L’annonce a fait les grands titres des journaux la semaine dernière: des hôpitaux vendraient les données médicales de leurs patients.
Bien sûr, le secrétaire d’Etat De Backer et la ministre De Block ont réagi en renvoyant aux règles strictes sur la vie privée et aux conditions sous lesquelles des informations médicales peuvent être mises à disposition.
Et c’est très clair et il n’y a pas de discussion. Les données doivent être anonymisées et la finalité (la raison pour laquelle elles sont utilisées) doit être la recherche scientifique.
Le fait que le patient doit toujours être informé et donner son consentement n’est toutefois pas tout à fait correct.
La nouvelle réglementation européenne GDPR qui entrera en vigueur début 2018 formule les choses de manière quelque peu différente.
L’article 6.4 stipule que sous certaines conditions, aucun consentement n’est nécessaire. Dans ce contexte, l’existence de certaines garanties dont éventuellement un cryptage ou une pseudonymisation est nécessaire.
A l’article 89, nous trouvons des exceptions possibles relatives au traitement dans l’intérêt général, dans la recherche scientifique ou historique ou encore à des fins statistiques.
Il est donc possible que des données anonymes ou pseudonymisées soient utilisées sans consentement dans la recherche scientifique avec un intérêt général.
La question à se poser est donc plutôt avec quelle finalité ces données sont demandées par l’industrie pharmaceutique. Le but est-il d’utiliser ces données pour la recherche de haute technologie afin de (continuer à) développer des médicaments essentiels ou sont-elles utilisées par le département marketing pour encourager de manière plus ciblée les médecins, les hôpitaux, voire les patients à la prescription et la consommation? Les mutualités chrétiennes suggèrent clairement cette deuxième hypothèse.
A noter dans cette discussion: l’aspect du paiement intervient nettement moins. Dans la loi sur les droits du patient de 2002, il est clairement stipulé que le patient est propriétaire de son dossier médical. Le prestataire de soins, in casu l’hôpital, est le gestionnaire de ces données.
Imaginons que les données soient vendues dans le contexte de la GDPR correctement et pour les bonnes raisons. Qui doit alors être payé? L’hôpital ou le patient?
Qu’est-ce que je veux en tant que patient? Que mes données médicales soient utilisées de manière optimale pour mes soins et pour le plus ample développement de soins de santé dans l’intérêt général. Vu sous cet angle, je donnerai directement mon consentement. Vous aussi quand même? Après, peu importe si les progrès dans les soins de santé sont réalisés par une institution payée par les autorités ou par une firme commerciale. Tant que cela permette de sauver des vies, de maintenir la qualité de vie le plus longtemps possible à un bon niveau et d’améliorer la qualité des soins.
Je suis confiant que demain, avec l’introduction de la réglementation GDPR, avec la réforme de la commission vie privée et avec l’introduction de lourdes amendes, nous aurons une bonne protection.
Mais quid si des intermédiaires y jouent un rôle comme dans le cas de la semaine dernière avec QuintilesIMS? Là aussi, je suis confiant, car la finalité reste importante et les amendes aussi.
Menons la discussion correctement. N’est-ce pas une conséquence de la décision prise il y a dix ans de gérer toutes les informations médicales de la façon la plus décentralisée possible? Le rejet d’un dossier médical central parce que l’on ne faisait pas confiance aux autorités fait en sorte que maintenant, on se tourne vers les autorités pour éviter que les gestionnaires décentralisés des informations médicales ne vendent ces données.
Poursuivons le raisonnement. Devons-nous nous tracasser pour des données anonymisées maintenant qu’un brevet a été donné à Clinerion «for technology which enables patient search and re-identification (by authorized personnel) using only anonymized patient data»?
Ce critère d’anonymisation sera-t-il dépassé si tout à l’heure, Clinerion présente sa solution? La réglementation GDPR sera-t-elle dépassée avant même d’entrer en vigueur?
Avec l’évolution considérable de la technologie dans les soins de santé (et les autres secteurs), la vie privée ne sera certainement pas demain la question la plus importante. Ce sera plutôt l’éthique et la déontologie. Si en mai de l’année prochaine, la GDPR devient un fait, créons alors le plus rapidement possible un bon cadre pour les aspects éthiques et déontologiques liés à l’intelligence artificielle, la robotique, les biobanques, le big data, la gestion de la population, les flux financiers, etc.