Tout le monde dans le secteur de la santé est-il prêt au niveau du RGPD ?

MAGGIE DE BLOCK : Tant la Santé publique que les Affaires sociales traitent de très nombreuses données. Le SPF Santé publique, l'INAMI et divers autres services ont collaboré pour mettre en place le RGPD. Des scénarios ont été déroulés et des ateliers mis sur pied. De même, les échanges d'informations avec d'autres acteurs comme le Conseil national des Etablissements hospitaliers ont été prévus. Et au niveau des hôpitaux également, il était nécessaire et/ou possible d'adapter leurs systèmes existants.

Mais il ne s'agira pas d'un big bang, plutôt d'un mieux pour le patient qui se verra garantir la sécurité et la protection de sa vie privée. Surtout par rapport à des pays qui ne sont pas aussi avancés.

La situation était-elle différente auparavant ?

MAGGIE DE BLOCK : Aujourd'hui, vous avez la preuve de qui consulte un dossier. Lorsque je travaillais encore comme médecin, les dossiers papier se trouvaient derrière le comptoir d'accueil de l'hôpital ou le dans le bureau du praticien. Parfois, certains se perdaient ou étaient parfois remis au patient ou à une personne qui l'accompagnait. Les gens pouvaient sans problème consulter les dossiers, voire en retirer des éléments. Aujourd'hui, cela n'est plus du tout possible.

PHILIPPE DE BACKER : A ce niveau, le RGPD représente une opportunité. Grâce à des systèmes IT adaptés, il est possible d'interdire l'accès aux personnes non autorisées et de savoir qui consulte et/ou modifie une pièce. Et si le règlement n'est pas respecté, des sanctions sont prévues. Telle est pour moi la force du RGPD. Autrefois, il fallait aller en justice, alors qu'il existe désormais des sanctions administratives.

Existe-t-il dans les hôpitaux un principe de type 'Brisez la glace' pour permettre à quelqu'un d'accéder à un dossier médical en cas d'urgence ?

MAGGIE DE BLOCK : C'est prévu dans les cas d'urgence, mais le médecin traitant et la direction médicale doivent en être informés.

PHILIPPE DE BACKER : En cas de situation de danger de mort, il est toujours possible de recourir à la notion d'intérêt légitime.

Applis de santé

Un contrôle proactif est-il exercé dans le secteur par rapport à ce nouveau règlement ? Par exemple au niveau des applis grand public sur smartphone pour mesurer la pression artérielle ou le rythme cardiaque ?

MAGGIE DE BLOCK : Pour de telles applications de m-Health, nous développons pour l'instant une pyramide de validation prévoyant 3 niveaux. Les médecins pourront conseiller des applis de chacun de ces 3 niveaux. Pour accéder au niveau le plus bas, une appli devra avoir un marquage CE [conforme à la réglementation européenne, NDLR]. Le développeur devra soumettre une déclaration que son appli est conforme au RGPD.

Le deuxième niveau prévoit une plus-value pour le patient et le suivi de sa santé. Les applis de ce niveau pourront également échanger des données avec nos autres applis d'e-santé. Par ailleurs, des tests de conformité sont prévus. Et si une appli répond à ces exigences, elle recevra le cachet de 2e niveau.

Enfin, le niveau le plus élevé est réservé aux applis dont il est prouvé que leur utilisation génère des bénéfices économiques en termes de santé. Celles-ci devront évidemment aussi satisfaire à l'ensemble des conditions des 2 niveaux inférieurs.

Quid si je développe demain une appli sans me soucier de ces règles ?

MAGGIE DE BLOCK : Votre appli ne sera pas reprise dans la pyramide.

Reste que je pourrais convaincre quelques centaines de citoyens de l'utiliser quand même. Un contrôle sera-t-il exercé ?

MAGGIE DE BLOCK : Il est pratiquement impossible d'empêcher une telle situation. Beaucoup d'applis viennent également de l'étranger. Le principal est que, grâce à cette pyramide, les prestataires de soins sachent quelle appli ils peuvent conseiller ou prescrire sans crainte.

PHILIPPE DE BACKER : Au-delà de la pyramide de décision, un contrôle général est toutefois possible. Au sein de l'Autorité de protection des données, le successeur de la Commission Vie privée, un service d'inspection verra le jour pour effectuer des audits auprès d'organisations ainsi que des contrôles de leur propre initiative. Et en fonction de leurs enquêtes, des sanctions sont possibles.

Les hôpitaux qui ont choisi des logiciels spécifiques les utilisent depuis des décennies déjà. N'est-ce pas dès lors délicat lorsqu'un tel éditeur part à la faute ? Il est impossible de l'exclure tout simplement.

