Sept. 23, 2025
[Insights] Données de santé : ce que dit la loi et les erreurs à éviter
The player is loading ...
![[Insights] Données de santé : ce que dit la loi et les erreurs à éviter](https://image.ausha.co/TvPZ3p72wKkyMCFT7JHW5HhOrgaulirk4n56xzD8_1400x1400.jpeg?t=1758623369 "[Insights] Données de santé : ce que dit la loi et les erreurs à éviter")
« En pratique, anonymiser complètement des données de santé devient presque impossible. » — Caroline Goupil
Bienvenue sur Pharma minds Insights, un format court dans lequel je décrypte des sujets techniques de la pharma.
Dans ce nouvel épisode, je reçois Caroline Goupil, avocate spécialisée en IT et données chez BCTG Avocats. Elle accompagne depuis plusieurs années les acteurs de la santé sur les enjeux juridiques liés à la donnée, notamment dans des contextes d’innovation, de digitalisation ou d’intelligence artificielle.
Ensemble, on décrypte un sujet brûlant et technique, mais absolument central pour les acteurs du secteur : les données de santé à l’heure de l’IA, des cyberattaques et des nouvelles obligations réglementaires.
Au programme de cet épisode :
◾️ Ce que recouvre vraiment la notion de “donnée de santé” : bien plus large qu’on ne le pense, elle englobe aussi certaines photos, données de commande en ligne, etc.
◾️ Pourquoi cette donnée est doublement protégée (donnée personnelle et sensible), et ce que cela implique concrètement.
◾️ L’affaire Cegedim Santé : comment une erreur d’interprétation entre anonymisation et pseudonymisation a mené à une sanction de 800 000 € par la CNIL.
◾️ Pourquoi l’anonymisation est aujourd’hui extrêmement complexe, voire impossible, notamment à cause des capacités de recoupement de l’IA.
◾️ Les responsabilités juridiques de chacun : professionnels de santé, éditeurs de logiciels, exploitants de données… personne n’est hors champ.
◾️ Les recommandations concrètes pour rester conforme : sélection des bons partenaires, clauses contractuelles précises, vérifications régulières.
Bonne écoute !
__
BCTG Avocats :
Site internet BCTG Avocats : https://bctg-avocats.com
Pour contacter BCTG Avocats : https://bctg-avocats.com/nous-contacter/
LinkedIn : https://www.linkedin.com/company/bctg-avocats/
__
Ressources mentionnées dans l’épisode :
📌 Directive NIS2 : Nouvelle directive européenne qui impose des mesures de sécurité plus strictes, notamment pour les établissements de santé.
📌 Règlement européen sur l’intelligence artificielle : Règlement en cours de mise en œuvre, qui prévoit des obligations spécifiques pour les systèmes d’IA à haut risque — ce qui inclut la plupart des IA utilisées en santé.
📌 Règlement sur l’Espace européen des données de santé (EHDS) : Vise à harmoniser l’accès et l’usage des données de santé à l’échelle européenne, tout en facilitant la recherche et l’innovation.
__
🎧 Vous êtes nouveau par ici ? Pour comprendre en un clin d'œil le panorama des épisodes, téléchargez « 25 conseils pour un leadership engagé », un guide inspiré des meilleurs conseils de mes invités.
🤝 Vous voulez me parler ou échanger sur vos enjeux ? Connectons-nous sur LinkedIn.
📩 Et si vous voulez aller plus loin dans la compréhension des grandes transformations de l’écosystème pharma et santé, abonnez-vous à la newsletter Pharma Minds.
Hébergé par Ausha. Visitez ausha.co/politique-de-confidentialite pour plus d'informations.
Transcript
WEBVTT
1
00:00:00.112 --> 00:00:18.873
On sait aujourd'hui que les cyberattaques sont de plus en plus fréquentes et on sait aussi que les établissements de santé sont la cible privilégiée des cyberattaquants parce qu'ils vont monétiser les données des patients sur le dark web et aussi demander des rançons auprès des établissements de santé pour débloquer les systèmes d'information.
2
00:00:18.951 --> 00:00:19.733
On a un autre enjeu,
3
00:00:19.858 --> 00:00:22.779
c'est qu'avec l'arrivée de l'intelligence artificielle,
4
00:00:22.780 --> 00:00:23.998
on a des nouveaux acteurs qui...
5
00:00:24.316 --> 00:00:25.177
des acteurs de la tech,
6
00:00:25.397 --> 00:00:30.363
qui sont peut-être moins sensibilisés à la problématique de la donnée de santé et la réglementation autour de cette donnée de santé.
7
00:00:30.683 --> 00:00:36.929
Et donc il va falloir sensibiliser pour permettre la sécurité et la confidentialité de ces données.
8
00:00:37.109 --> 00:00:38.531
Donc c'est ce qui rend le sujet complexe.
9
00:00:38.867 --> 00:00:46.234
Et est-ce que c'est ce qui explique cette affaire CGDIM où on voit un acteur qui a l'habitude de traiter de données de santé qui s'est fait épingler ?
10
00:00:46.343 --> 00:00:47.234
Alors effectivement,
11
00:00:47.531 --> 00:00:51.203
c'est CGDIM Santé qui a été condamné par la CNIL à hauteur de...
12
00:00:57.792 --> 00:01:01.696
Bonjour à tous et bienvenue dans ce nouvel épisode de PharmaMinds Insight,
13
00:01:02.278 --> 00:01:07.583
un format court où je décortique un sujet technique du secteur avec un expert.
14
00:01:08.583 --> 00:01:09.481
Le sujet du jour,
15
00:01:09.684 --> 00:01:10.786
c'est les données de santé.
16
00:01:11.442 --> 00:01:13.567
Et je suis avec Caroline Goupil,
17
00:01:13.864 --> 00:01:16.317
avocate de ces BCTG avocats,
18
00:01:17.286 --> 00:01:19.692
qui est experte en IT et en data,
19
00:01:20.192 --> 00:01:22.223
qui va nous accompagner sur ce sujet.
20
00:01:22.301 --> 00:01:23.005
Bonjour Caroline.
21
00:01:23.505 --> 00:01:24.114
Bonjour Nathalie.
22
00:01:25.286 --> 00:01:25.583
Caroline,
23
00:01:25.661 --> 00:01:27.114
je suis ravie.
24
00:01:27.176 --> 00:01:31.198
à voir aujourd'hui parce que ce sujet prend beaucoup d'ampleur.
25
00:01:32.363 --> 00:01:33.241
Pour une première raison,
26
00:01:33.300 --> 00:01:35.222
c'est que les datas sont de plus en plus présentes.
27
00:01:36.425 --> 00:01:36.964
Une autre raison,
28
00:01:37.027 --> 00:01:40.933
c'est que l'IA fait qu'il y a des acteurs nouveaux qui arrivent.
29
00:01:41.589 --> 00:01:42.050
Et puis,
30
00:01:42.394 --> 00:01:42.894
on le voit,
31
00:01:43.089 --> 00:01:48.417
il y a des affaires juridiques qui éclatent.
32
00:01:48.573 --> 00:01:52.995
Et en particulier avec des acteurs qui sont très implantés,
33
00:01:53.105 --> 00:01:54.777
des experts sur cette scène.
34
00:01:55.356 --> 00:01:56.756
Je pense à l'affaire Cégédime,
35
00:01:57.696 --> 00:02:00.458
en septembre 2024,
36
00:02:00.459 --> 00:02:02.079
il y a eu des premières sanctions qui ont eu lieu.
37
00:02:04.122 --> 00:02:06.676
Donc je suis ravie de pouvoir creuser.
38
00:02:07.981 --> 00:02:11.684
Est-ce que tu peux commencer peut-être par nous expliquer ce contexte ?
39
00:02:13.622 --> 00:02:13.747
Oui,
40
00:02:13.918 --> 00:02:14.497
volontiers.
41
00:02:15.262 --> 00:02:16.934
Alors le contexte déjà,
42
00:02:17.918 --> 00:02:18.543
les données de santé,
43
00:02:18.544 --> 00:02:20.528
on en entend parler depuis pas mal de temps,
44
00:02:21.325 --> 00:02:23.403
mais c'est vrai que c'est un sujet qui est...
45
00:02:23.544 --> 00:02:24.785
particulièrement d'actualité,
46
00:02:25.006 --> 00:02:25.586
tu l'as dit,
47
00:02:26.166 --> 00:02:28.328
avec l'explosion de l'intelligence artificielle.
48
00:02:28.770 --> 00:02:33.816
On sait que l'intelligence artificielle va être un levier fort d'innovation.
49
00:02:34.457 --> 00:02:36.856
Ça va révolutionner le secteur de la santé.
50
00:02:37.441 --> 00:02:41.426
Ça va nous permettre notamment d'améliorer les diagnostics,
51
00:02:41.535 --> 00:02:42.426
les prescriptions,
52
00:02:42.957 --> 00:02:51.066
mais aussi d'accélérer la recherche et même d'avoir une médecine beaucoup plus personnalisée,
53
00:02:51.379 --> 00:02:51.832
mais pour
54
00:02:51.976 --> 00:02:54.358
permettre le développement de l'intelligence artificielle,
55
00:02:54.799 --> 00:02:57.280
il va falloir accéder à la donnée de santé.
56
00:02:57.624 --> 00:03:00.186
Donc c'est des choses qui se font déjà depuis quelques années.
57
00:03:01.249 --> 00:03:01.522
Et en fait,
58
00:03:01.523 --> 00:03:02.163
ce qui se passe aujourd'hui,
59
00:03:02.209 --> 00:03:02.444
c'est quoi ?
60
00:03:02.506 --> 00:03:03.952
C'est que ça s'accentue ?
61
00:03:03.967 --> 00:03:04.709
Ça s'accélère ?
62
00:03:04.749 --> 00:03:05.170
Qu'est-ce que vous voyez ?
63
00:03:05.171 --> 00:03:07.428
Ça s'accélère énormément parce qu'effectivement,
64
00:03:07.514 --> 00:03:10.280
on a de l'intelligence artificielle qui explose,
65
00:03:10.514 --> 00:03:11.749
qui arrive dans tous les secteurs,
66
00:03:11.750 --> 00:03:13.030
et notamment dans le secteur de la santé,
67
00:03:13.124 --> 00:03:14.124
depuis quelques années déjà.
68
00:03:14.702 --> 00:03:15.717
On n'en entend encore pas.
69
00:03:15.772 --> 00:03:20.571
plus parlé avec le sommet sur l'intelligence artificielle qui a eu lieu à Paris il n'y a pas longtemps.
70
00:03:21.732 --> 00:03:22.712
En parallèle de ça,
71
00:03:23.353 --> 00:03:26.954
on a aussi d'autres enjeux qui sont les enjeux de cybersécurité.
72
00:03:27.173 --> 00:03:41.556
On sait aujourd'hui que les cyberattaques sont de plus en plus fréquentes et on sait aussi que les établissements de santé sont la cible privilégiée des cyberattaquants parce qu'ils vont monétiser les données des patients sur le dark web.
73
00:03:41.820 --> 00:03:50.080
et aussi demander des rançons auprès des établissements de santé pour débloquer les systèmes d'information qui empêchent l'activité de soins au niveau national.
74
00:03:50.604 --> 00:04:06.963
Et donc en fait aujourd'hui on se retrouve à un enjeu assez important qui est comment concilier l'accès massif à la donnée de santé pour permettre l'innovation versus la protection de la donnée qui est un prérequis pour éviter en fait ces
75
00:04:07.010 --> 00:04:07.682
cyberattaques.
