| Accueil > Contrôle, évaluation, information > Les comptes rendus de la mission d’évaluation et de contrôle des lois de financement de la sécurité sociale |
COMMISSION DES AFFAIRES SOCIALES
MISSION D’ÉVALUATION ET DE CONTRÔLE
DES LOIS DE FINANCEMENT DE LA SÉCURITÉ SOCIALE
Mardi 17 janvier 2017
La séance est ouverte à quatorze heures quinze.
(Présidence de M. Pierre Morange, coprésident de la mission)
La Mission d’évaluation et de contrôle des lois de financement de la sécurité sociale (MECSS) procède à l’audition, ouverte à la presse, de M. Christian Babusiaux, ancien président de l’Institut des données de santé
M. le coprésident Pierre Morange, rapporteur. Nous avons le plaisir d’accueillir M. Christian Babusiaux, ancien président de l’Institut des données de santé. À la demande de la mission d’évaluation et de contrôle des lois de financement de la sécurité sociale, la Cour des comptes a produit en mars 2016 un rapport dont les différents chapitres portaient sur la gouvernance de l’accès et de l’utilisation des données personnelles de santé, les modalités de sécurisation informatique des procédures utilisées pour en améliorer la fluidité et l’accessibilité, les règles de confidentialité et, enfin, le modèle économique. Quelles réflexions ce rapport vous a-t-il inspirées ?
M. Christian Babusiaux, ancien président de l’Institut des données de santé. Je n’irai pas par quatre chemins : il faudra modifier l’article 193 de la loi du 26 janvier 2016 de modernisation de notre système de santé, relatif aux données de santé. Les enjeux-clé qui intéressent le Parlement sont en effet la prévention, qui est toujours la parente pauvre des politiques de santé et d’assurance maladie, et la rationalisation de notre système de santé – non pas dans un intérêt comptable, même s’il est important, mais dans l’intérêt des patients et des professionnels de santé.
Pour relever ces deux enjeux-clés, il faut s’appuyer sur des données. L’appareil administratif de l’État et les instituts de recherche publique sont-ils en mesure d’y répondre seuls ? Doivent-ils de ce fait détenir le quasi-monopole de la connaissance et de l’accès à ces données ? Non, à l’évidence. La santé est multiple et complexe ; elle intéresse tous les citoyens, y compris les deux millions de professionnels de santé. Compte tenu de cet enjeu de la connaissance pour tous, l’accès aux données doit être ouvert à l’ensemble le plus large possible d’acteurs qui y ont un intérêt légitime, dans le respect du secret médical et de la vie privée. Chaque jour qui passe nous le montre : il ne faut pas réserver aux autorités publiques de santé, quelles que soient leurs qualités et compétences, le monopole de la connaissance en santé. Chaque problème qui surgit – épidémie, utilisation d’un médicament ou des traitements – nous prouve qu’il faut répartir la connaissance de manière à progresser et à éviter les zones d’ombre qui caractérisent naturellement un système aussi complexe que notre système de santé, nonobstant ses qualités. Tels sont les principaux enjeux qui, à mon sens, doivent retenir l’attention du législateur, lequel n’a pas à s’attarder sur les détails.
Examinons de ce point de vue la loi, les décrets et la situation concrète. La loi, tout d’abord : il faut distinguer entre l’apparence et la réalité de l’article 193 de la loi du 26 janvier 2016. L’apparence est flatteuse, comme souvent ; la réalité l’est moins. En apparence, cet article crée un vaste système national des données de santé (le SNDS) qui rassemble le Système national d’information inter-régimes de l’assurance maladie (SNIIRAM) pour les données relatives aux remboursements de soins de ville et le Programme de médicalisation des systèmes d’information (PMSI) pour l’hôpital, et qui y agrège le registre des décès ainsi que des bases de données médico-sociales et des données de remboursement – à venir – des assurances complémentaires de santé. La deuxième ambition – toujours en apparence – de cet article consiste à créer un Institut national des données de santé (INDS), qui anoblit en quelque sorte le modeste Institut des données de santé (IDS).
