A quoi ressemble le monde numérique de la santé ?

S’il est impossible de quantifier le nombre de données de santé qui circulent aujourd’hui en Belgique, il est intéressant de regarder le volume de transactions informatiques entre les organismes de soins, par l’intermédiaire de la plateforme eHealth.

Ce volume est devenu colossal. En 2021, record absolu en Belgique, la plateforme eHealth a enregistré 19,6 milliards de transactions numériques via ses services de base, soit une augmentation de 9 % depuis 2020, mais surtout, +380 % depuis 2015.

Pour Frank Robben, patron de la plateforme eHealth, ce graphique démontre simplement que la Belgique est sur “un rythme de croisière” au niveau de la numérisation de la santé. Si la crise sanitaire a engendré des nouvelles données de santé, elle n’a pas provoqué une explosion des flux informatiques.

Que cachent ces 19,6 milliards de transactions numériques ? Impossible à savoir, nous répond-on chez eHealth. “On ne sait pas ce que les prestataires de soins font réellement. Tout est crypté, donc on ne calcule pas si un médecin est en train de faire ceci ou cela. C’est le principe du système décentralisé que nous avons mis en place”, souligne Frank Robben.

Au centre du jeu de quilles

La plateforme eHealth est une sorte d’échangeur au centre du grand circuit de l’e-Santé. Elle fournit des outils aux organismes de soins pour qu’ils puissent échanger de l’information de façon sécurisée. Elle vérifie aussi certaines informations qui passent par ses canaux.

Un exemple concret  : quand un·e médecin se connecte à son programme informatique, il ou elle doit d’abord prouver son identité, en insérant sa carte d’identité dans un lecteur. Via internet, la plateforme eHealth vérifie si cette personne figure bien dans sa liste des acteurs de soins de santé (l’une de ses sources authentiques). Si c’est le cas, le ou la médecin peut accéder au réseau pour travailler en ligne et échanger d’autres informations avec, par exemple, le système de prescriptions électroniques (Recip-e).

“La philosophie du système, c’est que des millions de données de santé sont éparpillées dans le pays et que ça peut avoir un sens de les interconnecter”, résume François Perl, directeur du Pôle acteur social et citoyen de la mutualité socialiste Solidaris. En 2008, il a participé à la création de la première mouture de la plateforme eHealth, calquée sur le modèle de la Banque carrefour de sécurité sociale (BCSS).

Le système vise à mieux soigner les gens, simplifier l’administration et le parcours administratif des patient·es, automatiser les accès aux droits et allocations, diminuer les coûts des soins de santé, accéder aux informations où qu’on se fasse soigner. Dès lors, reprend François Perl, “l’augmentation des flux, en termes de services, est un bon signe pour le patient”.

Problématiques, ces 19,6 milliards de transactions numériques ? “Pas tant que cela”, déclare Hubert Petre de Charta 21, association de défense des droits fondamentaux et de protection de la vie privée. “Le problème n’est pas tant le nombre de données collectées, mais plutôt la façon dont elles sont traitées. La gestion des données personnelles n’est pas une question de quantité, mais de qualité et surtout, de gouvernance.”

Que se passe-t-il depuis 2015 pour que les transactions numériques augmentent autant au sein du monde numérique de la santé ?

Et bien, l’informatisation des cabinets médicaux a vraiment décollé à partir de cette année-là, explique Bernard Bolle. Chef de projet technique au Collège intermutualiste, il maîtrise les flux qui concernent les mutualités : factures venant des hôpitaux, des pharmacies, remboursement de soins, etc.

“Depuis 2018, les généralistes peuvent envoyer les attestations de soins aux mutuelles par voie électronique, via leurs logiciels. Les patient·es sont alors remboursé·es dans les trois jours. Les généralistes peuvent aussi consulter des données : est-ce que la personne est assurée ? Est-ce un·e bénéficiaire de l’intervention majorée (BIM) ? Cette personne est-elle dans un trajet de soin diabète ? Etc. Ces flux viennent des mutuelles, avec des niveaux de sécurité et des données encryptées.” Des mutuelles aux médecins, les flux passent par la plateforme eHealth.

