles entre partenaires privés, cela demande d'accorder une attention toute particulière: à la participation des représentants des patientes et des patients dans les principaux processus d'élaboration de règles légales ou contractuelles, notamment pour assurer le respect du principe de proportionnalité, toujours marqué par un part de subjectivité, dans l'intérêt du patient qui reste - ou devrait rester - le point de mire de toute réflexion sur le système de santé; à la transparence des processus gérés sous la responsabilité des assureurs, avec une option vers la constitution d'une caisse publique d'assurance-maladie (nationale ou sous forme de réseau) qui renforcerait la légitimité démocratique du pouvoir exercé par l'assureur dans notre système, l'intérêt public en général et plus particulièrement les rapports de confiance indispensables à l'élaboration et le développement de règles de protection des données respectant l'équilibre entre intérêts individuels et collectifs. 4.2. REVENDICATIONS A COURT TERME Pour les différentes réformes en cours et à venir, et notamment en vue des débats sur l’introduction du dossier électronique du patient, les association de défense des patients et des consommateurs se sont accordées sur les revendications suivantes qui ont été déposées auprès du conseiller fédéral Alain Berset en charge du dossier : les patientes et les patients décident de manière autonome qui parmi les prestataires a accès auxquelles de leurs données ; critères nationaux uniformes, assurant la comparabilité, pour toute récolte de données ; participation de tous les prestataires ; un organe central indépendant des assureurs et des prestataires doit analyser et mettre en valeur les données et assurer la publication des résultats ; l’introduction du dossier électronique du patient doit être accélérée.