Tables rondes > Synthèse n°3

Philippe Cinquin est Professeur des Universités et Praticien Hospitalier au laboratoire TIMC (Recherche Translationnelle et Innovation en Médecine et Complexité – UMR5525 Univ. Grenoble Alpes / CNRS), coordinateur scientifique du Centre d’investigation clinique – Innovation technologique (INSERM / CHU Grenoble Alpes / Univ. Grenoble Alpes) et responsable scientifique de la chaire Deep Care de l’institut MIAI. Il est spécialisé dans la « médecine translationnelle », c’est-à-dire le passage de la recherche académique aux applications médicales concrètes. À ce titre, il fait partie des membres fondateurs de plusieurs start-ups, dont SentinHealth.

Il commence par souligner la difficulté à définir ce qu’est une donnée de santé, sachant que le concept de santé lui-même a évolué. Au début du XXe siècle, la santé était définie comme l’absence de pathologie. Depuis 1989, l’OMS définit la santé comme un état de complet bien-être, qui repose sur la capacité de réaliser ses objectifs, ses ambitions, et d’évoluer avec son milieu. Ainsi, si certaines informations sont évidemment des données de santé (les résultats d’un examen médical par exemple), il existe également un grand nombre de données de santé potentielles : les données génétiques, environnementales (pollution), sociales (qui était présent dans la pièce à telle date, sachant qu’un des participants est par la suite diagnostiqué du Covid19), d’activité physique relevée par une montre connectée, ou encore l’historique de recherche sur Internet. Un simple changement de comportement peut indiquer une évolution de l’état de santé : par exemple, quelqu’un qui cesse du jour au lendemain de louer un vélo, alors qu’il le faisait quotidiennement.

Thibault Parmentier est docteur en intelligence artificielle (INRIA) et directeur général de SentinHealth, la start-up qui développe l’implant MyHeartSentinel. Il rebondit sur l’exemple de la montre connectée et souligne que la législation est beaucoup moins contraignante pour ce type d’appareil sans prétention médicale que pour les dispositifs médicaux. Ainsi beaucoup d’acteurs du monde digital se permettent de faire des recherches très intéressantes dans le domaine de la santé, qui sont beaucoup plus difficiles à réaliser pour les entreprises qui développent des dispositifs médicaux certifiés. Par ailleurs, il semble plus simple pour une entreprise de s’implanter d’abord aux États-Unis, car les interactions avec les organismes réglementaires sont plus fluides, et le système d’assurance unifié.

Laurence Apitz est avocate au barreau de Paris. Elle a été insuffisante cardiaque pendant plusieurs années avant de recevoir une greffe de cœur en 2020. Elle fait partie du groupe de patients qui a accompagné le projet RealWorld4Clinic. Elle témoigne de son expérience de patiente « parano », très sensible à la question de la protection des données, mais confrontée du fait de sa maladie à une obligation de transmettre ses données de santé pour avoir le meilleur niveau de protection possible : c’était en 2015, au moment où elle a été implantée d’un défibrillateur, et a dû accepter que des données soient transmises au constructeur américain de l’implant. À l’époque, elle était très préoccupée par l’idée de dissimuler son insuffisance cardiaque à son employeur et aux assurances, car elle considère qu’il s’agit d’une maladie stigmatisante à laquelle s’attachent des stéréotypes d’incapacité, de manque de compétence et de dynamisme. Au contraire, aujourd’hui elle n’a aucun problème à parler de sa greffe cardiaque, afin de sensibiliser à l’importance du don d’organes.

Sophie Guicherd est docteure en droit de l’informatique et avocate. Elle est membre de la chaire Ethique&IA de l’institut MIAI. Elle souligne la tension dans le domaine de la santé entre le respect de deux droits fondamentaux : le droit à la vie privée et le droit à la santé. Cependant, la santé est une question si fondamentale, qu’au nom de la préservation de la santé, il existe un risque d’empiéter sur d’autres droits : celui du respect de l’intégrité physique, de la liberté, de l’intimité et de la dignité humaine. Elle décrit le droit comme une forteresse édifiée pour protéger la personne humaine, mais fragilisée par l’évolution rapide des technologies. Il est difficile de prévoir comment les données recueillies à un instant vont pouvoir par la suite être utilisées à grande échelle. Elle regrette par ailleurs les limites du consentement libre et éclairé : aujourd’hui, pour pouvoir accéder à de nombreux services numériques, il est nécessaire de consentir à dévoiler des informations sur sa vie privée ; ce qui constitue une source d’inégalités entre les personnes qui acceptent, et celles qui refusent de céder à cette injonction.

Les discussions ont ensuite rebondi sur le témoignage de Laurence, et sur les évolutions législatives entre la France et les États-Unis. La France possède depuis 1978 une régulation stricte sur la protection des données, garantie par la CNIL (Commission Nationale de l’Informatique et des Libertés). Depuis 2001, la loi antiterroriste du USA Patriot Act autorise les services de sécurité états-uniens à accéder aux données informatiques des entreprises américaines, sans en informer les utilisateurs. C’est une des raisons pour lesquels le projet français de Health Data Hub a pu poser problème : cette structure, censée favoriser la recherche en centralisant des bases de données de santé, utilise des services de Microsoft, et est donc soumise au Patriot Act. Par ailleurs, on observe aux États-Unis une marchandisation des données personnelles, notamment dans le domaine de la santé (Deborah Lupton). Bien que soumis à une législation stricte, les hôpitaux européens ne sont pas à l’abri d’attaques informatiques visant à pirater leurs bases de données. Le RGPD européen (Règlement Général pour la Protection des Données) mis en place en 2018 a permis d’instaurer de nouvelles règles concernant les droits des personnes, la sécurité et l’hébergement des données. Cette législation se révèle contraignante pour les entreprises : il semble ainsi plus facile aujourd’hui pour une start-up de se développer d’abord aux États-Unis, d’autant que chaque pays européen dispose de son propre système de santé et d’assurance. Cependant, le RGPD apparaît également comme un modèle au niveau international, et plusieurs états s’en sont inspirés pour mettre à jour leur propre législation.