Des primes conséquentes

Pour inciter les médecins généralistes à participer au système numérique de santé, la Belgique prévoit notamment différents types de primes pour cette catégorie professionnelle. “Il y a des primes conséquentes, parfois plusieurs milliers d’euros par an, indique Bernard Bolle. Les primes pour les généralistes dépendent de certains critères. Il faut par exemple qu’ils encodent électroniquement un certain pourcentage de leurs attestations.”

Même chose pour le dossier médical global : les médecins généralistes touchent une compensation financière lorsque leurs patient·es ouvrent un DMG chez eux. Et à l’inverse, les patient·es qui ont un DMG bénéficient d’une réduction lors d’une consultation chez le ou la généraliste.

Globalement, Bernard Bolle constate que “la mayonnaise a bien pris” du côté des généralistes. En 2022, l’objectif est de connecter les kinésithérapeutes au réseau.

De juin à décembre 2021, Médor a fait tourner un questionnaire auprès d’un maximum de médecins généralistes et spécialistes. Nous avons reçu 207 réponses, parmi lesquelles le témoignage de cette médecin en maison médicale :

“Le partage de données a facilité notre pratique. Ma patientèle est très précarisée et souvent, je n’arrive pas à me faire expliquer ce qu’on a dit aux patients à l’hôpital. L’accès aux anciens rapports est donc essentiel. Je ne dois plus jamais appeler un service à l’hôpital pour demander si mon patient était bien hospitalisé chez eux et pour les supplier de m’envoyer leur rapport… Mais en même temps, j’aperçois gros comme un camion toutes les dérives que cela risque d’amener dans le futur et cela me pose beaucoup de questions.”

Des 207 réponses, nous tirons notamment les trois constats suivants :

• 71 % des répondant·es estiment qu’il y a un risque important au niveau du partage de données de santé en Belgique ;
• Leur niveau d’information sur la circulation des données de santé est plutôt faible ;
• Leur niveau de confiance est mitigé à l’égard des plateformes de santé.

Les médecins savent ce qu’ils font - à leur échelle et avec leur déontologie - des données de leur patientèle. Mais pour le reste, qu’advient-il exactement des données de santé ?

Une question nous est revenue à plusieurs reprises via le questionnaire Médor  : comment les mutualités ont-elles pu dresser la liste des Belges en état de comorbidité Covid, pour que ces personnes reçoivent des invitations prioritaires à la vaccination ?

“C’était extrêmement facile, répond spontanément François Perl (Solidaris). C’était une recherche assez large parce qu’on a peu de données médicales en tant que tel. On a développé un algorithme pour retrouver les personnes qui se sont fait prescrire dans les six mois un médicament contre l’hypertension, par exemple. On a trouvé ces informations sans manipuler la moindre donnée médicale, uniquement avec des données de facturation. Effectivement, d’une certaine façon, ce sont des données médicales… Puisqu’on peut déduire de la facturation d’un médicament qu’une personne souffre d’hypertension. Mais ça ne nous donne pas le degré de sévérité de sa maladie.”

Le potentiel derrière les données

Les mutuelles ont donc déduit un état de santé d’une donnée personnelle d’ordre administratif. C’est un exemple du potentiel derrière les données qui sont stockées du côté des mutuelles, même si François Perl précise que “nous ne faisons aucune exploitation systématique des données dont nous disposons. Nous les stockons purement à des fins administratives. Si on veut faire des études, on fait de l’extraction et des analyses avec des données anonymisées.”

Autre scénario, du côté des assureurs cette fois. Les lignes sont en train de bouger. Tout récemment, on apprenait que des compagnies d’assurance souhaitent avoir accès à des données de santé sans s’encombrer du consentement du patient. Un avant-projet de loi est sur la table au fédéral. Le partage de données est motivé par une “mission d’intérêt public”.

Vaste question. Deux scénarios.

