L’impatient anglais, ou quand le manque de transparence freine le partage des données de santé
Rédigé par Martin Biéri
-
02 août 2022En 2021, le Royaume-Uni a lancé un projet de collecte et mise à disposition de données issues des dossiers médicaux des médecins généralistes. A l’origine de la montée d’un scandale qui aura duré le temps d’un été, le GPDPR (General Practice Data for Planning and Research) est entré ensuite dans une phase de consultation collective, jusqu’à l’annonce d’un nouveau plan en juin 2022.
L’événement n’est pourtant pas anecdotique : il révèle combien les questions d’information, de transparence, de loyauté et d’intégration des parties prenantes (qu’il s’agisse ici de la communauté des médecins, des patients et des citoyens) sont essentielles dans le déploiement de politiques publiques lorsque ces dernières impliquent l’adhésion de la population pour le partage de données sensibles. Ces éléments ont manqué au projet GPDPR (pour General Practice Data for Planning and Research – que l’on pourrait traduire par « Données de médecine générale pour la planification et la recherche »). En effet, ses visées concernaient des objectifs « positifs » à première vue (amélioration de la recherche et de la prise en charge des citoyens dans les services de santé). Le LINC se propose de faire un petit retour sur les différents points de frictions (non-désirables !) qui ont émaillé le projet au point de le mettre sur pause en quelques semaines.
Un mauvais départ
L’annonce du GPDPR est d’abord passée relativement inaperçue au début du printemps 2021. Elle a ensuite provoqué une levée de boucliers de la part d’experts et de médecins, qui ont souligné plusieurs problématiques d’un tel plan. Opérée par le National Health Service ou NHS (le service de santé publique britannique), la collecte concerne environ 55 millions de personnes. Elle s’inscrit dans le cadre du programme dédié à la transformation du système de santé par le numérique, le NHS Digital. Rapidement, le projet a été surnommé « data grab », que l’on pourrait traduire par « saisie de données ».
De manière générale, la transparence a manqué lors de la mise en œuvre de cette collecte, en particulier dans un contexte de sensibilité forte sur les enjeux en santé, au beau milieu de la pandémie de Covid-19, qui avançait sous la forme de nouveaux variants. Qu’il s’agisse des données pour la recherche ou des données pour la planification et le suivi, ces sujets restent âprement discutés et surveillés, en particulier sur la question de l’accès à ces données au regard de la vie privée des individus dans un temps de crise. Le plan de la NHS a alors essuyé plusieurs critiques sous l’angle d’une instrumentalisation politique de la crise sanitaire.
Plusieurs points d’achoppement sont notables, à commencer par un temps de droit d’opposition à la collecte (opt-out) jugé trop court : dans la première version, les individus avaient un mois pour exercer cet opt-out. S’est ajouté le fait que le droit d’opposition au traitement des données était limité : en particulier, il était inscrit que le fait de s’opposer au programme ne comprendrait que les données à venir, mais que les données historiques seraient quand même récupérées.
D’autres points ont également poussé à la défiance des individus face à cette collecte, notamment à travers une confusion classique entre « anonymisation » et « pseudonymisation », d’autant plus lorsqu’il s’agit d’un historique de données médicales. Les données identifiantes sont retirées, mais chaque ligne récupère un code unique, permettant la réidentification de l’individu pour certains cas exceptionnels (dans le cadre de recherches cliniques, par exemple) ou pour d’autres « raisons légales valides ».
Des questions se sont posées concernant la nature des données récupérées, celles-ci émanant des dossiers des médecins généralistes : elles sont considérées comme particulièrement intimes, étant le fruit d’une relation avec un médecin, dans un contexte spécifique. En effet, il n’y a pas que des données purement médicales dans les dossiers des médecins (et – en théorie – ce qui est confié au médecin est couvert par le secret médical). Pour autant, le GPDPR ne ciblait qu’un certain type de données et excluait les données textuelles (qui pouvaient contenir d’autres types d’informations) et certaines données spécifiques sont toujours exclues du partage (comme le recours à la fécondation in vitro, par exemple).
Un opt-out au cœur des tensions
Devant la montée des critiques du GPDPR, le lancement et la possibilité d’opt-out ont d’abord été reportées à septembre de la même année. Mais après une campagne de la société civile (associations et activistes notamment) poussant les citoyens britanniques à s’opposer à ce nouveau système, les autorités ont mis ce projet en pause fin août 2021, sine die (enfin, jusqu’à juin 2022, voir plus bas).