76
00:04:07.744 --> 00:04:08.744
Et comme tu le disais aussi,
77
00:04:08.869 --> 00:04:09.651
on a un autre enjeu,
78
00:04:09.791 --> 00:04:10.072
c'est que
79
00:04:10.652 --> 00:04:12.695
Avec l'arrivée de l'intelligence artificielle,
80
00:04:12.696 --> 00:04:15.097
on a des nouveaux acteurs qui sont des acteurs de la tech.
81
00:04:15.137 --> 00:04:15.297
Alors,
82
00:04:15.298 --> 00:04:19.844
ce n'est pas nouveau parce que le secteur de la santé se digitalise depuis pas mal de temps déjà.
83
00:04:20.562 --> 00:04:23.148
Mais on a des acteurs de plus en plus niche,
84
00:04:23.625 --> 00:04:24.304
des startups,
85
00:04:24.586 --> 00:04:29.586
qui sont peut-être moins sensibilisés à la problématique de la donnée de santé et la réglementation autour de cette donnée de santé.
86
00:04:29.914 --> 00:04:30.148
Et donc,
87
00:04:30.211 --> 00:04:34.414
il va falloir sensibiliser pour permettre la sécurité,
88
00:04:34.461 --> 00:04:36.133
la confidentialité de ces données.
89
00:04:36.398 --> 00:04:36.523
Ok,
90
00:04:36.945 --> 00:04:37.195
super.
91
00:04:37.628 --> 00:04:38.369
Pour commencer,
92
00:04:39.130 --> 00:04:40.330
merci pour ce contexte.
93
00:04:40.871 --> 00:04:41.951
Tu peux nous expliquer,
94
00:04:43.634 --> 00:04:45.275
en nous disant c'est quoi en fait une donnée de santé,
95
00:04:47.638 --> 00:04:48.779
qu'est-ce qu'il faut avoir en tête ?
96
00:04:49.396 --> 00:04:50.263
Alors une donnée de santé,
97
00:04:50.537 --> 00:04:52.021
elle est protégée à double titre.
98
00:04:52.146 --> 00:04:53.677
C'est d'abord une donnée à caractère personnel.
99
00:04:55.287 --> 00:04:55.599
Donc là,
100
00:04:55.724 --> 00:04:59.568
on sait à peu près la réglementation qui est autour de cette donnée à caractère personnel.
101
00:05:00.028 --> 00:05:00.248
Aujourd'hui,
102
00:05:00.249 --> 00:05:01.629
tout le monde maîtrise le RGPD,
103
00:05:01.789 --> 00:05:02.149
en tout cas,
104
00:05:02.229 --> 00:05:04.790
tout le monde a conscience de cette réglementation qui existe.
105
00:05:04.809 --> 00:05:05.809
Et au niveau national,
106
00:05:05.868 --> 00:05:09.708
on a des lois aussi de protection des données à caractère personnel.
107
00:05:10.294 --> 00:05:10.591
Donc ça,
108
00:05:10.669 --> 00:05:11.989
c'est le premier sujet.
109
00:05:12.169 --> 00:05:13.208
Et la donnée de santé,
110
00:05:13.270 --> 00:05:14.473
elle a une spécificité,
111
00:05:14.731 --> 00:05:17.028
c'est que c'est en plus d'être une donnée à caractère personnel,
112
00:05:17.059 --> 00:05:17.934
c'est une donnée sensible.
113
00:05:18.309 --> 00:05:18.434
Alors,
114
00:05:18.435 --> 00:05:20.809
ce n'est pas la seule donnée qui est donnée sensible.
115
00:05:21.169 --> 00:05:21.887
Il y en a d'autres,
116
00:05:22.512 --> 00:05:23.778
comme les convictions religieuses,
117
00:05:23.779 --> 00:05:24.809
les orientations sexuelles,
118
00:05:25.200 --> 00:05:25.809
mais c'est une donnée.
119
00:05:25.856 --> 00:05:25.997
Donc,
120
00:05:26.200 --> 00:05:28.809
il y a une couche supplémentaire de protection.
121
00:05:29.748 --> 00:05:31.409
Sur ces couches supplémentaires de protection,
122
00:05:32.230 --> 00:05:33.991
on peut en citer quelques-uns.
123
00:05:34.112 --> 00:05:34.355
Déjà,
124
00:05:34.972 --> 00:05:36.155
en termes de traitement,
125
00:05:36.175 --> 00:05:38.776
il y a un principe qui est l'interdiction du traitement sauf exception.
126
00:05:38.855 --> 00:05:41.019
Donc ça ne veut pas dire qu'on ne peut jamais traiter la donnée de santé,
127
00:05:41.659 --> 00:05:47.519
mais il faut qu'elle soit vraiment soumise à des exceptions à ce principe d'interdiction.
128
00:05:48.128 --> 00:05:51.206
Et on a d'autres règles qui sont l'hébergement,
129
00:05:51.207 --> 00:05:51.675
par exemple.
130
00:05:51.784 --> 00:05:57.440
On doit héberger des données de santé au travers d'hébergeurs qui sont certifiés HDS.
131
00:05:58.408 --> 00:05:58.809
Et là,
132
00:05:59.289 --> 00:06:01.010
on a d'autres sujets aussi de formalité,
133
00:06:01.411 --> 00:06:02.674
notamment auprès des autorités,
134
00:06:02.675 --> 00:06:06.479
qui peuvent être plus ou moins lourdes en fonction de la manière dont on veut traiter la donnée de santé.
135
00:06:07.120 --> 00:06:07.854
Et pour terminer,
136
00:06:08.221 --> 00:06:09.002
assez récemment,
137
00:06:09.135 --> 00:06:11.440
on a une directive NIS2,
138
00:06:12.362 --> 00:06:18.268
qui est une directive qui vient imposer des mesures de sécurité extrêmement lourdes à certaines entités,
139
00:06:18.284 --> 00:06:22.627
les entités qui sont considérées comme des entités essentielles ou importantes.
140
00:06:22.864 --> 00:06:23.944
Et parmi ces entités,
141
00:06:24.024 --> 00:06:24.665
bien évidemment,
142
00:06:24.824 --> 00:06:27.106
sont visées des entités du secteur de la santé,
143
00:06:27.165 --> 00:06:28.145
comme les établissements de santé.
144
00:06:28.844 --> 00:06:29.106
Donc voilà,
145
00:06:29.325 --> 00:06:32.348
on a un cadre réglementaire qui est particulièrement lourd.
146
00:06:32.989 --> 00:06:33.848
Et par ailleurs,
147
00:06:34.067 --> 00:06:38.325
parce que je pense que ta question n'était pas que sur le cadre réglementaire,
148
00:06:38.364 --> 00:06:38.809
c'est finalement,
149
00:06:38.848 --> 00:06:39.786
c'est quoi une donnée de santé ?
150
00:06:40.223 --> 00:06:40.348
Oui,
151
00:06:40.442 --> 00:06:41.333
c'est aussi dans la durée,
152
00:06:41.348 --> 00:06:41.661
en fait.
153
00:06:41.708 --> 00:06:43.145
J'imagine que c'est une donnée qui vit.
154
00:06:43.489 --> 00:06:43.614
Oui,
155
00:06:43.770 --> 00:06:45.114
c'est une donnée qui vit.
156
00:06:45.583 --> 00:06:46.270
Et en plus,
157
00:06:46.364 --> 00:06:48.927
qui a une interprétation extrêmement extensive.
158
00:06:49.052 --> 00:06:51.615
C'est-à-dire qu'on va naturellement penser aux données qui,
159
00:06:51.654 --> 00:06:52.096
par nature,
160
00:06:52.135 --> 00:06:52.916
sont des données de santé.
161
00:06:53.137 --> 00:06:53.457
Donc là,
162
00:06:53.996 --> 00:06:54.738
c'est assez simple.
163
00:06:54.739 --> 00:06:55.180
On est sur,
164
00:06:55.219 --> 00:06:55.738
par exemple,
165
00:06:56.840 --> 00:06:57.859
les dossiers des patients,
166
00:06:57.922 --> 00:06:59.086
les diagnostics,
167
00:06:59.219 --> 00:07:01.047
les résultats d'analyse,
168
00:07:02.226 --> 00:07:03.062
les radios,
169
00:07:03.930 --> 00:07:04.648
les éléments comme ça.
170
00:07:04.750 --> 00:07:04.984
Donc ça,
171
00:07:05.055 --> 00:07:06.133
c'est vraiment par nature,
172
00:07:06.164 --> 00:07:07.351
c'est une donnée de santé.
173
00:07:08.055 --> 00:07:09.586
Mais on a aussi des données qui,
174
00:07:10.211 --> 00:07:12.211
par destination ou par croisement,
175
00:07:12.336 --> 00:07:13.461
vont être des données de santé.
176
00:07:13.648 --> 00:07:17.180
Je vais donner deux exemples parce que ça va être un peu plus parlant.
177
00:07:17.320 --> 00:07:17.961
par exemple
178
00:07:18.724 --> 00:07:22.308
une photo d'une personne n'est pas une donnée de santé.
179
00:07:22.987 --> 00:07:23.569
En revanche,
180
00:07:23.690 --> 00:07:26.050
si elle a été prise dans un cadre préopératoire,
181
00:07:27.374 --> 00:07:28.171
par destination,
182
00:07:28.172 --> 00:07:28.593
en réalité,
183
00:07:28.632 --> 00:07:30.397
elle va devenir une donnée de santé.
184
00:07:30.413 --> 00:07:31.858
Je te donne un autre exemple,
185
00:07:31.921 --> 00:07:32.741
parce que là,
186
00:07:32.960 --> 00:07:38.249
c'est la CGIE qui a considéré assez récemment cette donnée comme des données de santé.
187
00:07:38.280 --> 00:07:47.718
Ce sont les données de commande d'une personne qui passe une commande sur un site Internet d'un médicament qui n'était pas soumis à prescription.
188
00:07:48.232 --> 00:07:48.893
Cette donnée-là,
189
00:07:49.153 --> 00:07:50.295
donc les données de contact,
190
00:07:50.414 --> 00:07:51.055
de livraison,
191
00:07:51.635 --> 00:07:53.397
ont été considérées comme des données de santé.
192
00:07:54.217 --> 00:07:54.557
Donc là,
193
00:07:54.697 --> 00:07:58.959
on voit qu'on est vraiment sur une définition extrêmement extensive de la donnée de santé,
194
00:07:59.006 --> 00:08:00.162
ce qui peut poser problème parce que,
195
00:08:00.163 --> 00:08:00.803
comme on l'a vu,
196
00:08:01.006 --> 00:08:01.342
en fait,
197
00:08:01.826 --> 00:08:04.686
on a un cadre réglementaire extrêmement lourd sur ces données.
198
00:08:04.983 --> 00:08:06.436
Donc c'est ce qui rend le sujet complexe.
199
00:08:06.748 --> 00:08:09.186
Et est-ce que c'est ce qui explique cette affaire CGDIM,
200
00:08:09.326 --> 00:08:12.014
où on voit un acteur qui a l'habitude de traiter de données de santé,
201
00:08:12.701 --> 00:08:13.483
qui sait ce que c'est,
202
00:08:13.654 --> 00:08:13.811
qui...
203
00:08:15.324 --> 00:08:15.965
s'est fait épingler.
204
00:08:16.125 --> 00:08:18.768
Est-ce que tu peux nous parler de cette affaire et nous la décoder ?
205
00:08:19.329 --> 00:08:20.250
Alors effectivement,
206
00:08:20.551 --> 00:08:27.840
c'est CGDIM Santé qui a été condamné par la CNIL à hauteur de 800 000 euros en septembre 2024.