Scénario numéro 1  : pour les échanges de données de santé nominatives (identifiables, privées) entre prestataires de soins avec lesquel·les j’entretiens un lien thérapeutique, oui, j’ai quelque chose à dire. C’est le principe du consentement éclairéeHealth.

Aujourd’hui, 9,5 millions de Belges ont donné leur consentement eHealth pour que leurs différents médecins puissent s’échanger leurs données personnelles, accéder à des informations disponibles chez des consoeurs et confrères, et leur en partager. 9,5 millions : autrement dit presque tout le monde, et souvent sans qu’on se souvienne du jour où l’on a donné son accord.

Scénario numéro 2  : pour les traitements de données de santé “macro”, à large échelle, les patient·es n’ont pas d’emprise. Exemples : lorsque les mutuelles repèrent les patient·es en comorbidité Covid ; lorsqu’on est repris·e dans le Registre du cancer ; lorsqu’on fait partie de l’Échantillon permanent (EPS) qui concerne environ 300 000 Belges.

Dès qu’il s’agit d’intérêt général, de gestion publique, de recherche scientifique ou statistique, de grosses quantités de données…, le débat se passe ailleurs. Actuellement, les autorisations (ou les refus) pour ces traitements de données émanent du CSI (comité de sécurité de l’information). En cas de feu vert, les données transitent ensuite de façon sécurisée par la plateforme eHealth.

Un organe décisionnel contesté

Le CSI est un organe décisionnel qui pose question. Sa chambre "sécurité sociale et santé” est actuellement composé de 6 personnes (seulement) nommées par le Parlement fédéral (il y a bien longtemps). Leurs profils sont plus médicaux que juridiques. Le CSI doit trancher sur beaucoup de points : le traitement de données est-il légal ? Sécurisé ? Conforme au RGPD ? Proportionnel ? Frank Robben, patron de eHealth, assiste apparemment aux réunions du CSI.

Alexandra Jaspar, ex-directrice de l’Autorité de protection des données, ne s’en cachait pas en septembre 2021 dans un article publié par Médor  : pour elle, le CSI est un organe “qui contourne le Parlement”. “Le CSI ne peut pas autoriser des traitements de données à caractère personnel, nous disait-elle. C’est au Parlement de prendre ce genre de décisions, pas au comité de sécurité de l’information.” Selon elle, les délibérations du CSI n’ont carrément pas de valeur légale.

Voici le genre de cas auquel les six membres du CSI sont confronté·es :

“Les mutuelles possèdent des informations sur le diabète, via leurs consultations d’assurabilité. L’INAMI estime que tel secteur professionnel (pharmacie/dentiste/etc) doit pouvoir consulter ces données sur le diabète. Mutuelles et INAMI rédigent ensemble un document qui décrit la finalité de chacune des données utilisées. Et puis la demande passe devant le CSI”, séquence Bernard Bolle (collège intermutualiste).

Les autorisations délivrées par le CSI sont publiques. Courage, si vous cliquez sur ce lien. Vous serez directement transporté·e dans un labyrinthe, une suite infinie de pages web et de documents PDF très mal référencés. Le 21 janvier 2022, 889 résultats étaient disponibles, classés par ordre de modification.

Pour le moment, nous explique-t-on à différentes sources, la Belgique est dans une dynamique d’interconnexion des données de santé. “Tout ce qu’on a, on veut l’interconnecter, le stocker, faire des liens entre des données parce qu’un jour, ça pourra servir”, nous explique une juriste en protection des données. “Le terme de centralisation n’est donc effectivement pas juste, parce qu’on crée des autoroutes entre des entités différentes. Seulement, ces autoroutes sont imaginées par des institutions qui sont juges et parties.”

François Perl (Solidaris) fait également la distinction entre les interconnexions et la centralisation de données. "Plus il y a de connexions, moins il y a de risques, dit-il, puisqu’on connecte des données, plutôt qu’on ne les centralise”.