La réalité est différente, hélas. D’une part, le SNDS ne sera opérationnel qu’à terme : il est à craindre, en effet, que sa date d’entrée en vigueur du 1er avril ne soit pas autre chose qu’un poisson, de rigueur à cette date. Il faudra du temps pour constituer des bases de données sur la dépendance ou sur l’invalidité ; le concours des conseils généraux sera nécessaire, car ces données devront être croisées avec d’autres bases.
De surcroît, je m’interroge sur les données qui devraient provenir des complémentaires de santé : certes, le texte législatif en fait mention mais qui, en France, pourrait contraindre des entreprises privées et des mutuelles à fournir des données alors même qu’on essaie de les exclure de la gouvernance du système ? Quel serait leur intérêt à apporter des données ? Ajoutons que les assureurs complémentaires relèvent de systèmes très variés et corrélés avec d’autres assurances. En clair, cet apport de données est loin d’être imminent.
L’objectif du texte n’est pas seulement lointain et incertain ; il est aussi limité. Les bases rassemblées dans le SNDS sont médico-administratives, et non pas médicales, quoique le PMSI soit médicalisé. Au fond, ce sont les bases d’hier qui sont regroupées, et non celles de demain. Aucune base de santé n’est visée, par exemple, comme c’est déjà le cas dans certains pays scandinaves. Il ne faut donc pas croire que le SNDS, tel qu’il est prévu dans la loi et tel qu’il pourrait se constituer à court terme par l’agrégation de bases de données existantes, sera une véritable base de données de santé proprement dites. L’appellation ne doit pas faire illusion : il s’agit de simples bases de données médico-administratives de remboursement.
J’en viens à l’INDS. L’Institut des données de santé s’en trouvera certes anobli, mais aussi doublé d’un comité d’expertise ; ce n’est donc pas l’INDS qui donnera son accord aux accès, mais ce comité d’experts indépendant, comme le prescrit la loi. L’un et l’autre partageront, il est vrai, un secrétariat commun, dont le législateur – c’est l’un des apports du processus législatif – a prévu qu’il serait implanté dans les locaux de l’Institut, mais le fait est qu’il se constituera un comité d’experts dont nous ne connaissons pas encore la composition, sur laquelle la loi n’apporte aucune lumière malgré l’extraordinaire importance de cette question en termes de garanties à tous égards.
De même, nous ignorons quelle sera la composition exacte de l’INDS ; à ma connaissance, elle n’est toujours pas précisée. Mme la ministre de la santé a indiqué que, fort de ses treize composantes, elle serait plus large que celui de l’IDS : cette ambition est compréhensible et louable, mais quel en sera le périmètre exact ? La loi du 13 août 2004 relative à l’assurance maladie avait précisé les contours de ce qui est devenu l’IDS en 2007. L’article 193 de la loi du 26 janvier 2016 ne fixe aucun périmètre clair.
Il semble par exemple que l’on envisage d’y inclure les entreprises pharmaceutiques. À titre personnel, je me suis permis, lors de l’élaboration de la loi, de déconseiller cette participation : il me semble en effet qu’introduire les laboratoires pharmaceutiques ou leurs organisations dans le processus d’autorisation d’accès aux données est non seulement une erreur technique, mais aussi une faute politique. On nous indique que le LEEM – le syndicat des entreprises du médicament – et ses adhérents ne seront pas totalement membres de l’INDS. Un groupement d’intérêt public (GIP) peut-il donc se composer de membres et de demi-membres ? Cela ne poserait-il pas un problème statutaire ? On commencerait, semble-t-il, à s’en apercevoir… De même, nous ignorons si les complémentaires de santé en feront ou non partie, et si elles seront représentées par leur union, l’UNOCAM, ou bien, celle-ci n’ayant pas de vocation législative, par les fédérations la composant. En somme, deux ans et demi après que le Conseil des ministres ait approuvé le projet de loi, à la fin de l’été 2014, le périmètre de l’INDS demeure incertain.
Ajoutons que l’INDS est cantonné à l’appréciation de la notion d’intérêt public. Une fois l’avis du comité d’expertise formulé, l’INDS pourra non pas former un recours, mais émettre un avis parallèle à celui du comité, au motif de l’intérêt public. Qu’est-ce que l’intérêt public ? Nous en percevons intuitivement la nature mais, génération après génération, sa définition juridique reste en débat. N’y a-t-il pas là un potentiel nid à contentieux, alors que le système devrait plutôt être conçu de manière fluide et efficace dans l’intérêt des acteurs qui seront habilités à accéder aux données ? À cet égard, le ministère de la santé et l’IDS ont créé un groupe pour réfléchir à la définition de l’intérêt public, notamment au moyen d’un questionnaire, au demeurant très bien fait. C’est dire l’incertitude qui entoure cette notion retenue par le législateur.