MAGGIE DE BLOCK : Mais ils peuvent corriger leur logiciel. Il ne faut pas jeter le bébé avec l'eau du bain.

PHILIPPE DE BACKER : Le système entend obliger les organisations à se mettre le plus rapidement possible en règle. Mais l'objectif n'est pas de mettre autant d'amendes que possible et de faire rentrer de l'argent. Il convient de remédier le plus vite possible au problème et de communiquer de manière claire et transparente. L'Autorité de protection des données peut également interdire d'utiliser certaines données aussi longtemps que le problème n'est pas résolu.

Big data

Au Royaume-Uni, le NHS, les soins de santé britanniques, a conclu un accord avec Google sur les données de 6 millions de Britanniques. Est-ce également possible dans notre pays.

MAGGIE DE BLOCK : Non. Certainement pas avec Google et globalement pas sur des dossiers de patients personnels. Ce qui est en revanche possible, c'est d'utiliser des données anonymisées comme big data pour des analyses. Celles-ci peuvent par exemple être transmises à l'industrie pharmaceutique, naturellement aussi dans le cadre de conditions strictes. Le pacte avec le secteur pharma conclu voici 3 ans le permet, mais uniquement avec une anonymisation totale.

PHILIPPE DE BACKER : L'on connaît la technologie d'aujourd'hui, mais pas celle de demain. Donc si nous l'autorisons, il faut prévoir des conditions strictement contrôlées : anonymisation et finalité claire dans le cadre de recherches ou d'un contrôle qualité. Communiquer simplement des données de patients est non négociable, illégal selon le RGPD et non éthique. Le pacte précise que les données ne sont accessibles que pour des recherches très spécifiques et dans des conditions très précises.

Comment cela va-t-il se passer en pratique ? Des algorithmes doivent pouvoir être utilisés et je suppose donc qu'ils ne vont pas venir à votre cabinet avec un laptop ?

MAGGIE DE BLOCK : Les parties concernées ont bâti des infrastructures pour pouvoir exploiter les informations auxquelles elles ont accès. Pour certains projets, un lien est établi, mais il ne s'agit pas d'une ligne ouverte qui permette d'utiliser les données à n'importe quelle fin. Les organisations sont elles-mêmes demandeuses et ne veulent pas s'exposer à des plaintes ou créer des problèmes. Il existe une entente mutuelle sur l'utilisation correcte et respectueuse des données, chacun étant prêt à prendre ses responsabilités.

Où en sont les projets d'utilisation des big data dans les soins de santé en Belgique ?

MAGGIE DE BLOCK : Nous avons lancé l'initiative 'Data for better health'. Plusieurs projets pilotes vont être mis en place, comme nous l'avons fait précédemment avec la santé mobile. Ce faisant, nous pourrons accumuler de l'expérience pratique avant de définir ensuite les cadres adéquats.

Quel est l'objectif final dans ce domaine ?

MAGGIE DE BLOCK : Offrir de meilleurs soins au patient. Si nous disposons de données sur de plus grands groupes de patients, nous pourrons voir où et comment une pathologie rare se développe et comment les modèles se développent dans le matériel génétique.

Nous parlons donc de l'ADN ?

PHILIPPE DE BACKER : Pour offrir une médecine plus personnalisée, il est nécessaire de disposer de données personnelles. Certes, nous devons alors formuler avec précision les conditions de transparence et d'autorisation du patient afin de fonctionner dans un cadre strict. L'évolution vers une médecine personnalisée offre incontestablement des avantages. Certaines thérapies médicales fonctionnent mal sur une partie de la population, ce qui nécessite de partager certaines données personnelles dans un certain contexte pour pouvoir mieux traiter les personnes.

De telles données seront-elles d'emblée anonymisées ?

MAGGIE DE BLOCK : Dans le cas de big data, il s'agira toujours de données anonymisées. Nous disposons pour ce faire de bases de données sécurisées, par exemple à l'Institut du Cancer à Leuven. Celui-ci collecte l'ensemble des informations qui peuvent ensuite être utilisées à des fins de recherches dans un cadre clairement défini.

Quid si des enquêteurs demandent demain de pouvoir utiliser ces données médicales pour résoudre des crimes ?

PHILIPPE DE BACKER : C'est totalement disproportionné. Nous n'allons pas collecter les données de 11 millions d'innocents pour trouver une poignée de coupables.

L'argument sera que ces données sont quand même disponibles.

PHILIPPE DE BACKER : Tout le monde ne figure pas dans cette base de données, seules les personnes suivies pour certains traitements.

Ne verra-t-on jamais apparaître une base de données avec les informations sur chaque nouveau-né ?

