Clap de fin pour le programme Care.Data du NHS England

Actualité
Royaume-Uni | Biologie : médecine, santé, pharmacie, biotechnologie | Sciences et technologies de l’information et de la communication : TIC, télécoms, micro-nanotechnologies, informatique
1er août 2016

Un rapport de Dame Fiona Caldicott, qui occupe la fonction de National Data Guardian auprès du gouvernement britannique, signe l’arrêt définitif du programme controversé care.data piloté par le NHS England.

1. Conclusions du rapport

Dame Fiona Caldicott examine dans sa Review of Data Security and Opt-Outs deux aspects essentiels relatifs à la confiance du public pour la gestion des données médicales personnelles : la sécurité de ces données, et les conditions de leur partage avec des parties tierces. Elle y souligne que malgré le fait que la population a globalement confiance dans la gestion des données personnelles par le NHS, ce système peut encore être amélioré.

Dame Fiona propose donc plusieurs initiatives à cet effet :

Création de 10 nouveaux standards pour garantir la sécurité de ces données,
Nouveau système d’opt-out plus limpide, qui explique précisément l’usage des données personnelles des patients ainsi que les circonstances exactes dans lesquelles ils peuvent s’opposer à leur diffusion,
Meilleur engagement avec le public afin d’expliquer l’utilisation et les bénéfices du partage de données.

Conséquence directe de la publication de ce rapport, le gouvernement a annoncé l’arrêt définitif du programme care.data du NHS, qui depuis trois ans se heurtait à de nombreuses difficultés étroitement liées à ces questions de sécurité et de confiance.

En parallèle à cette revue, une seconde review sur la question de la sécurité des données par la Care Quality Commission (organisme réglementaire indépendant) a également été rendue publique. Il est à noter que ses conclusions sont très similaires à celles de Dame Fiona.

CC0 Public Domain

2. Présentation de Care.Data

Annoncé début 2013 par le NHS, le programme care.data visait à faciliter l’accès à des données médicales personnelles, pseudonymisées, issues des fichiers des praticiens généralistes (GP) et leur croisement avec des données d’autres sources de soin comme les hôpitaux, à des fins de recherche.

Les objectifs du NHS étaient les suivants :

mieux comprendre les maladies et développer médicaments et traitements ;
comprendre les motifs et tendances de la santé publique et des maladies pour assurer une meilleure qualité de soins, accessible à tous ;
prévoir des services tirant le meilleur parti des ressources budgétaires limitées du NHS ;
surveiller la sécurité des médicaments et traitements ;
comparer la qualité des soins fournis dans les différentes régions du pays.

Le projet était porté conjointement avec le Health and Social Care Information Centre (HSCIC), l’organisme public administrant et donnant accès aux données médicales publiques. C’est à cet organisme qu’auraient été transférées les données détenues par les GP.

Initialement prévu pour être déployé fin 2013, le programme care.data fut repoussé à deux reprises en 2014 face aux nombreuses inquiétudes soulevées par les associations professionnelles et de patients, notamment en lien avec le respect de la confidentialité des données, et aux mises en garde de Dame Fiona Caldicott.

Après avoir finalement annoncé une phase exploratoire fin 2015, le programme était néanmoins demeuré en attente d’un accord express de Dame Fiona Caldicott avant de procéder à l’extraction effective des données dans les régions tests.

L’avenir du programme, attaqué pendant deux ans sur plusieurs fronts, avait toutefois finalement été compromis en juin 2015 par le rapport annuel de la Whitehall Projects Authority évaluant les projets engagés par le gouvernement, qui l’avait catalogué en « rouge », indiquant que « [s]a mise en œuvre réussie parai[ssai]t inaccessible ».

3. Débats et controverses

La principale pierre d’achoppement résidait dans l’épineuse question de la confidentialité des données médicales personnelles des patients.

Le Health and Social Care Act de 2012 oblige les GP à fournir des informations à l’HSCIC dans certaines circonstances, sans que l’avis du patient ne soit pris en compte. Toutefois, le projet care.data n’ayant pas pour but de participer directement du soin des malades, les patients auraient eu le droit de faire opposition à la transmission de leurs données (système de opt-out) s’ils le désiraient. Le NHS avait toutefois dû affronter de nombreuses critiques sur sa communication à ce sujet [1].

Des inquiétudes avaient été soulevées sur les modalités du transfert de données médicales personnelles et le respect du Data Protection Act. L’accès aux données les plus sensibles devait être soigneusement encadré. Le HSCIC dispose en effet de règles bien établies, distinguant trois catégories de données : « anonymous or aggregated data » ; « pseudonymised data » et « personal confidential data ». Les usagers souhaitant accéder aux deux dernières catégories doivent signer un contrat réglementant l’usage autorisé des données. Les données pseudonymisées (les coordonnées personnelles sont remplacées par des identifiants codés), toutefois, pouvaient encore poser problème puisque l’identification d’individus demeure possible en cas de croisement avec d’autres sources (les contrats de l’HSCIC interdisent toutefois cette pratique).

La question de la commercialisation de ces données constituait un autre écueil ; certains craignaient que le HSCIC ne les vende à des parties extérieures pouvant inclure des laboratoires pharmaceutiques ou des assureurs. Le Care Act de 2014 a cherché à répondre à ces craintes en introduisant de nouvelles clauses limitant la diffusion des données de santé à de tierces acteurs pour le seul but d’améliorer et promouvoir les soins de santé.

Si un grand nombre de spécialistes et observateurs s’accordaient à confirmer l’intérêt stratégique de ce programme pour faciliter la recherche médicale (cf. le plaidoyer en ce sens de Sir Tim Berners-Lee, célèbre inventeur du web et co-fondateur de l’Open Data Institute), les inquiétudes ont toutefois été nourries par plusieurs failles du système rapportées par la presse (par exemple, la HSCIC a reconnu en mai 2015 ne pas avoir les ressources nécessaires pour traiter et prendre en compte 700 000 demandes d’opt-out adressées par des patients à leur GP).

Tout au long du projet, de nombreuses associations professionnelles et de patients se sont dressées contre sa mise en œuvre. On peut ici citer la British Medical Association (BMA), l’Association of Medical Research Charities ou encore la Patients Association.

Le gouvernement a ainsi finalement choisi de mettre fin à ce programme, tout en affirmant sa détermination à poursuivre ses efforts pour développer l’utilisation des données médicales dans les meilleures conditions.

Sources :

“Review of health and care data security and consent”, Gov.UK, 6 July 2016 https://www.gov.uk/government/speeches/review-of-health-and-care-data-security-and-consent
“Review of data security, consent and opt-outs”, Gov.UK, 6 July 2016 https://www.gov.uk/government/publications/review-of-data-security-consent-and-opt-outs
“Safe data, safe care : Data Security Review”, Care Quality Commission, 6 July 2016 http://www.cqc.org.uk/content/safe-data-safe-care

Rédacteur : Eva Legras, eva.legras[at]ambascience.co.uk

[1] Cf. le rapport du All Parliamentary Group for Patient and Public Involvement in Health and Social Care pour une revue des critiques adressées au programme (novembre 2014).