D’autre part, la loi se caractérise par une absence de progrès sur certains sujets majeurs, en particulier l’accès permanent du monde de la recherche aux données. L’IDS avait ouvert la voie de manière pragmatique à des accès ponctuels, en accordant un nombre important d’autorisations à des chercheurs. Une fois expérimentée, cette voie devait naturellement s’élargir vers un accès permanent des équipes ayant fait leurs preuves – comme cette équipe du centre hospitalier universitaire (CHU) de Lyon qui, bénéficiant d’une vingtaine d’autorisations, aurait pu peut-être obtenir un accès permanent. Or, la loi n’ouvre pas cette possibilité. Elle prévoit des mécanismes compliqués pour les acteurs privés que sont les complémentaires de santé et les laboratoires pharmaceutiques, notamment l’intervention de bureaux d’études sur lesquels il y a tout lieu de s’interroger.
Le décret d’application du 28 décembre 2016 n’a guère fait une interprétation extensive de la loi. On aurait par exemple pu envisager qu’un établissement public tel que l’Institut national de la consommation, que je connais bien pour l’avoir présidé, puisse avoir accès aux données ; ce ne sera pas le cas, puisqu’il ne pourra pas même accéder à l’échantillon généraliste de bénéficiaires. En clair, ce décret ne semble pas aller dans le sens de la résolution des problèmes posés ; il est vrai qu’il s’inscrit dans le cadre – dans la nasse – de la loi.
J’en viens à la réalité concrète. Je dois à cet égard vous faire part de mon inquiétude. Tout d’abord, la convention constitutive de l’INDS n’a été ni créée ni strictement définie ; il est doté d’un budget prévisionnel en pointillés, même si celui-ci est très ambitieux puisqu’il est question de le doubler. Est-ce justifié ? Certes, l’IDS était quelque peu à l’étroit dans son budget, mais faut-il pour autant le doubler dans les circonstances actuelles, et les partenaires y sont-ils prêts ? Compte tenu de la convention d’objectifs et de gestion (COG) de la caisse nationale d’assurance maladie des travailleurs salariés (CNAMTS), cela ne semble guère réaliste.
Ensuite, la gouvernance de l’IDS présente des difficultés que vous avez sans doute perçues lors d’autres auditions ou dans la presse. Il va de soi que je ne m’exprimerai pas sur mes successeurs, mais la succession de plusieurs présidents et le problème de continuité qui en découle sont préoccupants – même si le recul pris par tel ou tel à l’égard de la loi et du décret, qui sont compliqués à gérer, était compréhensible. Ajoutons-y le départ progressif de la petite équipe de l’IDS.
Quant à la Commission nationale de l’informatique et des libertés (CNIL), elle fait face à un double problème. Le premier tient au délai des réponses aux demandes d’autorisation, qui ne s’est pas amélioré : il serait encore de huit à douze mois, selon des équipes chevronnées qui, ayant obtenu une autorisation de principe, attendent la validation de la CNIL. Dans l’intérêt vital des patients, comment peut-on admettre que l’accès à des données anonymisées de santé soit soumis à un délai de huit à douze mois ? Le second problème concerne cette clé de voûte qu’est la capacité de la CNIL à sanctionner ceux qui feraient une utilisation abusive des données. À ce stade, ce risque n’est que théorique, mais on ne sait jamais. Par rapport à d’autres instances de régulation, la CNIL ne dispose, en vertu de la réglementation générale qui la régit, ni des pouvoirs ni de l’organisation lui permettant de sanctionner effectivement les infractions.
Ces problèmes majeurs ne sont donc pas résolus. Il nous a été opposé qu’ils ne pouvaient pas être traités par l’article 193 de la loi du 26 janvier 2016 parce qu’ils relèvent davantage de l’organisation générale de la CNIL. Pourtant, la loi pour une République numérique ne les règle pas pleinement.