PHILIPPE DE BACKER : Pas question.

MAGGIE DE BLOCK : Cela n'a aucun sens sur le plan scientifique. En outre, aucun juge ne pourra forcer l'accès à cette base de données dans le cadre d'une enquête ou pour rassembler des preuves.

Le patient a-t-il le droit de refuser que ces données soient utilisées dans le cadre des big data ?

MAGGIE DE BLOCK : Au niveau des big data, seules des données dérivées anonymisées peuvent être utilisées, à condition que le comité sectoriel donne son accord. En outre, nous étudions la possibilité de mettre en place un système dans lequel le patient indiquera explicitement si ses données peuvent ou non être utilisées dans le cadre de recherches scientifiques. Mais je le répète : les conditions sont aujourd'hui déjà à ce point strictes que tout abus est pratiquement impossible. D'ailleurs, j'ai visité Johnson & Johnson et ils ne sont absolument pas intéressés par les données d'un petit hôpital, et encore moins d'un patient individuel. Il s'agit de bases de données gigantesques pour permettre de dégager des modèles en fonction de recherches sur par exemple Alzheimer ou des troubles psychiques.

© BELGA IMAGE

Autorité de protection des données

Dans le sillage du RGPD, la Commission Vie privée a été rebaptisée Autorité de protection des données. Mais les 5 directeurs qui dirigent cet organisme doivent encore être nommés.

PHILIPPE DE BACKER : La procédure de nomination suit son cours et les candidats sont pour l'instant soumis à des tests. Le Parlement a demandé d'effectuer lui-même cette procédure, ce que nous avons accepté. J'ai demandé d'accélérer les choses. Mais la Commission Vie privée actuelle a les mêmes compétences.

Cette Commission Vie privée a indiqué à différentes reprises qu'elle n'était pas prête face à la nouvelle réglementation.

PHILIPPE DE BACKER : Je ne suis pas d'accord. Nous sommes prêts. Mais certaines choses, comme les conventions sectorielles que conclut la Commission Vie privée, n'ont pas pu se faire avant le 25 mai. Cela ne veut pas pour autant dire qu'elle n'est pas prête.

En début d'année, son président déclarait encore à notre rédaction disposer de peu de moyens pour exécuter correctement ses missions.

PHILIPPE DE BACKER : Entre-temps, nous avons obtenu 1,5 million ? de budget supplémentaire du Parlement. Nous allons à présent investir dans du personnel et des moyens pour effectuer des contrôles. Ces 60 personnes sont extrêmement respectées au niveau européen, et plus largement international, et nous devons les soutenir. Il convient surtout d'investir dans des profils d'audit et techniques, ainsi que dans la sensibilisation et l'information. Tout le monde veut être conforme au RGPD, mais nombre d'organisations ne savent pas comment faire. C'est ce déficit en information que nous devons combler.

© BELGA IMAGE

La mise en place de la nouvelle autorité doit se faire le plus rapidement possible, mais 85 % de la législation est en somme identique. La Commission Vie privée peut facilement continuer à travailler dans les premières semaines. J'espère en tout cas que le Parlement, qui a demandé lui-même d'assumer cette responsabilité, mettra tout en oeuvre pour finaliser au plus vite les nominations.

Nous en sommes désormais au début de l'entrée en vigueur du RGPD. Vous attendez-vous à constater des violations dans les 2 prochaines années et à devoir infliger des amendes ?

PHILIPPE DE BACKER : Des contrôles seront effectués, des manquements seront constatés et des dossiers seront ouverts avec obligation de remédiation. Dans certains cas, des amendes pourraient suivre. Mais le RGPD n'a évidemment pas pour but de remplir les caisses de l'Etat (rire).

Quoi qu'il en soit, la Belgique apparaît comme un chef de file dans de nombreux domaines. Beaucoup d'entreprises sont de fait en règle et je m'attends donc à ce que les adaptations nécessaires soient minimes.

MAGGIE DE BLOCK : Le système des amendes n'est pas destiné à enrichir quiconque. C'est un instrument visant à inciter chacun à utiliser correctement les données personnelles. Le risque de se faire prendre suite à une augmentation des contrôles représente un levier pour atteindre cet objectif.

Quel est d'ailleurs le risque d'être pris ?

MAGGIE DE BLOCK : Chacun peut déposer une plainte pour abus. On verra donc certainement des plaintes de la part de citoyens individuels, mais aussi d'organisations comme Test-Achats qui testeront le système, d'organisations de patients, mais aussi de concurrents qui voudront épingler un manquement. Du coup, le RGPD devient une sorte de label : celui qui est conforme bénéficie d'une confiance supplémentaire de la part du citoyen.