Open data en santé : enjeux et débat | MU 21.01.2016

Avec Geoffrey Delcroix, chargé d’études innovation et prospective à la CNIL, et Jonathan Keller, juriste de La Paillasse

Epidemium
Epidemium
Jan 20, 2017 · 18 min read

Trois questions à…

… Geoffrey Delcroix

Open data et protection des données personnelles sont-elles des notions qui s’opposent ?

GD : L’ouverture des données et la protection des données personnelles peuvent paraitre de prime abord des notions opposées en effet. En réalité, elles ont toujours évoluées en parallèle, croissant cote à cote, même en droit : la loi créant la CNIL date de 1978, tout comme celle instaurant l’accès aux document administratifs et la CADA. La CNIL n’a pas pour mission de protéger les données, mais les droits des personnes : l’ouverture n’est pas en soi un problème, mais elle doit se faire dans le respect des droits des personnes lorsqu’il s’agit de données initiales concernant des personnes directement ou indirectement identifiées ou identifiables.

Dans le domaine de la santé, les données sont considérées comme sensibles. Comment cette notion évolue-t-elle ?

GD : Les données de santé sont considérées comme particulièrement sensibles en France (depuis la loi de 78), en Europe mais aussi ailleurs (dont aux États-Unis). Les données de santé font l’objet d’une protection accrue. Mais la frontière de ce qui est / n’est pas une donnée de santé est rendue plus floue par l’émergence de catégories “la marge”, comme les données de bien-être ou les données captées au plus près du corps, comme nous l’avons évoqué en 2014 dans notre cahier Innovation & Prospective “Le corps, nouvel objet connecté”. Des données très anodines, issues de capteurs par exemple, peuvent avoir une grande valeur. Elles peuvent être très utiles à la recherche, mais elles peuvent aussi permettre d’inférer des éléments sur l’état de santé actuel ou futur de la personne. Dans ces domaines, nous nous intéressons beaucoup aux initiatives qui tentent de faire en sorte d’obtenir des données auprès de volontaires actifs, très engagés.

Comment la CNIL aborde-t-elle les questions des projets de recherche collaborative ?

GD : C’est un élément assez nouveau pour la CNIL. Mais dialoguer avec des chercheurs, surtout dans le domaine de la santé, est une activité quotidienne de la Commission. Les démarches sont certes parfois jugées lourdes, mais elles aident les chercheurs à ne pas prendre de risques éthiques et juridiques inutiles. Les démarches de recherche collaborative sont très innovantes, et c’est pour cela que l’équipe Innovation & prospective de la CNIL s’intéresse beaucoup à des projets comme Epidemium. C’est en échangeant dans le cadre de projets de ce genre que nous saurons développer un accompagnement adapté à ces projets.

Quels sont les enjeux de l’open et en matière de données de santé ?

JK: L’open data était initialement destiné à inclure les citoyens dans la vie politique. Cette inclusion s’est progressivement étendue à tous les secteurs publics. L’objectif de l’open data est de transposer les principes du logiciel ouvert aux données, c’est-à-dire concrètement d’abolir le monopole des droits patrimoniaux du droit d’auteur. Toutefois, les dispositions relatives aux données personnelles ont toujours considéré que les données de santé étaient des données sensibles.

Quels risques pose l’ouverture des données de santé ?

JK : Les données personnelles de santé sont soumises à une législation importante. De nombreux auteurs assimilent, à raison, cette régulation à un traumatisme de la Seconde Guerre mondiale. Les travaux parlementaires relatifs à la médecine personnalisée en font régulièrement état. Le risque avéré est celui de la menace d’une discrimination basée sur les attributs de la personne, et non basées sur ses qualités. Les législateurs européens et français craignent, par exemple, qu’une personne ayant une tare génétique, ou une maladie vénérienne, puisse être stigmatisée ou discriminée pour cette raison. Mais aussi, la crainte de voir une discrimination sur la santé existe. Ainsi plus concrètement, il serait possible pour un assureur accédant aux données de santé d’un individu de refuser de l’assurer au regard de l’historique médicale de cet individu, ou pis, de celui de ses ascendants.

Quel intérêt y a-t-il à ouvrir des données de santé ?

JK : L’intérêt de l’ouverture des données de santé est évident sur plusieurs points. D’un point de vue purement citoyen, il offre la possibilité de mettre en corrélation différents jeux de données permettant ainsi l’appréciation de tendances. Ces tendances permettront de définir des corrélations entre des mesures sociétales et l’impact sur la santé. Ces corrélations renvoient au point de vue scientifique, puisque médecins et data scientists pourront à la vue de celles-ci déterminer leur existence et leur impact tout en bénéficiant des bienfaits du crowdsourcing, c’est-à-dire une source inépuisable de sérendipité.


Compte rendu

Jonathan Keller, juriste de La Paillasse, spécialiste des questions d’open data

  • les données d’intérêt général : données qui seraient mises à disposition par le délégataire de service public ; les données privées d’entreprises privées qui sont sous contrat de délégation de service public avec l’État, seront nationalisées.
  • Un droit de propriété intellectuelle et don un droit de monétiser ces données et bases de données.

Geoffrey Delcroix, chargé d’études innovation et prospective à la CNIL

Comment faire pour construire une approche éthique des données ouvertes dans le cadre de la recherche collaborative ?