207
00:08:27.841 --> 00:08:28.793
CGDIM en fait,
208
00:08:29.059 --> 00:08:30.559
et CGDIM Santé,
209
00:08:30.715 --> 00:08:35.481
est un acteur qui met à disposition un logiciel de gestion aux médecins de ville.
210
00:08:36.403 --> 00:08:37.371
Donc ces médecins,
211
00:08:37.606 --> 00:08:39.371
dans le cadre de leur activité,
212
00:08:40.121 --> 00:08:43.653
collectent de la donnée de leurs patients et les intègrent dans ce logiciel.
213
00:08:44.764 --> 00:08:46.885
Et ce que proposait CGDIM,
214
00:08:47.125 --> 00:08:56.963
c'est qu'il proposait aux médecins de participer à une sorte de laboratoire qui permettait d'intégrer les données de leurs patients dans un data lake,
215
00:08:57.065 --> 00:08:58.104
une sorte d'entrepôt.
216
00:08:59.268 --> 00:09:00.104
Et CGDIM
217
00:09:01.042 --> 00:09:02.495
Santé les avait,
218
00:09:03.135 --> 00:09:03.573
je vais dire,
219
00:09:03.745 --> 00:09:04.432
entre guillemets,
220
00:09:04.573 --> 00:09:12.292
anonymisés pour les intégrer dans cet entrepôt et permettre à des tiers de pouvoir exploiter cette donnée,
221
00:09:12.651 --> 00:09:14.385
notamment à des fins de statistiques.
222
00:09:14.512 --> 00:09:15.592
et de recherche.
223
00:09:16.692 --> 00:09:17.614
Et ce qu'il s'est passé,
224
00:09:17.713 --> 00:09:22.272
c'est que la CNIL a considéré que les données n'avaient pas été anonymisées,
225
00:09:22.393 --> 00:09:23.057
mais qu'en réalité,
226
00:09:23.096 --> 00:09:24.651
elles avaient été pseudonymisées.
227
00:09:25.151 --> 00:09:28.276
Et c'est là où on voit effectivement la difficulté de cette réglementation,
228
00:09:28.432 --> 00:09:30.729
c'est qu'il y a une différence,
229
00:09:30.791 --> 00:09:31.182
en fait,
230
00:09:32.370 --> 00:09:34.432
d'un point de vue technique et juridique,
231
00:09:34.463 --> 00:09:35.901
sur le concept d'anonymisation.
232
00:09:35.979 --> 00:09:36.104
Ok,
233
00:09:36.105 --> 00:09:36.760
c'est pas la même chose.
234
00:09:36.838 --> 00:09:37.604
C'est pas la même chose.
235
00:09:38.182 --> 00:09:38.323
Donc,
236
00:09:38.354 --> 00:09:39.416
d'un point de vue technique,
237
00:09:39.463 --> 00:09:41.479
on va considérer que lorsqu'elle est chiffrée,
238
00:09:41.557 --> 00:09:42.495
elle est anonymisée,
239
00:09:42.995 --> 00:09:43.823
alors qu'en réalité...
240
00:09:44.624 --> 00:09:44.945
Ici,
241
00:09:45.205 --> 00:09:46.546
d'un point de vue juridique,
242
00:09:46.606 --> 00:09:51.729
il faut que l'anonymisation soit irréversible pour considérer que la donnée a été anonymisée.
243
00:09:51.893 --> 00:09:53.175
Si elle n'est pas irréversible,
244
00:09:53.276 --> 00:09:54.690
elle n'est que pseudonymisée.
245
00:09:55.292 --> 00:09:59.378
Et la différence est fondamentale parce que lorsqu'on anonymise une donnée,
246
00:09:59.456 --> 00:10:02.346
elle sort totalement du champ de la réglementation sur les données de santé,
247
00:10:02.940 --> 00:10:04.846
alors que lorsqu'elle est pseudonymisée,
248
00:10:04.971 --> 00:10:06.643
on reste dans le champ de la réglementation.
249
00:10:07.206 --> 00:10:11.503
Donc l'enjeu est structurant et ce qu'il s'est passé pour Cégédime Santé,
250
00:10:11.643 --> 00:10:12.971
c'est que CGD m'avait cru
251
00:10:13.384 --> 00:10:18.291
anonymiser les données et donc sortir l'ensemble de ces données du champ de la réglementation.
252
00:10:18.455 --> 00:10:29.291
Et la CNIL est venue leur rappeler que l'anonymisation n'avait pas été faite selon les règles strictes juridiques et qu'on était dans un cadre de pseudonymisation et que de ce fait-là...
253
00:10:30.275 --> 00:10:34.540
Il tombait sous le coup de la réglementation et qu'il n'avait absolument pas respecté.
254
00:10:34.638 --> 00:10:38.263
Donc c'était quelque chose qui n'était pas voulu,
255
00:10:38.442 --> 00:10:38.786
pas su ?
256
00:10:38.966 --> 00:10:44.310
Ou c'est parce que c'est justement des flous qui font que parfois on a des choix business à faire ?
257
00:10:44.732 --> 00:10:44.966
Alors,
258
00:10:45.747 --> 00:10:46.817
c'est difficile de répondre.
259
00:10:47.536 --> 00:10:47.646
Moi,
260
00:10:47.708 --> 00:10:48.427
mon sentiment,
261
00:10:48.552 --> 00:10:55.302
c'est qu'il y a une vraie intention qui était l'intention de l'anonymisation.
262
00:10:56.177 --> 00:10:57.083
Et on voit en fait...
263
00:10:57.435 --> 00:10:58.196
En pratique,
264
00:10:58.316 --> 00:11:01.699
ça devient extrêmement difficile et voire impossible,
265
00:11:01.738 --> 00:11:03.562
même surtout avec l'arrivée de l'intelligence artificielle,
266
00:11:03.621 --> 00:11:05.343
d'anonymiser totalement les données.
267
00:11:05.863 --> 00:11:06.925
Et donc effectivement,
268
00:11:07.183 --> 00:11:13.269
on est face à une réglementation qui rend les choses un petit peu difficiles pour les entreprises,
269
00:11:13.308 --> 00:11:14.808
parce qu'on a anonymisé,
270
00:11:15.027 --> 00:11:17.261
on doit respecter la règle de l'anonymisation,
271
00:11:17.371 --> 00:11:18.714
on sait que c'est quasiment impossible,
272
00:11:19.089 --> 00:11:24.058
versus d'autres pays qui retiennent une règle d'anonymisation qui est beaucoup plus souple.
273
00:11:24.311 --> 00:11:24.712
Et donc,
274
00:11:24.932 --> 00:11:28.976
on est face à une distorsion de concurrence parce qu'on est dans un pays où,
275
00:11:28.977 --> 00:11:29.238
en fait,
276
00:11:29.277 --> 00:11:32.543
on doit respecter les règles du RGPD.
277
00:11:33.261 --> 00:11:34.324
Et l'autre sujet,
278
00:11:34.339 --> 00:11:34.902
effectivement,
279
00:11:35.004 --> 00:11:39.644
c'est est-ce que lorsque je sais que je suis à la frontière de cette réglementation,
280
00:11:39.722 --> 00:11:45.004
est-ce que je respecte cette réglementation ou est-ce que je saisis les opportunités business au risque,
281
00:11:45.144 --> 00:11:45.675
effectivement,
282
00:11:45.691 --> 00:11:48.269
d'être en non-conformité avec cette réglementation ?
283
00:11:49.957 --> 00:11:50.082
OK,
284
00:11:50.083 --> 00:11:50.597
on ne saura pas.
285
00:11:52.681 --> 00:11:55.624
Je n'ai pas fait partie des processus des décisions.
286
00:11:56.042 --> 00:11:59.324
Je pense qu'il y a une vraie volonté d'anonymiser et qu'effectivement...
287
00:12:00.472 --> 00:12:00.808
Mais du coup,
288
00:12:02.808 --> 00:12:06.675
c'est un enjeu d'être aussi accompagnée sur ces choix,
289
00:12:06.676 --> 00:12:07.957
sur ces décisions de prise de risque.
290
00:12:08.410 --> 00:12:09.003
Effectivement,
291
00:12:10.316 --> 00:12:13.175
il faut comprendre techniquement ce qu'on fait,
292
00:12:13.660 --> 00:12:16.910
avoir un accompagnement juridique pour comprendre jusqu'où on peut aller.
293
00:12:17.503 --> 00:12:18.191
et ensuite...
294
00:12:18.919 --> 00:12:23.402
prendre des décisions business en fonction de cette réglementation qui est lourde,
295
00:12:23.403 --> 00:12:28.867
mais qui n'est pas volontairement lourde en réalité.
296
00:12:29.086 --> 00:12:29.867
L'enjeu derrière,
297
00:12:29.930 --> 00:12:31.789
c'est de protéger les droits fondamentaux,
298
00:12:31.851 --> 00:12:33.016
les intérêts des personnes.
299
00:12:33.891 --> 00:12:34.648
Et encore une fois,
300
00:12:34.649 --> 00:12:36.680
on est sur une donnée qui est extrêmement sensible.
301
00:12:36.836 --> 00:12:40.914
Leur exploitation peut mettre à risque les données des personnes.
302
00:12:41.867 --> 00:12:43.398
Et quand on regarde ce cas,
303
00:12:43.570 --> 00:12:46.711
on voit qu'il y a celui qui a collecté.
304
00:12:47.679 --> 00:12:48.200
La donnée,
305
00:12:48.339 --> 00:12:51.999
mais il y a aussi des médecins qui sont impliqués,
306
00:12:52.421 --> 00:12:53.120
collecteurs,
307
00:12:53.261 --> 00:12:53.921
donc impliqués,
308
00:12:53.941 --> 00:12:55.820
je ne sais pas à quel niveau responsables,
309
00:12:56.382 --> 00:12:58.124
et des tiers qui ont été...
310
00:12:59.281 --> 00:12:59.398
Oui,
311
00:12:59.765 --> 00:13:00.562
alors effectivement...
312
00:13:00.563 --> 00:13:01.523
Faire des traitements dessus,
313
00:13:02.538 --> 00:13:04.898
comment on doit lire tout cet écosystème ?
314
00:13:05.663 --> 00:13:07.523
Alors l'ACNIL,
315
00:13:07.663 --> 00:13:08.304
dans ce cas-là,
316
00:13:08.476 --> 00:13:13.382
c'est centré sur la violation de la réglementation par CGDim Santé.
317
00:13:13.947 --> 00:13:14.468
Mais en réalité,
318
00:13:14.528 --> 00:13:14.969
effectivement,
319
00:13:14.970 --> 00:13:17.631
on est dans un écosystème global avec des partenaires différents.
320
00:13:17.632 --> 00:13:23.359
On a d'abord le professionnel de santé qui va collecter la donnée et qui va traiter de la donnée de ses patients.
321
00:13:24.078 --> 00:13:24.875
Ce qu'il faut savoir,
322
00:13:24.976 --> 00:13:33.726
c'est qu'à chaque fois qu'une entité ou une personne à titre professionnel traite de la donnée personnelle et a fortiori de la donnée de santé,
323
00:13:34.320 --> 00:13:35.164
il a des obligations.
324
00:13:35.414 --> 00:13:42.242
Donc le professionnel a lui-même des obligations en tant que responsable de traitement sur la collecte et la manière dont il traite les données de santé de ses patients.
325
00:13:42.898 --> 00:13:43.351
Ensuite...
326
00:13:43.551 --> 00:13:53.791
on a l'éditeur de logiciels qui lui a en plus une double casquette parce qu'il va héberger les données de santé de son professionnel donc sur instruction de son professionnel il les héberge,
327
00:13:54.252 --> 00:13:57.651
il intervient en tant que sous-traitant du professionnel de santé.