Le dossier patient global : point de bascule

“C’est un projet qui fait fantasmer beaucoup de gens. Il y a un engagement à se lancer dans des recherches à ce sujet. Les hôpitaux sont probablement demandeurs, dans un souci d’efficacité. Dans un système interconnecté, il faut avoir le consentement éclairé du patient pour accéder à ses données. Pour nous, poursuit François Perl, le dossier patient global (qui centraliserait les informations, ndlr) est donc un point de bascule, qui sera difficile à négocier au niveau de la vie privée.”

Tant qu’on est dans une dynamique d’interconnexion, tout va bien ? À condition que les données soient bien utilisées pour la raison qui a motivé leur collecte, nous répond-on de toutes parts. Autrement dit : il faut à tout prix éviter les détournements de finalités. Autre point d’attention souligné par plusieurs sources : les données servent-elles à octroyer des droits ou à en retirer ? Sont-elles utilisées au bénéfice ou au détriment des citoyen·nes  ? (Lire aussi notre article relatif à la longue route des personnes séropositives contre les discriminations).

“Il ne faut jamais se baser uniquement sur les intentions ou les affirmations exprimées par des dirigeants au moment d’une récolte de données, analyse Nathan Genicot (chercheur en philosophie du droit à l’ULB). C’est un appel à la prudence. Je ne dis pas qu’ils sont de mauvaise foi, mais une fois que des données sont là ou que des dispositifs existent, on ne sait jamais l’utilisation qui en sera faite par la suite. Il faut des balises, techniques et juridiques, pour veiller aux utilisations futures de données.”

Interrogé à ce sujet, Frank Robben répond que la plateforme eHealth, son comité de gestion et le comité de sécurité de l’information veillent justement à ce que les détournements de finalités n’adviennent pas. Et concernant le risque de centralisation de données de santé, il ajoute : "L’État ne dispose presque pas de données de santé. Il n’y a pas de base de données centrale, décrivant l’état de santé de chaque personne. Je trouve que ce n’est pas nécessaire et que ce ne serait pas correct.”

La crise sanitaire change cependant la donne. Le suivi de la pandémie se fait de façon nationale, avec la création de nouveaux outils et l’apparition de nouvelles données (tracing, PLF, CST, Coronalert, vaccination, PCR…), le tout adopté dans une certaine urgence. Certaines données de santé sont désormais centralisées (la vaccination et les résultats PCR, pour sûr).

“Il y a effectivement un nombre limité de bases de données nationales de santé, ça c’est vrai, mais elles sont à chaque fois réglementées par une loi ou un accord de coopération, indique Frank Robben. Tous les résultats des tests PCR se trouvent ainsi chez Sciensano. On peut les utiliser pour faire du contact tracing. On peut les utiliser pour faire des certificats de rétablissement. On peut les utiliser pour vérifier que quelqu’un a bien fait sa quarantaine. Et toutes ces finalités sont décrites dans l’accord de coopération du mois d’août 2020.”

A nouveau, Frank Robben rappelle le rôle du comité de gestion de la plateforme eHealth et du Parlement fédéral qui, par l’intermédiaire du CSI, “déterminent dans quelle situation les échanges sont nécessaires, en vue de finalités légitimes, et avec quels contrôles de sécurité”.

Peut-on le croire ?

Un cas concret que nous avons largement creusé chez Médor, en septembre 2021, est le croisement de données ONSS x VaccinNet+. Une nouveauté de l’été 2021. Depuis lors, il est autorisé de croiser dans certaines circonstances des données de l’ONSS sur les employé·es (qui travaille où ?) avec le statut vaccinal de ces personnes. Ce croisement est autorisé par le CSI pour connaître le taux vaccinal d’un secteur professionnel en particulier (et notamment celui des hôpitaux). Aux yeux du CSI, toutes les conditions sont remplies pour effectuer ce croisement de données sensibles. L’Autorité de protection des données (APD) n’avait, à l’époque, pas été consultée pour donner son avis. C’est pourtant son champ d’expertise.

