Christelle Pointreau (Claranet) : "Un entrepôt de données de santé permet aussi d’optimiser le pilotage de l’activité d’un hôpital"
Décideurs. Il y a quelques mois, le règlement sur l’Espace européen des données de santé (EHDS) a été publié, marquant une avancée vers un espace de données sécurisé, harmonisé et interopérable au niveau européen. Dans quels délais peut-on s’attendre à la mise en place du projet ?
Christelle Pointreau. Si la publication de ce règlement marque une avancée majeure, il ne change pas grand-chose à notre quotidien pour le moment. Preuve en est, le début de la mise en œuvre est prévu en mars 2027. Au niveau national, le Health data hub (HDH), plateforme française de données de santé, a échelonné son planning sur plusieurs années. Le partage des dossiers médicaux est planifié pour mars 2029 avant que cela ne concerne l’ensemble des systèmes médicaux en 2031. C’est seulement en 2034 que nous pourrons envisager une connexion complète avec les pays tiers. À terme, cet espace européen permettra de réutiliser les données de santé au service de la recherche scientifique, de promouvoir un marché unique pour les dossiers médicaux, mais aussi de soutenir l’interopérabilité des systèmes nationaux.
Quel est votre état des lieux autour du développement des entrepôts de données de santé (EDS) en France ?
À l’heure actuelle, on dénombre 100 EDS approuvés par la Cnil en France. Ce chiffre démontre notre proactivité et je pense qu’on peut en être fiers. Parmi eux, une trentaine sont des EDS hospitaliers, 52 sont consacrés à des pathologies spécifiques, telles que la santé mentale ou la cardiologie, et les 14 autres ont été lancés par des éditeurs de logiciels à partir des données récoltées par des cabinets médicaux ou des officines. Les financements, dont ceux issus pour partie de France 2030, prouvent que les initiatives avancent et que la France n’a rien à envier aux autres pays européens en la matière.
"À l’heure actuelle, on dénombre 100 entrepôts de données de santé approuvés par la Cnil en France"
Quelles mesures de sécurité mettre en place sur un EDS pour lutter contre les risques croissants de cyberattaques dans les établissements de santé ?
Le principal défi d’un EDS consiste à assurer sa cybersécurité à travers un ensemble de mesures organisationnelles, techniques et réglementaires. Pour alléger les responsabilités qui incombent aux établissements de santé, ces derniers peuvent faire appel à un hébergeur de données de santé (HDS). L’hébergeur peut ainsi piloter les sujets techniques, tels qu’infogérer la cybersécurité en administrant les habilitations virtuelles et les accès physiques, tandis que le responsable de l’EDS peut se recentrer sur des tâches comme l’anonymisation et le chiffrement des données de santé, en suivant les obligations émises par la Cnil. L’hébergeur infogéreur n’est pas responsable du traitement de pseudonymisation ou d’anonymisation, mais peut réaliser lui-même ces opérations pour le compte de l’EDS. Il reste cependant responsable, en tant que sous-traitant, de la sécurité et de la confidentialité des données de santé hébergées, y compris lorsqu’elles sont pseudonymisées, contribuant ainsi à limiter la valeur exploitable de ces données pour d’éventuels cyberattaquants.
De même, le contrôle d’accès doit être granulaire selon les rôles et les requêtes, les réseaux doivent être cloisonnés, la gestion des secrets centralisée et il faut tendre vers une politique de sécurité "Zéro trust", comme le préconise l’Anssi, afin de consolider la robustesse. Sans oublier les audits, la vigilance des équipes SOC (security operation center), pour prévenir les menaces, et la formation continue du personnel pour éviter les erreurs simples, comme inscrire son mot de passe sur un post-it. Chez Claranet, nous mettons en place des procédures de résilience, notamment pour systématiser les sauvegardes et y associer un plan de sauvegarde de l’activité afin de redémarrer les systèmes en cas de problème.
"De nombreux hôpitaux sont confrontés au manque de financements et, in fine, certains prérequis en matière de cybersécurité ne sont pas assurés"
Quels sont les obstacles récurrents que rencontrent les directions hospitalières ?
De nombreux hôpitaux sont confrontés au manque de financements et, faute de moyens, certains prérequis en matière de sécurité ne sont pas assurés. Autre problème, les défauts d’interopérabilité nuisent à la qualité des échanges entre les soignants de ville et les soignants en hôpital. Les initiatives, telles que le Ségur de la Santé ou le programme CaRE, soulignent une volonté de l’État de combler le problème, mais tout n’est pas encore complètement conforme. Enfin, le manque de personnel dans les hôpitaux touche aussi les équipes consacrées aux EDS. À tout cela s’ajoute le défi de coordonner les multiples parties prenantes, telles que des laboratoires ou les chercheurs sur des infrastructures anciennes.
La création d’un EDS entraîne des défis réglementaires et techniques. Comment les surmonter ?
Il ne faut pas hésiter à s’appuyer sur des outils développés spécialement pour les établissements de santé. La Cnil a établi une check-list afin que les établissements réalisent leur propre évaluation. Pour gagner du temps, il est aussi possible de faire appel à un infogéreur ou un prestataire HDS qui a de l’expérience dans le montage d’entrepôts de données de santé plutôt qu’obtenir soi-même une certification HDS.
Disposer de données qualifiées permet non seulement d’optimiser la recherche, mais aussi de faciliter certains processus administratifs dans les établissements de santé. Quels cas d’usage sont envisageables ?
La définition d’un EDS indique qu’il s’agit d’une base de données utilisées à des fins de recherche ou de pilotage. Si la visée scientifique est plébiscitée, celle de gestion de l’activité est moins identifiée. Il est notamment possible d’améliorer le processus de facturation grâce à des modèles d’IA capables de lire et traduire les informations transmises. Cela permet d’optimiser la fiabilité des données et d’avoir recours à celles mal utilisées, comme l’ensemble des comptes rendus d’examen ou les comorbidités du patient. Résultat, le codage du PMSI [programme de médicalisation des systèmes d’information, ndlr] est amélioré, le processus est accéléré et les revenus sont mieux valorisés. Dans les établissements de santé, automatiser cette tâche administrative permettrait de rendre du temps médical aux médecins DIM [rattaché au département d’information médicale, ce médecin est en charge de la collecte, de la confidentialité et du codage de l’information médicale, ndlr] qui s’en chargent au quotidien.
Propos recueillis par Léa Pierre-Joseph
Lisez aussi l'interview de Grégoire Rangé (France PCI) : "Avec un entrepôt de données de santé indépendant, nous restons maîtres de nos données"