328
00:13:58.455 --> 00:14:12.002
Et là ça crée une complexité parce qu'en tant que sous-traitant le professionnel qui lui est responsable de traitement a des obligations de vérification il est responsable de son sous-traitant donc le professionnel de santé le médecin doit s'assurer ...
329
00:14:12.507 --> 00:14:15.587
que l'éditeur de logiciel respecte bien ses obligations.
330
00:14:16.466 --> 00:14:17.087
Et par ailleurs,
331
00:14:17.107 --> 00:14:17.689
l'éditeur de logiciel...
332
00:14:17.690 --> 00:14:17.786
Ce qui,
333
00:14:17.787 --> 00:14:18.349
dans la réalité,
334
00:14:18.630 --> 00:14:19.388
n'est pas forcément fait.
335
00:14:19.708 --> 00:14:19.950
Alors,
336
00:14:20.150 --> 00:14:21.005
il a une obligation,
337
00:14:21.068 --> 00:14:21.669
mais dans la réalité,
338
00:14:21.670 --> 00:14:30.458
ce n'est pas toujours facile de demander à un médecin d'aller contrôler comment il respecte l'éditeur de logiciel dont il ne connaît pas le métier.
339
00:14:30.459 --> 00:14:31.146
Par nature,
340
00:14:31.224 --> 00:14:31.833
certainement,
341
00:14:32.052 --> 00:14:35.177
plus de capacité d'être en conformité,
342
00:14:35.568 --> 00:14:37.630
d'être conforme à la réglementation RGP.
343
00:14:37.740 --> 00:14:38.036
Donc ça,
344
00:14:38.099 --> 00:14:38.927
c'est vrai que c'est compliqué.
345
00:14:39.775 --> 00:14:42.538
Et donc l'éditeur de logiciel a une autre casquette.
346
00:14:42.677 --> 00:14:42.798
Là,
347
00:14:42.818 --> 00:14:44.021
en créant cet entrepôt,
348
00:14:44.681 --> 00:14:46.361
il n'est pas intervenu en tant que sous-traitant,
349
00:14:46.583 --> 00:14:49.228
il l'a créé pour ses propres finalités.
350
00:14:49.243 --> 00:14:51.204
Donc il est intervenu en tant que responsable de traitement,
351
00:14:51.243 --> 00:14:53.087
donc il a de nouvelles obligations.
352
00:14:54.033 --> 00:14:58.251
Et en laissant l'accès à ces données à des tiers,
353
00:14:58.470 --> 00:14:58.829
en fait,
354
00:14:59.267 --> 00:15:05.861
ces tiers ont aussi de nouvelles obligations parce qu'ils vont traiter des données pour leurs propres finalités.
355
00:15:06.345 --> 00:15:07.564
Et ils ont ces obligations-là.
356
00:15:07.767 --> 00:15:08.689
et par ailleurs
357
00:15:09.483 --> 00:15:14.147
Ils ont une obligation parce qu'ils n'ont pas collecté la donnée directement auprès des patients.
358
00:15:14.206 --> 00:15:19.010
Donc ils vont aussi devoir s'assurer que la base de données est licite.
359
00:15:19.612 --> 00:15:19.893
Donc là,
360
00:15:19.917 --> 00:15:21.792
on voit bien les chaînes de responsabilité,
361
00:15:21.854 --> 00:15:24.557
c'est-à-dire qu'on ne peut pas juste se dire « Bon ben moi,
362
00:15:24.581 --> 00:15:26.120
on m'a donné un accès contractuellement,
363
00:15:26.198 --> 00:15:26.542
c'est bon,
364
00:15:27.276 --> 00:15:28.323
je peux l'exploiter,
365
00:15:28.339 --> 00:15:30.964
il faut que je respecte les règles liées au RGPD,
366
00:15:31.151 --> 00:15:31.745
c'est suffisant. »
367
00:15:32.151 --> 00:15:32.292
Non,
368
00:15:32.698 --> 00:15:38.089
il va falloir aussi s'assurer que ces données ont été collectées licitement par l'éditeur.
369
00:15:39.287 --> 00:15:39.647
Et du coup,
370
00:15:40.829 --> 00:15:43.389
quel dispositif vous leur recommandez d'appliquer ?
371
00:15:43.432 --> 00:15:44.670
Ça dépend de qui on est ?
372
00:15:44.792 --> 00:15:45.932
Oui,
373
00:15:45.995 --> 00:15:46.674
alors c'est compliqué,
374
00:15:46.713 --> 00:15:48.178
ça dépend de qui on est.
375
00:15:48.639 --> 00:15:49.077
Généralement,
376
00:15:49.078 --> 00:15:50.256
ça va passer par le contrat,
377
00:15:51.960 --> 00:15:54.866
par la sélection des partenaires,
378
00:15:54.881 --> 00:15:55.756
prestataires,
379
00:15:56.069 --> 00:15:56.178
etc.
380
00:15:56.179 --> 00:15:56.256
Oui,
381
00:15:56.257 --> 00:15:58.522
puisque votre relation de confiance doit s'instaurer.
382
00:15:58.850 --> 00:15:59.444
Et ensuite,
383
00:15:59.522 --> 00:16:00.100
dans le contrat,
384
00:16:01.085 --> 00:16:02.553
quelles sont les obligations que j'impose ?
385
00:16:02.569 --> 00:16:07.147
Quelles sont les informations que je demande de vérification pour m'assurer que je suis dans...
386
00:16:07.523 --> 00:16:10.325
avec un partenaire qui respecte les règles,
387
00:16:10.866 --> 00:16:14.231
parce que je ne veux pas être associée avec un partenaire qui ne les respecte pas,
388
00:16:14.348 --> 00:16:17.692
et parce que je ne veux pas prendre le risque moi-même d'être en non-conformité,
389
00:16:17.731 --> 00:16:20.059
parce qu'on voit bien qu'on a des obligations de vérification.
390
00:16:20.895 --> 00:16:26.466
Donc ça va passer par un contrat et ça va passer par un suivi aussi pendant tout le long de la relation contractuelle,
391
00:16:26.825 --> 00:16:32.247
pour s'assurer que ce n'est pas parce qu'on signe un contrat qui est bien fait que c'est suffisant,
392
00:16:32.325 --> 00:16:36.731
il faut aussi s'assurer sur le long terme qu'on respecte bien ces obligations.
393
00:16:36.963 --> 00:16:37.083
Ok,
394
00:16:37.163 --> 00:16:44.929
on voit la complexité des différents acteurs dans un monde où tout est amené à se densifier.
395
00:16:45.609 --> 00:16:51.116
Comment tu lis la réglementation à venir sur le RGPD,
396
00:16:51.538 --> 00:16:51.960
sur l'IA ?
397
00:16:52.702 --> 00:16:57.484
Et dans quel sens ça va en fait et comment doivent se préparer ces acteurs ?
398
00:16:58.405 --> 00:17:00.062
Alors jusqu'à présent,
399
00:17:00.109 --> 00:17:03.593
on était plutôt sur une tendance qui était au durcissement des règles.
400
00:17:04.191 --> 00:17:07.816
On a un millefeuille de réglementations.
401
00:17:07.817 --> 00:17:09.097
On a commencé avec le RGPD,
402
00:17:09.218 --> 00:17:16.687
mais on a plein d'autres réglementations sur la data de manière générale qui sont venues en plus de cette réglementation.
403
00:17:17.304 --> 00:17:18.187
Une des dernières en date,
404
00:17:18.226 --> 00:17:20.007
c'est le règlement sur l'intelligence artificielle.
405
00:17:20.187 --> 00:17:33.124
C'est un règlement qui va rajouter des obligations dans le secteur de la santé parce qu'il est fort probable qu'un certain nombre de systèmes d'intelligence artificielle qui vont être utilisés dans le secteur de la santé Merci.
406
00:17:33.427 --> 00:17:45.074
qui vont tomber sous le coup des obligations en tant que système d'intelligence artificielle à haut risque et qui impose un nombre d'obligations à l'ensemble des acteurs de l'intelligence artificielle.
407
00:17:45.098 --> 00:17:50.403
Il ne suffit pas d'être fournisseur de l'intelligence artificielle pour être soumis à ces obligations.
408
00:17:50.528 --> 00:17:52.262
En tant qu'utilisateur professionnel,
409
00:17:52.543 --> 00:17:53.590
j'ai aussi des obligations.
410
00:17:54.309 --> 00:17:54.621
Donc ça,
411
00:17:54.684 --> 00:17:58.309
ça va clairement dans le sens d'un renforcement de la réglementation.
412
00:17:59.043 --> 00:17:59.363
Après,
413
00:17:59.503 --> 00:18:01.523
on a quand même un sujet,
414
00:18:01.683 --> 00:18:05.704
c'est qu'il y a une pression forte des acteurs de la tech pour assouplir cette réglementation.
415
00:18:06.845 --> 00:18:09.603
On a parlé rapidement tout à l'heure de distorsion de concurrence.
416
00:18:09.907 --> 00:18:15.501
On voit qu'on a un enjeu de souveraineté nationale lié à l'intelligence artificielle.
417
00:18:16.470 --> 00:18:16.845
Et donc,
418
00:18:17.173 --> 00:18:21.642
on commence peut-être à voir les prémices d'un assouplissement.
419
00:18:21.736 --> 00:18:22.282
En tout cas,
420
00:18:22.454 --> 00:18:22.564
là,
421
00:18:22.829 --> 00:18:23.548
mi-février,
422
00:18:23.564 --> 00:18:27.923
il y a eu le retrait d'une directive qui était en discussion depuis quelques années.
423
00:18:29.072 --> 00:18:32.095
sur la responsabilité en matière d'intelligence artificielle,
424
00:18:32.255 --> 00:18:35.878
qui a été totalement retirée et qui n'est plus à l'ordre du jour.
425
00:18:36.780 --> 00:18:39.983
Et on voit aussi de nouvelles solutions,
426
00:18:40.046 --> 00:18:45.553
notamment le règlement européen sur l'espace européen des données de santé.
427
00:18:46.210 --> 00:18:56.616
Ce règlement vise à harmoniser le cadre réglementaire des données de santé au niveau européen pour faciliter l'accès à la donnée de santé,
428
00:18:57.194 --> 00:18:58.116
la recherche.
429
00:18:58.263 --> 00:18:59.063
au niveau européen.
430
00:19:00.444 --> 00:19:00.584
OK.
431
00:19:01.543 --> 00:19:01.703
Donc,
432
00:19:01.764 --> 00:19:04.106
c'est à vocation à aider,
433
00:19:04.266 --> 00:19:06.145
mais à être un petit peu...
434
00:19:06.606 --> 00:19:07.325
à durcir la loi,
435
00:19:07.364 --> 00:19:07.489
quoi.
436
00:19:07.809 --> 00:19:08.067
Ouais.
437
00:19:08.262 --> 00:19:08.465
Alors,
438
00:19:08.528 --> 00:19:10.426
on était sur une tendance de durcissement.
439
00:19:10.746 --> 00:19:10.864
Là,
440
00:19:10.950 --> 00:19:17.082
on voit qu'il y a une pression qui va plutôt dans le sens de comment assouplir les règles.
441
00:19:17.083 --> 00:19:17.614
Mais vraiment,
442
00:19:17.615 --> 00:19:19.489
on est sur plutôt un curseur,
443
00:19:19.504 --> 00:19:19.785
en fait.
444
00:19:19.832 --> 00:19:20.645
C'est-à-dire que l'idée,
445
00:19:21.285 --> 00:19:22.051
c'est pas forcément de...