Depuis huit mois, une procédure d’infraction au RGPD plane au-dessus de la tête de l’État belge. Émise par la Commission européenne, cette procédure souligne le manque d’indépendance de l’Autorité de protection des données. L’APD doit contrôler si les autorités publiques (et les firmes privées) respectent le RGPD, mais vu les multiples casquettes de certains de ses membres (Frank Robben et Bart Preneel, pour sûr), l’APD serait incapable de contrôler correctement l’Etat.

Le cas de Frank Robben pose surtout problème. Arrivé au Centre de connaissances de l’APD en 2018, nommé par le Parlement fédéral sur candidature (5 pages de vision technico-politique), il est depuis lors présent d’un bout à l’autre de la chaîne de gestion des données de santé. Tout au long de notre enquête, certain·es nous ont déclaré reconnaître sa patte dans des projets de loi du ministre de la Santé Frank Vandenbroucke, dans les délibérations du CSI ou encore, et cette fois assez logiquement, dans les solutions techniques conçues pour gonfler le système numérique de santé, ou en colmater les brèches.

"Ma valeur ajoutée au sein de l’APD…"

“Non,je ne pense pas que l’APD soit dysfonctionnelle”, nous répondait Frank Robben le 17 janvier dernier. Il affirme qu’il ne voit pas de problème à sa présence au Centre de connaissances de l’APD puisqu’il affirme ne pas y siéger lors des réunions qui touchent à ses secteurs d’activité (le social et la santé). (D’autres vous diront qu’il faut plutôt le pousser hors pour ces réunions.)

"Ma valeur ajoutée au sein de l’APD est mon esprit multidisciplinaire et ma capacité à trouver des équilibres entre les droits fondamentaux, avec des garanties structurelles", poursuit celui dont tout le monde parle. Frank Robben demande : “Pensez-vous que le gouvernement puisse appeler l’APD pour se mettre ensemble autour de la table lorsqu’il faut réfléchir à des bons critères de sécurité pour des systèmes informatiques ? Certaines personnes au sein de l’APD pensent que non, sinon l’APD perd son indépendance. D’autres personnes pensent qu’on peut le faire, si l’objectif est d’arriver à une solution correcte, sans empêcher l’APD d’émettre par la suite des avis en âme et conscience. C’est un choix sociétal et un débat qui mérite d’être porté au Parlement.”

On devine l’option préférée par le patron la plateforme eHealth, CEO de la Smals, collaborateur privilégiée du ministre de la Santé Frank Vandenbroucke et informaticien pour l’Etat belge depuis 1990.

Interrogé sur la présence de Frank Robben au Centre de connaissance de l’APD et sur la procédure d’infraction au RGPD adressée par la Commission européenne, Mathieu Michel, secrétaire d’Etat à la protection de la vie privée, nous répond ceci :

"Ma lecture est que Frank Robben est dans une situation d’incompatibilité. Il doit démissionner ou le Parlement doit le démettre de sa fonction au Centre de connaissances de l’APD."

Il précise : “Le Parlement a autorité sur l’APD, c’est donc à lui de démettre (ou non) les deux membres de l’APD visés par le problème d’incompatibilité. La genèse de cette situation d’incompatibilité remonte à 2018, lorsque le Parlement l’a mis à ce poste. Et l’application de la loi qui a été faite par le Parlement à ce moment-là me semble erronée.”

L’Autorité de protection des données est-elle défaillante ? “L’APD doit se muscler, estime-il. Elle n’est pas encore assez solide.” Mais le problème dépasse Frank Robben, tient à préciser Mathieu Michel, qui prépare une nouvelle loi sur l’Autorité de protection des données. Le secrétaire d’Etat rappelle le rapport accablant la Cour des comptes envoyé à la Chambre en juin 2021, qui s’ajoute à la procédure d’infraction au RGPD ouverte par la Commission européenne à l’encontre de la Belgique.

C’est une autre facette du vaste chantier de la gestion publique des données de santé, mais c’est une facette que nous avons peu explorée.