Tels sont les points essentiels qui m’ont conduit à commencer mon intervention en affirmant ceci : je ne vois pas comment nous pourrons faire autrement que de modifier – au plus tôt au mieux – l’article 193.
M. le président Pierre Morange, rapporteur. Quel serait selon vous le modèle idéal qui permettrait de répondre à l’enjeu de prévention tout en ouvrant l’utilisation des données au service de la santé de nos concitoyens ?
M. Christian Babusiaux. Deux solutions s’offrent selon moi au législateur. La première consiste à amender de manière chirurgicale certains points de la loi. S’agissant de la notion d’intérêt public, par exemple, j’ai suggéré, pour éviter les blocages, de retenir la notion d’intérêt pour plusieurs types d’acteurs. L’accès aux données ne doit évidemment pas répondre à un intérêt corporatiste ; cependant, il peut correspondre à l’intérêt des patients et des professionnels de santé, ou à celui de l’assurance maladie, des hôpitaux ou encore des complémentaires de santé – en clair, à « plusieurs groupes d’acteurs » dont les intérêts sont divergents, d’où le caractère plus opérationnel de cette notion par rapport à la notion certes noble, mais plus impondérable, d’intérêt public.
D’autre part, il conviendrait de ne pas se contenter de tenir compte de la nature juridique des organismes concernés. Imaginons un organisme privé sans but lucratif qui conduit des recherches visant à mieux connaître les parcours de soins : son besoin d’accéder aux données est tout aussi important et légitime que celui d’un organisme public. Or, aujourd’hui, la loi ouvre l’accès aux données à raison de la nature juridique des organismes, par exemple aux administrations – qui en font beaucoup trop peu usage, hélas – et non aux organismes privés. Pour quelle raison ? C’est la finalité recherchée qui doit primer : il faut s’assurer qu’elle corresponde bien à l’intérêt d’un ensemble d’acteurs.
Ensuite, j’estime, outre l’accès dont bénéficient déjà les équipes des CHU et de l’Institut national de la santé et de la recherche médicale (INSERM) à l’échantillon généraliste de bénéficiaires, qu’il faut ouvrir la voie vers un accès permanent à l’ensemble de la base pour des équipes dûment accréditées. Plutôt qu’une autorisation au cas par cas, c’est l’autorisation donnée à des équipes qualifiées qui importe : lesdites équipes doivent alors remplir un cahier des charges qui fait l’objet d’une vérification et, une fois dûment agréées, elles peuvent accéder aux bases sous réserve d’un droit de contrôle.
En somme, il est possible d’apporter un certain nombre d’amendements précis à l’article 193 de la loi du 26 janvier 2016. L’autre solution repose davantage sur une conception politique de fond de la place respective des administrations publiques, entendues au sens large, et de la société civile. Les auteurs de la loi actuelle distinguent en quelque sorte entre les « purs » et les « impurs » – d’un côté la sphère publique, de l’autre la société civile –, distinction qui se traduit dans les conditions d’accès aux données de santé et la constitution du GIP du futur INDS. Encore une fois, cela relève davantage d’une conception d’ensemble – et appelle donc une révision globale de l’article 193 de la loi du 26 janvier 2016.
Se pose aussi la question du pouvoir de sanction de la CNIL. De deux choses l’une : soit il faut modifier la loi du 7 octobre 2016 pour une République numérique afin de prévoir des sanctions dignes de ce nom, comme c’est le cas dans de nombreux autres secteurs de l’économie, soit il faut adopter par amendement cette modification dans le cadre d’une loi sur la santé ou la sécurité sociale afin de prévoir la multiplication par tel ou tel facteur des sanctions générales en cas d’atteinte au secret médical.
Autrement dit, plusieurs pistes s’offrent à nous et il me semble possible d’adopter des mesures intelligentes à peu de frais : à défaut de refondre l’ensemble de l’article 193, qui possède certaines qualités, on peut traiter chaque problème de manière pragmatique.
M. le président Pierre Morange, rapporteur. Si l’article 193 était entièrement réécrit, quels devraient selon vous en être les éléments essentiels ?