  • 1995 : directive européenne sur la protection des données personnelles
  • 2004 : loi qui transpose cette directive dans le droit français
  • Aujourd’hui : négociation autour d’un règlement européen sur les données personnelles. Un texte de consensus vient d’être adopté entre les institutions européennes, son adoption définitive se fera probablement en mars puis il y aura environ deux ans de délai de mise en application.
  • Création de droits nouveaux pour les individus, en particulier le droit à la portabilité : créer un droit de récupération et potentiellement de réutilisation des données fournies par une personne à un service ;
  • Pour les entreprises, allègement des obligations de formalités, approche de conformité (“compliance”) ;
  • Pouvoirs de sanction accrus pour la CNIL (au niveau national, un amendement augmentant les pouvoirs de sanction vient d’être voté dans le cadre de la première lecture à l’Assemblée Nationale de la loi dite “Lemaire”).
  • Proportionnalité et pertinence
  • Durée de conservation
  • Sécurité et confidentialité
  • Droits des personnes (accès à l’information, rectification, suppression…)

La CNIL et l’innovation :

Opposer innovation et protection des droits n’est pas un discours convaincant. L’objectif de la CNIL n’est pas d’empêcher l’innovation mais de l’accompagner.

Open data et protection des données personnelles :

On peut considérer que ce sont deux notions a priori contradictoires : d’un côté, un mouvement qui pousse à l’ouverture la plus large possible des données et de l’autre un droit qui essaye de restreindre le fait que les données soient non contrôlées.

Données de santé, données sensibles :

Les données de santé sont considérées dès 1978 comme faisant partie des catégories de données particulièrement sensibles car elles peuvent porter atteinte plus fortement aux droits et libertés des personnes. D’où un régime juridique plus strict et plus dense dans ce domaine.

La recherche collaborative :

Les questions de recherche en santé publique représentent une part de l’activité énorme de la CNIL. Il y a mille demandes d’autorisation de recherche dans le domaine de la santé par an. Or on sait peut-être moins bien traiter des demandes qui ne sont pas portées par des organismes de recherche traditionnels, dans un contexte traditionnel. Il faut s’adapter.


Échange avec le public

Illustration : Barbara Govin

Public : Le problème ce n’est pas la donnée c’est l’usage, ce serait donc mieux de pouvoir surveiller l’usage ?

GD&JK : Il n’y a pas vraiment cette distinction en droit : la Loi de 1978 concerne la collecte et les traitements de données, pas la donnée en tant que tel. On ne définit pas les données en tant qu’élément du patrimoine, c’est vraiment un droit qui concerne le droit des personnes et c’est donc l’usage qui prime. Et le principe essentiel est d’ailleurs celui de la finalité, ce qui montre bien que nous sommes depuis toujours sur le contrôle des usages.

  • Or, dans beaucoup de cas, on n’est pas vraiment dans l’open data mais dans le “more open data” : on essaye d’ouvrir d’avantage des données dont l’accès est encore limité. Trouver quelque chose pour ouvrir plus des données qui ne le sont pas encore. Et dans ce cas, on n’est pas obligé d’avoir des exigences aussi lourdes (par exemple l’anonymisation).

Public : A propos de l’algorithme qu’on applique pour qualifier les données sensibles. Est-ce qu’on contrôle le travail de prospection fait par les chercheurs pour qualifier les données ?

GD&JK : La qualification des données sensibles ou non est inscrite dans la loi, où il est écrit par exemple que les données de santé, d’appartenance politique, etc. sont des données sensibles.

Public : Justement, un algorithme ne permettrait-il pas de garantir l’anonymisation en termes de probabilité ?

GD&JK : Publication il y a un an de l’avis du G29 sur les techniques d’anonymisation. Il y a trois critères sur lesquels ils se sont accordés pour qualifier la sensibilité des données. Si les trois critères sont réunis, alors les données ont été anonymisées, sinon il faut pousser la réflexion, par exemple avec une analyse de risque.

Public : Combien recevez-vous de plaintes de personnes qui jugent qu’il y a une utilisation abusive de leur données de santé par an ? Avez-vous un ordre de grandeur de comparaison avec les États-Unis ?

GD&JK : On n’a pas les chiffres en tête, il faudrait regarder dans le rapport annuel (Le Rapport d’activité 2014 de la CNIL indique 5800 plaintes en 2014. A priori la santé compte pour moins de 5% des plaintes.)

Public : Vous avez parlé d’un laboratoire à l’intérieur de la CNIL, peut-on avoir des exemples des travaux ?

GD&JK : Tout d’abord, il y a une volonté d’avoir une plateforme en interne pour pouvoir faire des analyses techniques plus poussées qu’avec des outils normaux. Le “laboratoire” est un projet porté par l’équipe innovation et prospective et par le Service de l’expertise technologique d’une dizaine de personnes.

  • CookieViz : développer un outil mis à disposition du public permettant de visualiser en temps réel les trackers de navigation. C’est la première fois que la CNIL développe un outil disponible au téléchargement, en plus sous licence de logiciel libre ⇒ +100 000 téléchargements, cela montre un réel appétit des citoyens pour savoir ce qu’il se passe.

EPIDEMIUM

Inclusive and community-based open science program dedicated to cancer research through data challenges

Epidemium

Written by

Epidemium

Exploring New Paths to Cancer Research with Epidemium: a data challenge oriented and community-based open science program #Open #Data #Science

EPIDEMIUM

EPIDEMIUM

Inclusive and community-based open science program dedicated to cancer research through data challenges