Notons simplement que si nos interlocuteur·rices se montrent rassurant·es quant aux échanges sécurités d’informations entre les hôpitaux et les universités (pour des demandes de recherches, par exemple), leur réaction suivante est de citer les attaques informatiques subies par certains hôpitaux (Tournai, Saint-Luc Bouge). “Lorsque ça arrive, l’hôpital doit parfois aller jusqu’à se déconnecter du monde extérieur. Plus de connexion internet, rester en vase clos plusieurs jours, retirer les équipements piratés et, éventuellement, ne plus accepter pendant un temps de patient·es en urgence”, décrit le DPO des cliniques universitaires Saint-Luc, Géry Mollers.

“Techniquement, le pays est nul”

Si on élargit la question des compétences techniques aux autorités publiques, Hubert Petre (Charta 21) est catégorique. “Le pays est nul. Il y a des incompétences crasses au niveau technologiques. Il y a plein d’exemples.”

Il cite l’affaire Bruvax, du nom de l’application bruxelloise pour prendre un rendez-vous et se faire vacciner contre le Covid. La première version de l’application était techniquement défaillante : on pouvait déduire le statut vaccinal d’un individu en encodant simplement son numéro de registre national et son code postal dans l’application.

“Une fois que Charta 21 a pointé ce problème, les autorités bruxelloises ont augmenté le niveau de sécurité pour que l’application devienne acceptable, rappelle Hubert Petre. On les a donc forcées à augmenter le niveau de sécurité de l’application. Ça démontre que d’un point de vue technologique, il y avait un gros souci.”

Et avant toute chose, qu’est-ce qu’une datacratie  ?

Il s’agit d’un monde “régi par le pouvoir des algorithmes et des logiciels qu’ils animent, entraînant de multiples bouleversements des systèmes décisionnels, du système normatif et de la conception même de la citoyenneté politique”, écrit Vincent Calay dans le (très dense et très complet) Cahier des prospectives de l’IWEPS publié en juillet 2021.

En datacratie, le pouvoir des algorithmes est absolu, il ne peut pas être contesté, il devient même incompris puisque des algorithmes génèrent eux-mêmes d’autres algorithmes, qui échappent au contrôle humain. En datacratie, les données sont omniprésentes et les humains sont pris en considération à travers l’analyse de leurs "jumeaux numériques".

Est-ce vers cela que tend la Belgique, comme toute sociétés de plus en plus numérisées ?

Plusieurs de nos interlocuteur·ices se posent la question. À ce stade, ce qui les perturbe surtout est le manque de transparence sur les algorithmes déjà utilisés en Belgique, leur fonctionnement et leurs raisons d’être. Commentaire entendu chez une personne qui est amenée à consulter fréquemment des projets de gestion de données : “Je suis incapable de dire ce que l’on met dans la moulinette et à quelles fins. Il n’y a aucune transparence.”

Réduire les citoyen·nes à un profil unique

Pour le moment, selon Vincent Calay de l’IWEPS, la datacratie est un scénario dystopique pour la Belgique. Par contre, écrit-il, le profilage des citoyen·nes (dans le sens : réduction à un profil spécifique) est de l’ordre du réel.

Il fait ici référence à la gestion politique de la crise sanitaire. Page 39 du Cahier des prospectives  : “Des données personnelles de santé ont été exploitées par les administrations des Etats et/ou par des opérateurs privés pour développer des outils d’aide à la décision performants. (…) Dans ce mouvement s’est opérée une réduction radicale des citoyens à un profil particulier, celui de porteur potentiel d’un virus. Tout effort politique, administratif et technique s’est focalisé sur la gestion de cet état, tributaire de “profils” établis par des logiciels informatiques des prestataires de services des gouvernements.”

Autrement dit, lors de la crise sanitaire, une donnée de santé a pris le pas sur toutes les autres : celle de savoir si l’on est, ou non, porteur·se du virus. Réduire l’individu à une seule information (ou à quelques données uniquement) s’appelle du réductionnisme numérique de la citoyenneté, poursuit le cahier de l’IWEPS. Et cette approche est l’une des facettes de la datacratie.