446
00:19:22.114 --> 00:19:22.723
C'est bloquant,
447
00:19:22.724 --> 00:19:22.848
ouais.
448
00:19:23.195 --> 00:19:24.495
D'enlever la réglementation,
449
00:19:24.575 --> 00:19:25.156
encore une fois,
450
00:19:25.236 --> 00:19:26.576
on est sur des données sensibles,
451
00:19:26.615 --> 00:19:28.056
c'est important de les protéger.
452
00:19:28.057 --> 00:19:33.459
Je pense qu'on a de la chance d'être dans un pays qui vise à protéger les droits fondamentaux,
453
00:19:33.460 --> 00:19:34.881
les intérêts des personnes.
454
00:19:35.201 --> 00:19:35.615
En revanche,
455
00:19:35.654 --> 00:19:36.060
effectivement,
456
00:19:36.076 --> 00:19:39.115
il faut placer le curseur au bon endroit pour rester compétitif et innovant.
457
00:19:39.334 --> 00:19:46.099
Donc on se retrouve face à un défi qui est comment permettre l'accès massif aux données de santé pour favoriser l'innovation,
458
00:19:47.146 --> 00:19:50.146
tout en préservant la sécurité de ces données de santé.
459
00:19:50.859 --> 00:19:56.203
pour assurer un niveau de protection suffisant aux patients et à notre système de santé national.
460
00:19:56.945 --> 00:19:57.746
Merci beaucoup,
461
00:19:57.887 --> 00:19:58.266
Caroline,
462
00:19:58.328 --> 00:20:01.711
pour ce point très clair,
463
00:20:02.211 --> 00:20:02.789
technique,
464
00:20:02.953 --> 00:20:04.391
mais on en a besoin.
465
00:20:05.594 --> 00:20:11.555
On se rend compte qu'il faut mettre en place des traitements de données qui soient à la hauteur de ces enjeux.
466
00:20:12.539 --> 00:20:14.258
Je pense que ça va beaucoup aider,
467
00:20:14.305 --> 00:20:15.617
que ce soit des fondateurs,
468
00:20:15.726 --> 00:20:16.789
des responsables data.
469
00:20:18.239 --> 00:20:26.366
Voir plus clair s'ils ont d'autres questions à vous poser ou mieux comprendre comment vous pouvez les aider ou tu souhaites rediriger nos auditeurs ?
470
00:20:27.351 --> 00:20:27.632
Alors,
471
00:20:27.905 --> 00:20:28.827
on a un site internet,
472
00:20:29.312 --> 00:20:32.030
BCLG Avocat et puis sinon sur LinkedIn.
473
00:20:32.312 --> 00:20:32.616
Parfait.
474
00:20:33.194 --> 00:20:33.452
Merci.
475
00:20:33.593 --> 00:20:33.991
À bientôt.
476
00:20:34.062 --> 00:20:34.608
Merci Nathalie.
477
00:20:36.168 --> 00:20:40.133
Merci d'avoir écouté jusqu'au bout ce nouvel épisode de Farmament Insight.
478
00:20:40.531 --> 00:20:41.672
Ce format est tout nouveau,
479
00:20:41.754 --> 00:20:44.453
alors je suis vraiment curieuse de savoir ce que vous en avez pensé.
480
00:20:44.836 --> 00:20:47.422
Partagez-moi vos retours en commentaire ou par message,
481
00:20:47.719 --> 00:20:48.477
ils sont précieux.
482
00:20:48.797 --> 00:20:49.305
Et surtout,
483
00:20:49.399 --> 00:20:54.133
abonnez-vous dès maintenant sur votre application préférée pour être sûr de ne pas manquer les prochaines sorties.
484
00:20:54.508 --> 00:20:55.008
A très vite !
1
00:00:00.112 --> 00:00:18.873
On sait aujourd'hui que les cyberattaques sont de plus en plus fréquentes et on sait aussi que les établissements de santé sont la cible privilégiée des cyberattaquants parce qu'ils vont monétiser les données des patients sur le dark web et aussi demander des rançons auprès des établissements de santé pour débloquer les systèmes d'information.
2
00:00:18.951 --> 00:00:19.733
On a un autre enjeu,
3
00:00:19.858 --> 00:00:22.779
c'est qu'avec l'arrivée de l'intelligence artificielle,
4
00:00:22.780 --> 00:00:23.998
on a des nouveaux acteurs qui...
5
00:00:24.316 --> 00:00:25.177
des acteurs de la tech,
6
00:00:25.397 --> 00:00:30.363
qui sont peut-être moins sensibilisés à la problématique de la donnée de santé et la réglementation autour de cette donnée de santé.
7
00:00:30.683 --> 00:00:36.929
Et donc il va falloir sensibiliser pour permettre la sécurité et la confidentialité de ces données.
8
00:00:37.109 --> 00:00:38.531
Donc c'est ce qui rend le sujet complexe.
9
00:00:38.867 --> 00:00:46.234
Et est-ce que c'est ce qui explique cette affaire CGDIM où on voit un acteur qui a l'habitude de traiter de données de santé qui s'est fait épingler ?
10
00:00:46.343 --> 00:00:47.234
Alors effectivement,
11
00:00:47.531 --> 00:00:51.203
c'est CGDIM Santé qui a été condamné par la CNIL à hauteur de...
12
00:00:57.792 --> 00:01:01.696
Bonjour à tous et bienvenue dans ce nouvel épisode de PharmaMinds Insight,
13
00:01:02.278 --> 00:01:07.583
un format court où je décortique un sujet technique du secteur avec un expert.
14
00:01:08.583 --> 00:01:09.481
Le sujet du jour,
15
00:01:09.684 --> 00:01:10.786
c'est les données de santé.
16
00:01:11.442 --> 00:01:13.567
Et je suis avec Caroline Goupil,
17
00:01:13.864 --> 00:01:16.317
avocate de ces BCTG avocats,
18
00:01:17.286 --> 00:01:19.692
qui est experte en IT et en data,
19
00:01:20.192 --> 00:01:22.223
qui va nous accompagner sur ce sujet.
20
00:01:22.301 --> 00:01:23.005
Bonjour Caroline.
21
00:01:23.505 --> 00:01:24.114
Bonjour Nathalie.
22
00:01:25.286 --> 00:01:25.583
Caroline,
23
00:01:25.661 --> 00:01:27.114
je suis ravie.
24
00:01:27.176 --> 00:01:31.198
à voir aujourd'hui parce que ce sujet prend beaucoup d'ampleur.
25
00:01:32.363 --> 00:01:33.241
Pour une première raison,
26
00:01:33.300 --> 00:01:35.222
c'est que les datas sont de plus en plus présentes.
27
00:01:36.425 --> 00:01:36.964
Une autre raison,
28
00:01:37.027 --> 00:01:40.933
c'est que l'IA fait qu'il y a des acteurs nouveaux qui arrivent.
29
00:01:41.589 --> 00:01:42.050
Et puis,
30
00:01:42.394 --> 00:01:42.894
on le voit,
31
00:01:43.089 --> 00:01:48.417
il y a des affaires juridiques qui éclatent.
32
00:01:48.573 --> 00:01:52.995
Et en particulier avec des acteurs qui sont très implantés,
33
00:01:53.105 --> 00:01:54.777
des experts sur cette scène.
34
00:01:55.356 --> 00:01:56.756
Je pense à l'affaire Cégédime,
35
00:01:57.696 --> 00:02:00.458
en septembre 2024,
36
00:02:00.459 --> 00:02:02.079
il y a eu des premières sanctions qui ont eu lieu.
37
00:02:04.122 --> 00:02:06.676
Donc je suis ravie de pouvoir creuser.
38
00:02:07.981 --> 00:02:11.684
Est-ce que tu peux commencer peut-être par nous expliquer ce contexte ?
39
00:02:13.622 --> 00:02:13.747
Oui,
40
00:02:13.918 --> 00:02:14.497
volontiers.
41
00:02:15.262 --> 00:02:16.934
Alors le contexte déjà,
42
00:02:17.918 --> 00:02:18.543
les données de santé,
43
00:02:18.544 --> 00:02:20.528
on en entend parler depuis pas mal de temps,
44
00:02:21.325 --> 00:02:23.403
mais c'est vrai que c'est un sujet qui est...
45
00:02:23.544 --> 00:02:24.785
particulièrement d'actualité,
46
00:02:25.006 --> 00:02:25.586
tu l'as dit,
47
00:02:26.166 --> 00:02:28.328
avec l'explosion de l'intelligence artificielle.
48
00:02:28.770 --> 00:02:33.816
On sait que l'intelligence artificielle va être un levier fort d'innovation.
49
00:02:34.457 --> 00:02:36.856
Ça va révolutionner le secteur de la santé.
50
00:02:37.441 --> 00:02:41.426
Ça va nous permettre notamment d'améliorer les diagnostics,
51
00:02:41.535 --> 00:02:42.426
les prescriptions,
52
00:02:42.957 --> 00:02:51.066
mais aussi d'accélérer la recherche et même d'avoir une médecine beaucoup plus personnalisée,
53
00:02:51.379 --> 00:02:51.832
mais pour
54
00:02:51.976 --> 00:02:54.358
permettre le développement de l'intelligence artificielle,
55
00:02:54.799 --> 00:02:57.280
il va falloir accéder à la donnée de santé.
56
00:02:57.624 --> 00:03:00.186
Donc c'est des choses qui se font déjà depuis quelques années.
57
00:03:01.249 --> 00:03:01.522
Et en fait,
58
00:03:01.523 --> 00:03:02.163
ce qui se passe aujourd'hui,
59
00:03:02.209 --> 00:03:02.444
c'est quoi ?
60
00:03:02.506 --> 00:03:03.952
C'est que ça s'accentue ?
61
00:03:03.967 --> 00:03:04.709
Ça s'accélère ?
62
00:03:04.749 --> 00:03:05.170
Qu'est-ce que vous voyez ?
63
00:03:05.171 --> 00:03:07.428
Ça s'accélère énormément parce qu'effectivement,
64
00:03:07.514 --> 00:03:10.280
on a de l'intelligence artificielle qui explose,
65
00:03:10.514 --> 00:03:11.749
qui arrive dans tous les secteurs,
66
00:03:11.750 --> 00:03:13.030
et notamment dans le secteur de la santé,
67
00:03:13.124 --> 00:03:14.124
depuis quelques années déjà.
68
00:03:14.702 --> 00:03:15.717
On n'en entend encore pas.
69
00:03:15.772 --> 00:03:20.571
plus parlé avec le sommet sur l'intelligence artificielle qui a eu lieu à Paris il n'y a pas longtemps.
70
00:03:21.732 --> 00:03:22.712
En parallèle de ça,
71
00:03:23.353 --> 00:03:26.954
on a aussi d'autres enjeux qui sont les enjeux de cybersécurité.
72
00:03:27.173 --> 00:03:41.556
On sait aujourd'hui que les cyberattaques sont de plus en plus fréquentes et on sait aussi que les établissements de santé sont la cible privilégiée des cyberattaquants parce qu'ils vont monétiser les données des patients sur le dark web.
73
00:03:41.820 --> 00:03:50.080
et aussi demander des rançons auprès des établissements de santé pour débloquer les systèmes d'information qui empêchent l'activité de soins au niveau national.
74
00:03:50.604 --> 00:04:06.963
Et donc en fait aujourd'hui on se retrouve à un enjeu assez important qui est comment concilier l'accès massif à la donnée de santé pour permettre l'innovation versus la protection de la donnée qui est un prérequis pour éviter en fait ces
75
00:04:07.010 --> 00:04:07.682
cyberattaques.