Et pour cause, en l’espace de quelques semaines, plus d’un million de demandes de retrait avait été reçues par les services du NHS. Les autorités ont donc annoncé une période d’échanges (listening exercice), un processus de consultation avec les organisations de médecins généralistes et de la société civile avant de relancer une campagne d’information auprès du grand public.
Malgré l’aspect peu pratique de l’opt-out (il fallait télécharger ou commander un formulaire papier à remplir et à signer, puis l’envoyer par courrier postal aux services du NHS ou à son médecin traitant), la société civile britannique et les associations de médecins ont réussi à mobiliser rapidement une partie de la population. Certains sont même allés jusqu’à créer un mode d’emploi, précisant la manière dont il faut procéder pour effectuer ce droit de retrait, proposant même d’imprimer les formulaires pour les personnes ne disposant pas d’imprimante chez eux. La différence est notable entre une récupération des données complètement automatique, à grande échelle et une possibilité de refuser « à l’ancienne », au format papier.
Le GPDPR est alors enterré et remplacé en juin 2022 par un nouveau plan, intitulé « Data saves lives: reshaping health and social care with data », dont le sous-titre mentionne explicitement l’éthique et la « privacy ». Cette nouvelle mouture intervient après la publication en avril de la même année d’un rapport mené par le professeur Ben Goldacre, dont les premières recommandations concernaient la transparence et la protection des données et de la vie privée…
L’épineuse question de la destination – ou plus exactement des destinataires – des données collectées
Le scandale s’est également cristallisé autour de la réutilisation des données par d’autres acteurs que les services publics et la recherche publique britanniques. En effet, il est possible qu’à des fins de recherche des entreprises privées puissent avoir accès à ces données. L’opacité sur cette possibilité a contribué à faire monter le sujet dans les médias anglais… et a permis de mettre en lumière le registre des organismes ayant accès aux données (qui précise les responsables de traitement, les finalités, les données utilisées, etc.), sous la forme d’un tableau de bord.
Entre-temps, un média – américain cette fois – a publié fin juillet 2021 une enquête sur le partage des données de santé de la NHS à des entreprises privées… Ce reportage du Financial Times épluche le registre de diffusion des données de santé par la NHS sur les cinq dernières années. Le journal explique alors que son analyse soulève des « inquiétudes concernant des potentiels conflits d’intérêts et un manque de transparence sur ce qui est fait de ces données une fois qu’elles ont été transmises ». La transmission de ces données de santé a connu également une intensification pendant la pandémie.
Le Financial Times liste ainsi 43 entreprises privées qui constituent 13% des destinataires totaux de ces données. La problématique soulevée par le journal est celle de l’intérêt public : si les données de santé partagées par la NHS à ces entreprises suivent un protocole précis, notamment concernant les questions de sécurité, la problématique du contrôle a posteriori est soulevée. En effet, il y a une inversion du rapport de force : « dans certains cas, la NHS ne peut diffuser les données aux régulateurs sans la permission [de l’entreprise] ».
C’est ici que se situe la tension pour un des éditorialistes du Guardian : la problématique n’est pas tant le partage de ses données à des fins de recherche et d’innovation, d’autant moins dans le cadre de la recherche médicale, ce que la plupart des individus acceptent. Cet épisode a également remis en lumière la question de l’anonymisation (à travers la tension d’avoir des données à granularité fine pour la recherche et la protection de la vie privée), et la question des destinataires (la tension entre l’intérêt public et ceux d’acteurs privés) ne laissent pas indifférents les observateurs : « Accepteriez-vous que vos données médicales soient rendues anonymes et utilisées pour la recherche sur le cancer ou pour aider à la planification de futures pandémies ? La plupart des gens répondraient probablement oui. Je le ferais certainement. Mais que se passerait-il si ces données pouvaient être consultées par des géants de la technologie comme Google, des sociétés médicales comme Babylon Health, des entreprises de sécurité comme Palantir, ou des institutions publiques coercitives comme la police ou les services d'immigration ? Cela soulève quelques questions » (traduction LINC).
Si la recherche en santé repose en grande partie sur des initiatives d’acteurs privés, notamment en pharmacologie, ce domaine est encadré par des règles très strictes de procédures, d’évaluation scientifique et de consentement individuel éclairé. Cette expérience montre que la problématique du partage de données en général, qui pourrait sembler moins sensible et requérir moins de précautions (du fait de la pseudonymisation des données par exemple), demande au contraire une vigilance élevée en matière d’encadrement et d’association des parties prenantes selon la thématique.
Illustration - from Doug Waldron (Flick)