M. Christian Babusiaux. L’essentiel serait d’inverser la problématique. Les autorisations ponctuelles sont trop bureaucratiques. L’IDS était arrivé à en accorder environ 140 par an, soit un rythme gérable – qui ne semble pas s’être infléchi depuis. Demain, en revanche, dans une société où l’on recourt davantage aux données, les demandes d’accès pourraient se multiplier, d’où un engorgement des instances et de la CNIL. Peut-être vaut-il mieux instaurer – comme dans d’autres domaines – un véritable système régulé, plutôt qu’administré. La loi pourrait fixer les principes généraux des conditions à remplir par les acteurs concernés, que préciseraient des cahiers des charges. L’INDS assurerait la régulation du processus, et la CNIL disposerait de pouvoirs de contrôle et de sanction renforcés.
La loi a laissé de côté un autre domaine d’avenir : celui des données massives – ou big data – et de leur croisement avec les bases de données publiques. Vous m’avez à ce sujet demandé par écrit – judicieusement – pourquoi les autorités de veille sanitaire utilisent si peu les données : plusieurs facteurs l’expliquent mais, en tout état de cause, il faut traiter la question en repensant la base, en inversant la problématique et en adoptant une conception d’avenir fondée non pas sur la statistique d’hier – celle du SNDS, quelles que soient ses immenses qualités – mais sur un univers de données.
M. le président Pierre Morange, rapporteur. Quelle appréciation portez-vous sur les déclinaisons de la réglementation européenne dans ce nouveau cadre législatif ? La législation française s’y adapte-t-elle ou existe-t-il des risques de recours ?
M. Christian Babusiaux. On peut en effet s’interroger sur la compatibilité de la distinction qui est faite entre les organismes selon leur nature – publique ou privée – avec les textes européens en matière de concurrence. Dans un arrêt du 20 mai 2016, le Conseil d’État a d’ailleurs jugé que l’une des dispositions de l’arrêté de 2013 relatif aux modalités d’accès SNIIRAM provoquait une distorsion entre organismes publics et privés. Je ne veux pas surestimer la dimension européenne, mais le risque de recours peut exister.
Se pose également la question de l’accès d’opérateurs provenant d’autres pays de l’Union européenne aux données. À titre personnel, j’estime que, pour agir en matière de santé, les bases de données nationales ne suffisent pas car les échantillons sont trop petits – quelques centaines de personnes dans le cas de maladies rares, par exemple. Il serait donc utile de réunir des données sinon européennes, au moins de plusieurs pays de l’Union pour étoffer les bases dans certains domaines. Cela suppose d’ouvrir l’accès aux bases à des opérateurs non français, et donc de revoir la philosophie et l’articulation du processus.
M. le président Pierre Morange, rapporteur. Que pensez-vous de la qualité des dispositifs de sécurité informatique que vous avez eu à utiliser ? La Cour des comptes a évoqué l’obsolescence de certains algorithmes, mais aussi – dans le contexte de l’agrégation progressive au périmètre initialement bien défini des données du PMSI d’autres données, depuis celles du Centre d’épidémiologie sur les causes médicales de décès (CépiDc) et les données médico-sociales jusqu’aux données massives – la question des objets connectés.
M. Christian Babusiaux. La question de la sécurité est fondamentale. Je précise d’emblée qu’étant président de chambre honoraire à la Cour des comptes, mes propos n’engagent en rien cette institution. C’est à juste titre que la Cour a estimé que la question de la sécurité avait été trop longtemps négligée, même si la CNAMTS a procédé à des redressements par la suite. Précisons qu’il ne s’agit pas de la sécurité de l’accès aux données en tant que tel, mais de la sécurité de la gestion des bases de la CNAMTS – y compris par elle-même. La Cour a étudié en détail les problèmes de sécurité qui se sont posés. Il est vrai qu’il a fallu du temps pour que le système soit mis en conformité avec les normes de sécurité : l’IDS a été témoin de l’effort que la CNAMTS a consenti à cet effet pendant plusieurs années après avoir enfin pris conscience du problème ; elle a d’ailleurs bien travaillé, comme elle le fait toujours, sur le plan technique, à propos de sujets pourtant complexes.