76
00:04:07.744 --> 00:04:08.744
Et comme tu le disais aussi,
77
00:04:08.869 --> 00:04:09.651
on a un autre enjeu,
78
00:04:09.791 --> 00:04:10.072
c'est que
79
00:04:10.652 --> 00:04:12.695
Avec l'arrivée de l'intelligence artificielle,
80
00:04:12.696 --> 00:04:15.097
on a des nouveaux acteurs qui sont des acteurs de la tech.
81
00:04:15.137 --> 00:04:15.297
Alors,
82
00:04:15.298 --> 00:04:19.844
ce n'est pas nouveau parce que le secteur de la santé se digitalise depuis pas mal de temps déjà.
83
00:04:20.562 --> 00:04:23.148
Mais on a des acteurs de plus en plus niche,
84
00:04:23.625 --> 00:04:24.304
des startups,
85
00:04:24.586 --> 00:04:29.586
qui sont peut-être moins sensibilisés à la problématique de la donnée de santé et la réglementation autour de cette donnée de santé.
86
00:04:29.914 --> 00:04:30.148
Et donc,
87
00:04:30.211 --> 00:04:34.414
il va falloir sensibiliser pour permettre la sécurité,
88
00:04:34.461 --> 00:04:36.133
la confidentialité de ces données.
89
00:04:36.398 --> 00:04:36.523
Ok,
90
00:04:36.945 --> 00:04:37.195
super.
91
00:04:37.628 --> 00:04:38.369
Pour commencer,
92
00:04:39.130 --> 00:04:40.330
merci pour ce contexte.
93
00:04:40.871 --> 00:04:41.951
Tu peux nous expliquer,
94
00:04:43.634 --> 00:04:45.275
en nous disant c'est quoi en fait une donnée de santé,
95
00:04:47.638 --> 00:04:48.779
qu'est-ce qu'il faut avoir en tête ?
96
00:04:49.396 --> 00:04:50.263
Alors une donnée de santé,
97
00:04:50.537 --> 00:04:52.021
elle est protégée à double titre.
98
00:04:52.146 --> 00:04:53.677
C'est d'abord une donnée à caractère personnel.
99
00:04:55.287 --> 00:04:55.599
Donc là,
100
00:04:55.724 --> 00:04:59.568
on sait à peu près la réglementation qui est autour de cette donnée à caractère personnel.
101
00:05:00.028 --> 00:05:00.248
Aujourd'hui,
102
00:05:00.249 --> 00:05:01.629
tout le monde maîtrise le RGPD,
103
00:05:01.789 --> 00:05:02.149
en tout cas,
104
00:05:02.229 --> 00:05:04.790
tout le monde a conscience de cette réglementation qui existe.
105
00:05:04.809 --> 00:05:05.809
Et au niveau national,
106
00:05:05.868 --> 00:05:09.708
on a des lois aussi de protection des données à caractère personnel.
107
00:05:10.294 --> 00:05:10.591
Donc ça,
108
00:05:10.669 --> 00:05:11.989
c'est le premier sujet.
109
00:05:12.169 --> 00:05:13.208
Et la donnée de santé,
110
00:05:13.270 --> 00:05:14.473
elle a une spécificité,
111
00:05:14.731 --> 00:05:17.028
c'est que c'est en plus d'être une donnée à caractère personnel,
112
00:05:17.059 --> 00:05:17.934
c'est une donnée sensible.
113
00:05:18.309 --> 00:05:18.434
Alors,
114
00:05:18.435 --> 00:05:20.809
ce n'est pas la seule donnée qui est donnée sensible.
115
00:05:21.169 --> 00:05:21.887
Il y en a d'autres,
116
00:05:22.512 --> 00:05:23.778
comme les convictions religieuses,
117
00:05:23.779 --> 00:05:24.809
les orientations sexuelles,
118
00:05:25.200 --> 00:05:25.809
mais c'est une donnée.
119
00:05:25.856 --> 00:05:25.997
Donc,
120
00:05:26.200 --> 00:05:28.809
il y a une couche supplémentaire de protection.
121
00:05:29.748 --> 00:05:31.409
Sur ces couches supplémentaires de protection,
122
00:05:32.230 --> 00:05:33.991
on peut en citer quelques-uns.
123
00:05:34.112 --> 00:05:34.355
Déjà,
124
00:05:34.972 --> 00:05:36.155
en termes de traitement,
125
00:05:36.175 --> 00:05:38.776
il y a un principe qui est l'interdiction du traitement sauf exception.
126
00:05:38.855 --> 00:05:41.019
Donc ça ne veut pas dire qu'on ne peut jamais traiter la donnée de santé,
127
00:05:41.659 --> 00:05:47.519
mais il faut qu'elle soit vraiment soumise à des exceptions à ce principe d'interdiction.
128
00:05:48.128 --> 00:05:51.206
Et on a d'autres règles qui sont l'hébergement,
129
00:05:51.207 --> 00:05:51.675
par exemple.
130
00:05:51.784 --> 00:05:57.440
On doit héberger des données de santé au travers d'hébergeurs qui sont certifiés HDS.
131
00:05:58.408 --> 00:05:58.809
Et là,
132
00:05:59.289 --> 00:06:01.010
on a d'autres sujets aussi de formalité,
133
00:06:01.411 --> 00:06:02.674
notamment auprès des autorités,
134
00:06:02.675 --> 00:06:06.479
qui peuvent être plus ou moins lourdes en fonction de la manière dont on veut traiter la donnée de santé.
135
00:06:07.120 --> 00:06:07.854
Et pour terminer,
136
00:06:08.221 --> 00:06:09.002
assez récemment,
137
00:06:09.135 --> 00:06:11.440
on a une directive NIS2,
138
00:06:12.362 --> 00:06:18.268
qui est une directive qui vient imposer des mesures de sécurité extrêmement lourdes à certaines entités,
139
00:06:18.284 --> 00:06:22.627
les entités qui sont considérées comme des entités essentielles ou importantes.
140
00:06:22.864 --> 00:06:23.944
Et parmi ces entités,
141
00:06:24.024 --> 00:06:24.665
bien évidemment,
142
00:06:24.824 --> 00:06:27.106
sont visées des entités du secteur de la santé,
143
00:06:27.165 --> 00:06:28.145
comme les établissements de santé.
144
00:06:28.844 --> 00:06:29.106
Donc voilà,
145
00:06:29.325 --> 00:06:32.348
on a un cadre réglementaire qui est particulièrement lourd.
146
00:06:32.989 --> 00:06:33.848
Et par ailleurs,
147
00:06:34.067 --> 00:06:38.325
parce que je pense que ta question n'était pas que sur le cadre réglementaire,
148
00:06:38.364 --> 00:06:38.809
c'est finalement,
149
00:06:38.848 --> 00:06:39.786
c'est quoi une donnée de santé ?
150
00:06:40.223 --> 00:06:40.348
Oui,
151
00:06:40.442 --> 00:06:41.333
c'est aussi dans la durée,
152
00:06:41.348 --> 00:06:41.661
en fait.
153
00:06:41.708 --> 00:06:43.145
J'imagine que c'est une donnée qui vit.
154
00:06:43.489 --> 00:06:43.614
Oui,
155
00:06:43.770 --> 00:06:45.114
c'est une donnée qui vit.
156
00:06:45.583 --> 00:06:46.270
Et en plus,
157
00:06:46.364 --> 00:06:48.927
qui a une interprétation extrêmement extensive.
158
00:06:49.052 --> 00:06:51.615
C'est-à-dire qu'on va naturellement penser aux données qui,
159
00:06:51.654 --> 00:06:52.096
par nature,
160
00:06:52.135 --> 00:06:52.916
sont des données de santé.
161
00:06:53.137 --> 00:06:53.457
Donc là,
162
00:06:53.996 --> 00:06:54.738
c'est assez simple.
163
00:06:54.739 --> 00:06:55.180
On est sur,
164
00:06:55.219 --> 00:06:55.738
par exemple,
165
00:06:56.840 --> 00:06:57.859
les dossiers des patients,
166
00:06:57.922 --> 00:06:59.086
les diagnostics,
167
00:06:59.219 --> 00:07:01.047
les résultats d'analyse,
168
00:07:02.226 --> 00:07:03.062
les radios,
169
00:07:03.930 --> 00:07:04.648
les éléments comme ça.
170
00:07:04.750 --> 00:07:04.984
Donc ça,
171
00:07:05.055 --> 00:07:06.133
c'est vraiment par nature,
172
00:07:06.164 --> 00:07:07.351
c'est une donnée de santé.
173
00:07:08.055 --> 00:07:09.586
Mais on a aussi des données qui,
174
00:07:10.211 --> 00:07:12.211
par destination ou par croisement,
175
00:07:12.336 --> 00:07:13.461
vont être des données de santé.
176
00:07:13.648 --> 00:07:17.180
Je vais donner deux exemples parce que ça va être un peu plus parlant.
177
00:07:17.320 --> 00:07:17.961
par exemple
178
00:07:18.724 --> 00:07:22.308
une photo d'une personne n'est pas une donnée de santé.
179
00:07:22.987 --> 00:07:23.569
En revanche,
180
00:07:23.690 --> 00:07:26.050
si elle a été prise dans un cadre préopératoire,
181
00:07:27.374 --> 00:07:28.171
par destination,
182
00:07:28.172 --> 00:07:28.593
en réalité,
183
00:07:28.632 --> 00:07:30.397
elle va devenir une donnée de santé.
184
00:07:30.413 --> 00:07:31.858
Je te donne un autre exemple,
185
00:07:31.921 --> 00:07:32.741
parce que là,
186
00:07:32.960 --> 00:07:38.249
c'est la CGIE qui a considéré assez récemment cette donnée comme des données de santé.
187
00:07:38.280 --> 00:07:47.718
Ce sont les données de commande d'une personne qui passe une commande sur un site Internet d'un médicament qui n'était pas soumis à prescription.
188
00:07:48.232 --> 00:07:48.893
Cette donnée-là,
189
00:07:49.153 --> 00:07:50.295
donc les données de contact,
190
00:07:50.414 --> 00:07:51.055
de livraison,
191
00:07:51.635 --> 00:07:53.397
ont été considérées comme des données de santé.
192
00:07:54.217 --> 00:07:54.557
Donc là,
193
00:07:54.697 --> 00:07:58.959
on voit qu'on est vraiment sur une définition extrêmement extensive de la donnée de santé,
194
00:07:59.006 --> 00:08:00.162
ce qui peut poser problème parce que,
195
00:08:00.163 --> 00:08:00.803
comme on l'a vu,
196
00:08:01.006 --> 00:08:01.342
en fait,
197
00:08:01.826 --> 00:08:04.686
on a un cadre réglementaire extrêmement lourd sur ces données.
198
00:08:04.983 --> 00:08:06.436
Donc c'est ce qui rend le sujet complexe.
199
00:08:06.748 --> 00:08:09.186
Et est-ce que c'est ce qui explique cette affaire CGDIM,
200
00:08:09.326 --> 00:08:12.014
où on voit un acteur qui a l'habitude de traiter de données de santé,
201
00:08:12.701 --> 00:08:13.483
qui sait ce que c'est,
202
00:08:13.654 --> 00:08:13.811
qui...
203
00:08:15.324 --> 00:08:15.965
s'est fait épingler.
204
00:08:16.125 --> 00:08:18.768
Est-ce que tu peux nous parler de cette affaire et nous la décoder ?
205
00:08:19.329 --> 00:08:20.250
Alors effectivement,
206
00:08:20.551 --> 00:08:27.840
c'est CGDIM Santé qui a été condamné par la CNIL à hauteur de 800 000 euros en septembre 2024.
