Du Health Data Hub français à l’Espace européen des données de santé

Le Health Data Hub, expert du partage de données…

Dans son avis 129 préalable à la loi bioéthique de 2021, le CCNE préconisait en 2018 la création d’une « plateforme nationale sécurisée de collecte et de traitement des données de santé pour articuler, entre eux, les différents enjeux éthiques afférents aux données de santé ». Le Health Data Hub (HDH) voit ainsi le jour en 2019 pour faciliter, en France, le partage de données issues de sources très variées et notamment « répondre au défi de l’usage des traitements algorithmiques (dits ”d’intelligence artificielle“) ». L’objectif est de permettre à des porteurs de projet d’accéder facilement à des données non nominatives (le plus souvent pseudonymisées, c’est-à-dire qu’elles ne sont plus directement nominatives, mais elles restent des données à caractère personnel) hébergées sur une plateforme sécurisée, de les croiser et les analyser dans le but d’améliorer la qualité des soins et l’accompagnement des patients. Pour favoriser l’émergence de solutions inédites, dans une démarche d’intelligence collective, le HDH accompagne également des acteurs de l’écosystème de la santé dans l’organisation de Data Challenges autour des problématiques médicales à portée internationale. Rappelons que le Conseil national de l’Ordre des pharmaciens (CNOP) siège au HDH.

… et pilote d’une préfiguration de l’espace européen des données de santé

En 2023, le HDH s’est vu confier, par la Commission européenne, la coordination du projet « HealthData@EU Pilot », consortium visant à créer une version pilote de l’Espace européen des données de santé (EEDS) sur le plan de l’utilisation « secondaire » des données.

À terme, l’EEDS s’appuiera sur deux infrastructures, aux­quelles les États membres devront obligatoirement adhérer :

• l’infrastructure MaSanté@UE qui prévoit la mise en place d’une BDD européenne pour l’utilisation primaire des données dans le cadre du parcours de soins ;
• l’infrastructure DonnéesDeSanté@UE pour l’utilisation secondaire (ou réutilisation) de données multisources (dossiers médicaux, registres publics, études cliniques, biobanques…), notamment dans le but de concevoir des systèmes d’IA.

L’objectif du législateur européen est de concilier le développement de BDD étoffées et représentatives avec la protection des données et de la vie privée, puisqu’il s’agit de données qui seront exploitées par des universités, des décideurs politiques, des start-ups, des industriels… La notion d’« altruisme des données » est au cœur de ce projet : les détenteurs de données les partagent sans contrepartie au-delà des coûts de mise à disposition.

L’EEDS vise aussi à éviter de dépendre de données extra-européennes dans le développement de l’IA en santé, avec notamment des enjeux de prise en compte des caractéristiques populationnelles, épidémiologiques et de santé publique européennes.

Quelle procédure pour l’utilisation secondaire des données ?

Les données collectées dans un but d’utilisation primaire peuvent ensuite être récupérées pour d’autres finalités, comme la recherche. Elles deviennent alors des données « à usage secondaire » et leur traitement est réglementé. Dans le cadre de l’EEDS, les concepteurs de systèmes d’IA à risque (chercheurs, autorités réglementaires, entreprises qui veulent innover à des fins d’intérêt public) devront suivre une procédure précise :

• faire une demande d’autorisation à l’organisme responsable de l’accès aux données de la santé dans chaque État membre ;
• après étude de la demande, celui-ci ordonnera aux détenteurs de données de santé concernés (hôpitaux, universités, agences…) de transmettre ces données qui seront hébergées dans un environnement fermé et sécurisé pour être traitées ;
• si le demandeur peut expliquer ou justifier qu’un format anonymisé ne lui permet pas d’atteindre le but de recherche, d’innovation ou de réglementation poursuivi, les données seront pseudonymisées. Mais il sera strictement interdit au demandeur de renverser cette pseudonymisation.

Quel impact côté patients ?

Le règlement sur l’Espace européen des données de santé prévoit que les personnes pourront s’opposer au traitement de leurs données personnelles de santé électroniques à des fins secondaires, sauf dans certains cas, comme pour des raisons de recherche scientifique dans l’intérêt général, ou si les données ne peuvent être obtenues par d’autres moyens dans un délai satisfaisant.

Le règlement européen sur l’intelligence artificielle régira désormais les usages de systèmes d’IA en santé ; il distingue les systèmes d’IA selon qu’ils sont à risque faible ou à haut risque, et fixe des exigences en matière de sécurité, de respect de la transparence et des droits des personnes affectées par le système d’IA. Bien sûr, tout concepteur de système d’IA devra par ailleurs respecter le règlement général pour la protection des données (RGPD).