La question du registre des décès me semble extrêmement sensible. J’ai quelque réticence à prôner la concentration en un système unique de l’ensemble des bases de données aujourd’hui médico-administratives, auxquelles s’ajouteront demain de véritables bases de données de santé qui renseignent sur des historiques anonymisés de santé. Ne vaut-il pas mieux créer un système décentralisé permettant d’accéder à l’une ou l’autre de ses composantes ? Plus un système est centralisé, plus il est vulnérable. De ce point de vue, le registre des causes médicales de décès est particulièrement sensible – en particulier s’il s’agit de suicides d’adolescents, de décès liés à un mésusage de médicaments ou de décès liés au sida, par exemple. Toutes ces données sont assorties d’un très haut niveau de confidentialité. Il faudra donc sécuriser particulièrement de tels compartiments du SNDS.
À mon sens, le registre national des causes médicales de décès aurait dû, par précaution, être maintenu en dehors du SNDS, car son usage est limité à un certain nombre de cas. Il faut en effet que les médecins aient une confiance absolue dans le mécanisme d’accès à ces données, faute de quoi ils risqueraient – ce qu’ils font d’ailleurs parfois, non sans raison – de ne pas indiquer la véritable cause de la mort sur l’acte de décès. Certes, les choses ont considérablement progressé depuis dix ans, mais il faut se garder de fragiliser ce registre, qui est un élément essentiel de l’épidémiologie. La confiance est indispensable à une épidémiologie performante. Or, les causes de décès sont un domaine crucial pour la confiance, d’où mon interrogation – mais peut-être suis-je trop rigoureux, ou trop inquiet.
M. le président Pierre Morange, rapporteur. Que pensez-vous du Centre d’accès sécurisé aux données (CASD) qui, en puisant dans le PMSI, fournit un certain nombre de données et dont les procédures de sécurisation informatique sont légèrement différentes ?
M. Christian Babusiaux. Jusqu’à l’adoption de la loi du 26 janvier 2016 de modernisation de notre système de santé, le PMSI était très ouvert – sans que cela ait jamais posé le moindre problème. Ladite loi a pour effet de refermer le PMSI, en quelque sorte, en prévoyant certes un accès via le CASD. Il est évident, cependant, que l’accès à cette source d’information essentielle qu’est le PMSI est devenu plus difficile. S’il faut réviser l’article 193 de la loi, c’est notamment parce qu’on a aligné les conditions d’accès au PMSI sur les conditions restrictives d’accès au SNIIRAM, et non l’inverse.
Quoi qu’il en soit, il fallait sécuriser davantage les accès, car les mesures de sécurité régissant l’accès au PMSI étaient légères même si, encore une fois, il ne s’est produit aucun problème. Faut-il pour autant un CASD ? Pour des raisons de capacité, il semble impossible de n’en prévoir qu’un seul ; il en faut plusieurs. Est-ce absolument nécessaire ? Ce mécanisme présente aussi des difficultés. Que deviennent en effet les cohortes créées par les chercheurs ? Il faudrait les intégrer au CASD pour pouvoir les croiser avec les données provenant du SNIIRAM. Cette solution est-elle compatible avec la vie d’un certain nombre de cohortes ? Je n’en suis pas sûr. Or, à l’évidence, il est essentiel de permettre le croisement entre les bases du SNIIRAM, qui fournissent des références massives, et tel ou tel aspect traité dans une cohorte.
Sans doute le CASD constitue-t-il une précaution souhaitable dans un certain nombre de cas. Il me semble moins évident, toutefois, qu’il faille le généraliser, y compris vis-à-vis d’institutions qui ont fait leurs preuves, d’autant qu’il se pose également un problème de coût.
M. le président Pierre Morange, rapporteur. Que pensez-vous de la préconisation de la Cour des comptes concernant le contrôle a posteriori, aléatoire ou non, des requêtes de chercheurs souhaitant accéder à ces banques de données, et des moyens qu’il faudrait y consacrer ?
M. Christian Babusiaux. Il faut naturellement effectuer ce contrôle. Dans le système existant, tous les accès aux données sont d’ores et déjà traçables : on sait très bien qui a accédé au SNIIRAM, par exemple. De plus, les contrôles ont un effet dissuasif. Je pense au cas particulier d’un CHU dans lequel une personne qui avait accédé à des données sans y avoir été dûment autorisée par l’IDS. Ce dernier en a immédiatement informé la directrice du CHU, laquelle a résolu la question. Que nous ayons fait connaître cet épisode a produit un effet très dissuasif, car les hôpitaux et les organismes de recherche n’aiment guère que le microcosme de la santé sache qu’ils n’ont pas assez surveillé l’accès aux données de santé. En bref, il est nécessaire de contrôler les accès, mais ce n’est pas difficile puisque la traçabilité existe.