207
00:08:27.841 --> 00:08:28.793
CGDIM en fait,
208
00:08:29.059 --> 00:08:30.559
et CGDIM Santé,
209
00:08:30.715 --> 00:08:35.481
est un acteur qui met à disposition un logiciel de gestion aux médecins de ville.
210
00:08:36.403 --> 00:08:37.371
Donc ces médecins,
211
00:08:37.606 --> 00:08:39.371
dans le cadre de leur activité,
212
00:08:40.121 --> 00:08:43.653
collectent de la donnée de leurs patients et les intègrent dans ce logiciel.
213
00:08:44.764 --> 00:08:46.885
Et ce que proposait CGDIM,
214
00:08:47.125 --> 00:08:56.963
c'est qu'il proposait aux médecins de participer à une sorte de laboratoire qui permettait d'intégrer les données de leurs patients dans un data lake,
215
00:08:57.065 --> 00:08:58.104
une sorte d'entrepôt.
216
00:08:59.268 --> 00:09:00.104
Et CGDIM
217
00:09:01.042 --> 00:09:02.495
Santé les avait,
218
00:09:03.135 --> 00:09:03.573
je vais dire,
219
00:09:03.745 --> 00:09:04.432
entre guillemets,
220
00:09:04.573 --> 00:09:12.292
anonymisés pour les intégrer dans cet entrepôt et permettre à des tiers de pouvoir exploiter cette donnée,
221
00:09:12.651 --> 00:09:14.385
notamment à des fins de statistiques.
222
00:09:14.512 --> 00:09:15.592
et de recherche.
223
00:09:16.692 --> 00:09:17.614
Et ce qu'il s'est passé,
224
00:09:17.713 --> 00:09:22.272
c'est que la CNIL a considéré que les données n'avaient pas été anonymisées,
225
00:09:22.393 --> 00:09:23.057
mais qu'en réalité,
226
00:09:23.096 --> 00:09:24.651
elles avaient été pseudonymisées.
227
00:09:25.151 --> 00:09:28.276
Et c'est là où on voit effectivement la difficulté de cette réglementation,
228
00:09:28.432 --> 00:09:30.729
c'est qu'il y a une différence,
229
00:09:30.791 --> 00:09:31.182
en fait,
230
00:09:32.370 --> 00:09:34.432
d'un point de vue technique et juridique,
231
00:09:34.463 --> 00:09:35.901
sur le concept d'anonymisation.
232
00:09:35.979 --> 00:09:36.104
Ok,
233
00:09:36.105 --> 00:09:36.760
c'est pas la même chose.
234
00:09:36.838 --> 00:09:37.604
C'est pas la même chose.
235
00:09:38.182 --> 00:09:38.323
Donc,
236
00:09:38.354 --> 00:09:39.416
d'un point de vue technique,
237
00:09:39.463 --> 00:09:41.479
on va considérer que lorsqu'elle est chiffrée,
238
00:09:41.557 --> 00:09:42.495
elle est anonymisée,
239
00:09:42.995 --> 00:09:43.823
alors qu'en réalité...
240
00:09:44.624 --> 00:09:44.945
Ici,
241
00:09:45.205 --> 00:09:46.546
d'un point de vue juridique,
242
00:09:46.606 --> 00:09:51.729
il faut que l'anonymisation soit irréversible pour considérer que la donnée a été anonymisée.
243
00:09:51.893 --> 00:09:53.175
Si elle n'est pas irréversible,
244
00:09:53.276 --> 00:09:54.690
elle n'est que pseudonymisée.
245
00:09:55.292 --> 00:09:59.378
Et la différence est fondamentale parce que lorsqu'on anonymise une donnée,
246
00:09:59.456 --> 00:10:02.346
elle sort totalement du champ de la réglementation sur les données de santé,
247
00:10:02.940 --> 00:10:04.846
alors que lorsqu'elle est pseudonymisée,
248
00:10:04.971 --> 00:10:06.643
on reste dans le champ de la réglementation.
249
00:10:07.206 --> 00:10:11.503
Donc l'enjeu est structurant et ce qu'il s'est passé pour Cégédime Santé,
250
00:10:11.643 --> 00:10:12.971
c'est que CGD m'avait cru
251
00:10:13.384 --> 00:10:18.291
anonymiser les données et donc sortir l'ensemble de ces données du champ de la réglementation.
252
00:10:18.455 --> 00:10:29.291
Et la CNIL est venue leur rappeler que l'anonymisation n'avait pas été faite selon les règles strictes juridiques et qu'on était dans un cadre de pseudonymisation et que de ce fait-là...
253
00:10:30.275 --> 00:10:34.540
Il tombait sous le coup de la réglementation et qu'il n'avait absolument pas respecté.
254
00:10:34.638 --> 00:10:38.263
Donc c'était quelque chose qui n'était pas voulu,
255
00:10:38.442 --> 00:10:38.786
pas su ?
256
00:10:38.966 --> 00:10:44.310
Ou c'est parce que c'est justement des flous qui font que parfois on a des choix business à faire ?
257
00:10:44.732 --> 00:10:44.966
Alors,
258
00:10:45.747 --> 00:10:46.817
c'est difficile de répondre.
259
00:10:47.536 --> 00:10:47.646
Moi,
260
00:10:47.708 --> 00:10:48.427
mon sentiment,
261
00:10:48.552 --> 00:10:55.302
c'est qu'il y a une vraie intention qui était l'intention de l'anonymisation.
262
00:10:56.177 --> 00:10:57.083
Et on voit en fait...
263
00:10:57.435 --> 00:10:58.196
En pratique,
264
00:10:58.316 --> 00:11:01.699
ça devient extrêmement difficile et voire impossible,
265
00:11:01.738 --> 00:11:03.562
même surtout avec l'arrivée de l'intelligence artificielle,
266
00:11:03.621 --> 00:11:05.343
d'anonymiser totalement les données.
267
00:11:05.863 --> 00:11:06.925
Et donc effectivement,
268
00:11:07.183 --> 00:11:13.269
on est face à une réglementation qui rend les choses un petit peu difficiles pour les entreprises,
269
00:11:13.308 --> 00:11:14.808
parce qu'on a anonymisé,
270
00:11:15.027 --> 00:11:17.261
on doit respecter la règle de l'anonymisation,
271
00:11:17.371 --> 00:11:18.714
on sait que c'est quasiment impossible,
272
00:11:19.089 --> 00:11:24.058
versus d'autres pays qui retiennent une règle d'anonymisation qui est beaucoup plus souple.
273
00:11:24.311 --> 00:11:24.712
Et donc,
274
00:11:24.932 --> 00:11:28.976
on est face à une distorsion de concurrence parce qu'on est dans un pays où,
275
00:11:28.977 --> 00:11:29.238
en fait,
276
00:11:29.277 --> 00:11:32.543
on doit respecter les règles du RGPD.
277
00:11:33.261 --> 00:11:34.324
Et l'autre sujet,
278
00:11:34.339 --> 00:11:34.902
effectivement,
279
00:11:35.004 --> 00:11:39.644
c'est est-ce que lorsque je sais que je suis à la frontière de cette réglementation,
280
00:11:39.722 --> 00:11:45.004
est-ce que je respecte cette réglementation ou est-ce que je saisis les opportunités business au risque,
281
00:11:45.144 --> 00:11:45.675
effectivement,
282
00:11:45.691 --> 00:11:48.269
d'être en non-conformité avec cette réglementation ?
283
00:11:49.957 --> 00:11:50.082
OK,
284
00:11:50.083 --> 00:11:50.597
on ne saura pas.
285
00:11:52.681 --> 00:11:55.624
Je n'ai pas fait partie des processus des décisions.
286
00:11:56.042 --> 00:11:59.324
Je pense qu'il y a une vraie volonté d'anonymiser et qu'effectivement...
287
00:12:00.472 --> 00:12:00.808
Mais du coup,
288
00:12:02.808 --> 00:12:06.675
c'est un enjeu d'être aussi accompagnée sur ces choix,
289
00:12:06.676 --> 00:12:07.957
sur ces décisions de prise de risque.
290
00:12:08.410 --> 00:12:09.003
Effectivement,
291
00:12:10.316 --> 00:12:13.175
il faut comprendre techniquement ce qu'on fait,
292
00:12:13.660 --> 00:12:16.910
avoir un accompagnement juridique pour comprendre jusqu'où on peut aller.
293
00:12:17.503 --> 00:12:18.191
et ensuite...
294
00:12:18.919 --> 00:12:23.402
prendre des décisions business en fonction de cette réglementation qui est lourde,
295
00:12:23.403 --> 00:12:28.867
mais qui n'est pas volontairement lourde en réalité.
296
00:12:29.086 --> 00:12:29.867
L'enjeu derrière,
297
00:12:29.930 --> 00:12:31.789
c'est de protéger les droits fondamentaux,
298
00:12:31.851 --> 00:12:33.016
les intérêts des personnes.
299
00:12:33.891 --> 00:12:34.648
Et encore une fois,
300
00:12:34.649 --> 00:12:36.680
on est sur une donnée qui est extrêmement sensible.
301
00:12:36.836 --> 00:12:40.914
Leur exploitation peut mettre à risque les données des personnes.
302
00:12:41.867 --> 00:12:43.398
Et quand on regarde ce cas,
303
00:12:43.570 --> 00:12:46.711
on voit qu'il y a celui qui a collecté.
304
00:12:47.679 --> 00:12:48.200
La donnée,
305
00:12:48.339 --> 00:12:51.999
mais il y a aussi des médecins qui sont impliqués,
306
00:12:52.421 --> 00:12:53.120
collecteurs,
307
00:12:53.261 --> 00:12:53.921
donc impliqués,
308
00:12:53.941 --> 00:12:55.820
je ne sais pas à quel niveau responsables,
309
00:12:56.382 --> 00:12:58.124
et des tiers qui ont été...
310
00:12:59.281 --> 00:12:59.398
Oui,
311
00:12:59.765 --> 00:13:00.562
alors effectivement...
312
00:13:00.563 --> 00:13:01.523
Faire des traitements dessus,
313
00:13:02.538 --> 00:13:04.898
comment on doit lire tout cet écosystème ?
314
00:13:05.663 --> 00:13:07.523
Alors l'ACNIL,
315
00:13:07.663 --> 00:13:08.304
dans ce cas-là,
316
00:13:08.476 --> 00:13:13.382
c'est centré sur la violation de la réglementation par CGDim Santé.
317
00:13:13.947 --> 00:13:14.468
Mais en réalité,
318
00:13:14.528 --> 00:13:14.969
effectivement,
319
00:13:14.970 --> 00:13:17.631
on est dans un écosystème global avec des partenaires différents.
320
00:13:17.632 --> 00:13:23.359
On a d'abord le professionnel de santé qui va collecter la donnée et qui va traiter de la donnée de ses patients.
321
00:13:24.078 --> 00:13:24.875
Ce qu'il faut savoir,
322
00:13:24.976 --> 00:13:33.726
c'est qu'à chaque fois qu'une entité ou une personne à titre professionnel traite de la donnée personnelle et a fortiori de la donnée de santé,
323
00:13:34.320 --> 00:13:35.164
il a des obligations.
324
00:13:35.414 --> 00:13:42.242
Donc le professionnel a lui-même des obligations en tant que responsable de traitement sur la collecte et la manière dont il traite les données de santé de ses patients.
325
00:13:42.898 --> 00:13:43.351
Ensuite...
326
00:13:43.551 --> 00:13:53.791
on a l'éditeur de logiciels qui lui a en plus une double casquette parce qu'il va héberger les données de santé de son professionnel donc sur instruction de son professionnel il les héberge,
327
00:13:54.252 --> 00:13:57.651
il intervient en tant que sous-traitant du professionnel de santé.