M. le président Pierre Morange, rapporteur. Que pensez-vous du risque de récupération par des tiers – et donc de marchandisation – de données fournies par les professionnels de santé aux structures que nous venons de citer, qui, ce faisant, relèveraient non plus du manteau protecteur de la loi mais de relations conventionnelles avec des assureurs, par exemple ?
M. Christian Babusiaux. Il existe un large accord pour exclure l’utilisation des bases à des fins commerciales. Après avoir initialement demandé l’accès aux bases à des fins commerciales, les assureurs ont d’ailleurs cessé de le faire, tout comme les laboratoires pharmaceutiques. Il faut en effet interdire la réutilisation des données à des fins commerciales.
C’est pourquoi je suis très réservé quant à l’idée de financer le SNDS par une cotisation obligatoire imposée aux entreprises. Faut-il ajouter une nouvelle taxe aux impôts et cotisations que nous payons tous déjà pour financer l’hôpital et l’assurance maladie ? C’est un travers bien français. Or, s’il est instauré une tarification des accès aux données par des assureurs ou par des laboratoires pharmaceutiques, par exemple, cela signifierait qu’ils pourraient en tirer un profit commercial et justifieraient leur cotisation. À mon sens, nous devons nous garder de mettre le doigt dans cet engrenage.
M. le président Pierre Morange, rapporteur. Cependant, les laboratoires pharmaceutiques et les assureurs privés obéissent par nature à une dynamique commerciale.
M. Christian Babusiaux. Certes, quoique les mutualistes pourraient arguer du fait que leur objectif est désintéressé, et non commercial. Quoi qu’il en soit, les assureurs ont besoin, pour des raisons statistiques, de renseignements dans un certain nombre de domaines – par exemple dans le cadre d’un prêt immobilier – qui ne concernent pas les complémentaires de santé. Le souscripteur fournit alors de son plein gré les renseignements demandés afin que l’assureur puisse tarifer le contrat d’assurance d’une acquisition immobilière ; le processus est donc fondé sur le consentement. Au contraire, le traitement de données anonymisées est effectué sans consultation du patient ; il faut distinguer nettement entre ces deux domaines.
Du point de vue des assureurs se pose une autre question, me semble-t-il, qui a trait à la gestion du système : faut-il une articulation entre les assureurs obligatoires et les assureurs complémentaires ? La philosophie de la loi du 13 août 2004 reposait sur une combinaison des acteurs publics et privés pour parvenir à une bonne gestion. Cette logique a progressivement disparu : certes, les assureurs complémentaires participent à certaines négociations conventionnelles mais, à l’évidence, ce système de discussion tripartite entre les assureurs obligatoires, les complémentaires et telle ou telle profession de santé ne fonctionne pas bien, voire pas du tout. De surcroît, la complémentaire de santé, désormais, est complètement dissociée, compartimentée, cloisonnée suite à une série de réformes, au point que la logique se perd. Il faudra, le moment venu, reconstruire les bases d’une véritable protection complémentaire articulée avec la protection obligatoire.
C’est dans ce contexte qu’il faut aménager l’accès des complémentaires aux données – comme celui des professionnels de santé – de manière à instaurer une réelle gestion conventionnelle du système. En tout état de cause, il faut interdire toute utilisation commerciale dès lors qu’il s’agit de données fournies sans consentement, tout en autorisant leur accès dans un cadre conventionnel à condition de repenser le rôle des complémentaires.
M. le président Pierre Morange, rapporteur. Je vous remercie et vous propose de compléter par écrit vos réponses au questionnaire qui vous a été transmis. La MECSS produira un rapport préliminaire en février puis un rapport plus complet au début 2018, après le renouvellement de l’Assemblée. Nous aurons donc certainement l’occasion de vous auditionner à nouveau, puisqu’une série de décrets doivent être pris prochainement ; nous pourrons alors éclairer certaines zones d’ombre et, le cas échéant, constater s’il faut apporter des améliorations.
La séance est levée à quinze heures cinq