328
00:13:58.455 --> 00:14:12.002
Et là ça crée une complexité parce qu'en tant que sous-traitant le professionnel qui lui est responsable de traitement a des obligations de vérification il est responsable de son sous-traitant donc le professionnel de santé le médecin doit s'assurer ...
329
00:14:12.507 --> 00:14:15.587
que l'éditeur de logiciel respecte bien ses obligations.
330
00:14:16.466 --> 00:14:17.087
Et par ailleurs,
331
00:14:17.107 --> 00:14:17.689
l'éditeur de logiciel...
332
00:14:17.690 --> 00:14:17.786
Ce qui,
333
00:14:17.787 --> 00:14:18.349
dans la réalité,
334
00:14:18.630 --> 00:14:19.388
n'est pas forcément fait.
335
00:14:19.708 --> 00:14:19.950
Alors,
336
00:14:20.150 --> 00:14:21.005
il a une obligation,
337
00:14:21.068 --> 00:14:21.669
mais dans la réalité,
338
00:14:21.670 --> 00:14:30.458
ce n'est pas toujours facile de demander à un médecin d'aller contrôler comment il respecte l'éditeur de logiciel dont il ne connaît pas le métier.
339
00:14:30.459 --> 00:14:31.146
Par nature,
340
00:14:31.224 --> 00:14:31.833
certainement,
341
00:14:32.052 --> 00:14:35.177
plus de capacité d'être en conformité,
342
00:14:35.568 --> 00:14:37.630
d'être conforme à la réglementation RGP.
343
00:14:37.740 --> 00:14:38.036
Donc ça,
344
00:14:38.099 --> 00:14:38.927
c'est vrai que c'est compliqué.
345
00:14:39.775 --> 00:14:42.538
Et donc l'éditeur de logiciel a une autre casquette.
346
00:14:42.677 --> 00:14:42.798
Là,
347
00:14:42.818 --> 00:14:44.021
en créant cet entrepôt,
348
00:14:44.681 --> 00:14:46.361
il n'est pas intervenu en tant que sous-traitant,
349
00:14:46.583 --> 00:14:49.228
il l'a créé pour ses propres finalités.
350
00:14:49.243 --> 00:14:51.204
Donc il est intervenu en tant que responsable de traitement,
351
00:14:51.243 --> 00:14:53.087
donc il a de nouvelles obligations.
352
00:14:54.033 --> 00:14:58.251
Et en laissant l'accès à ces données à des tiers,
353
00:14:58.470 --> 00:14:58.829
en fait,
354
00:14:59.267 --> 00:15:05.861
ces tiers ont aussi de nouvelles obligations parce qu'ils vont traiter des données pour leurs propres finalités.
355
00:15:06.345 --> 00:15:07.564
Et ils ont ces obligations-là.
356
00:15:07.767 --> 00:15:08.689
et par ailleurs
357
00:15:09.483 --> 00:15:14.147
Ils ont une obligation parce qu'ils n'ont pas collecté la donnée directement auprès des patients.
358
00:15:14.206 --> 00:15:19.010
Donc ils vont aussi devoir s'assurer que la base de données est licite.
359
00:15:19.612 --> 00:15:19.893
Donc là,
360
00:15:19.917 --> 00:15:21.792
on voit bien les chaînes de responsabilité,
361
00:15:21.854 --> 00:15:24.557
c'est-à-dire qu'on ne peut pas juste se dire « Bon ben moi,
362
00:15:24.581 --> 00:15:26.120
on m'a donné un accès contractuellement,
363
00:15:26.198 --> 00:15:26.542
c'est bon,
364
00:15:27.276 --> 00:15:28.323
je peux l'exploiter,
365
00:15:28.339 --> 00:15:30.964
il faut que je respecte les règles liées au RGPD,
366
00:15:31.151 --> 00:15:31.745
c'est suffisant. »
367
00:15:32.151 --> 00:15:32.292
Non,
368
00:15:32.698 --> 00:15:38.089
il va falloir aussi s'assurer que ces données ont été collectées licitement par l'éditeur.
369
00:15:39.287 --> 00:15:39.647
Et du coup,
370
00:15:40.829 --> 00:15:43.389
quel dispositif vous leur recommandez d'appliquer ?
371
00:15:43.432 --> 00:15:44.670
Ça dépend de qui on est ?
372
00:15:44.792 --> 00:15:45.932
Oui,
373
00:15:45.995 --> 00:15:46.674
alors c'est compliqué,
374
00:15:46.713 --> 00:15:48.178
ça dépend de qui on est.
375
00:15:48.639 --> 00:15:49.077
Généralement,
376
00:15:49.078 --> 00:15:50.256
ça va passer par le contrat,
377
00:15:51.960 --> 00:15:54.866
par la sélection des partenaires,
378
00:15:54.881 --> 00:15:55.756
prestataires,
379
00:15:56.069 --> 00:15:56.178
etc.
380
00:15:56.179 --> 00:15:56.256
Oui,
381
00:15:56.257 --> 00:15:58.522
puisque votre relation de confiance doit s'instaurer.
382
00:15:58.850 --> 00:15:59.444
Et ensuite,
383
00:15:59.522 --> 00:16:00.100
dans le contrat,
384
00:16:01.085 --> 00:16:02.553
quelles sont les obligations que j'impose ?
385
00:16:02.569 --> 00:16:07.147
Quelles sont les informations que je demande de vérification pour m'assurer que je suis dans...
386
00:16:07.523 --> 00:16:10.325
avec un partenaire qui respecte les règles,
387
00:16:10.866 --> 00:16:14.231
parce que je ne veux pas être associée avec un partenaire qui ne les respecte pas,
388
00:16:14.348 --> 00:16:17.692
et parce que je ne veux pas prendre le risque moi-même d'être en non-conformité,
389
00:16:17.731 --> 00:16:20.059
parce qu'on voit bien qu'on a des obligations de vérification.
390
00:16:20.895 --> 00:16:26.466
Donc ça va passer par un contrat et ça va passer par un suivi aussi pendant tout le long de la relation contractuelle,
391
00:16:26.825 --> 00:16:32.247
pour s'assurer que ce n'est pas parce qu'on signe un contrat qui est bien fait que c'est suffisant,
392
00:16:32.325 --> 00:16:36.731
il faut aussi s'assurer sur le long terme qu'on respecte bien ces obligations.
393
00:16:36.963 --> 00:16:37.083
Ok,
394
00:16:37.163 --> 00:16:44.929
on voit la complexité des différents acteurs dans un monde où tout est amené à se densifier.
395
00:16:45.609 --> 00:16:51.116
Comment tu lis la réglementation à venir sur le RGPD,
396
00:16:51.538 --> 00:16:51.960
sur l'IA ?
397
00:16:52.702 --> 00:16:57.484
Et dans quel sens ça va en fait et comment doivent se préparer ces acteurs ?
398
00:16:58.405 --> 00:17:00.062
Alors jusqu'à présent,
399
00:17:00.109 --> 00:17:03.593
on était plutôt sur une tendance qui était au durcissement des règles.
400
00:17:04.191 --> 00:17:07.816
On a un millefeuille de réglementations.
401
00:17:07.817 --> 00:17:09.097
On a commencé avec le RGPD,
402
00:17:09.218 --> 00:17:16.687
mais on a plein d'autres réglementations sur la data de manière générale qui sont venues en plus de cette réglementation.
403
00:17:17.304 --> 00:17:18.187
Une des dernières en date,
404
00:17:18.226 --> 00:17:20.007
c'est le règlement sur l'intelligence artificielle.
405
00:17:20.187 --> 00:17:33.124
C'est un règlement qui va rajouter des obligations dans le secteur de la santé parce qu'il est fort probable qu'un certain nombre de systèmes d'intelligence artificielle qui vont être utilisés dans le secteur de la santé Merci.
406
00:17:33.427 --> 00:17:45.074
qui vont tomber sous le coup des obligations en tant que système d'intelligence artificielle à haut risque et qui impose un nombre d'obligations à l'ensemble des acteurs de l'intelligence artificielle.
407
00:17:45.098 --> 00:17:50.403
Il ne suffit pas d'être fournisseur de l'intelligence artificielle pour être soumis à ces obligations.
408
00:17:50.528 --> 00:17:52.262
En tant qu'utilisateur professionnel,
409
00:17:52.543 --> 00:17:53.590
j'ai aussi des obligations.
410
00:17:54.309 --> 00:17:54.621
Donc ça,
411
00:17:54.684 --> 00:17:58.309
ça va clairement dans le sens d'un renforcement de la réglementation.
412
00:17:59.043 --> 00:17:59.363
Après,
413
00:17:59.503 --> 00:18:01.523
on a quand même un sujet,
414
00:18:01.683 --> 00:18:05.704
c'est qu'il y a une pression forte des acteurs de la tech pour assouplir cette réglementation.
415
00:18:06.845 --> 00:18:09.603
On a parlé rapidement tout à l'heure de distorsion de concurrence.
416
00:18:09.907 --> 00:18:15.501
On voit qu'on a un enjeu de souveraineté nationale lié à l'intelligence artificielle.
417
00:18:16.470 --> 00:18:16.845
Et donc,
418
00:18:17.173 --> 00:18:21.642
on commence peut-être à voir les prémices d'un assouplissement.
419
00:18:21.736 --> 00:18:22.282
En tout cas,
420
00:18:22.454 --> 00:18:22.564
là,
421
00:18:22.829 --> 00:18:23.548
mi-février,
422
00:18:23.564 --> 00:18:27.923
il y a eu le retrait d'une directive qui était en discussion depuis quelques années.
423
00:18:29.072 --> 00:18:32.095
sur la responsabilité en matière d'intelligence artificielle,
424
00:18:32.255 --> 00:18:35.878
qui a été totalement retirée et qui n'est plus à l'ordre du jour.
425
00:18:36.780 --> 00:18:39.983
Et on voit aussi de nouvelles solutions,
426
00:18:40.046 --> 00:18:45.553
notamment le règlement européen sur l'espace européen des données de santé.
427
00:18:46.210 --> 00:18:56.616
Ce règlement vise à harmoniser le cadre réglementaire des données de santé au niveau européen pour faciliter l'accès à la donnée de santé,
428
00:18:57.194 --> 00:18:58.116
la recherche.
429
00:18:58.263 --> 00:18:59.063
au niveau européen.
430
00:19:00.444 --> 00:19:00.584
OK.
431
00:19:01.543 --> 00:19:01.703
Donc,
432
00:19:01.764 --> 00:19:04.106
c'est à vocation à aider,
433
00:19:04.266 --> 00:19:06.145
mais à être un petit peu...
434
00:19:06.606 --> 00:19:07.325
à durcir la loi,
435
00:19:07.364 --> 00:19:07.489
quoi.
436
00:19:07.809 --> 00:19:08.067
Ouais.
437
00:19:08.262 --> 00:19:08.465
Alors,
438
00:19:08.528 --> 00:19:10.426
on était sur une tendance de durcissement.
439
00:19:10.746 --> 00:19:10.864
Là,
440
00:19:10.950 --> 00:19:17.082
on voit qu'il y a une pression qui va plutôt dans le sens de comment assouplir les règles.
441
00:19:17.083 --> 00:19:17.614
Mais vraiment,
442
00:19:17.615 --> 00:19:19.489
on est sur plutôt un curseur,
443
00:19:19.504 --> 00:19:19.785
en fait.
444
00:19:19.832 --> 00:19:20.645
C'est-à-dire que l'idée,
445
00:19:21.285 --> 00:19:22.051
c'est pas forcément de...
446
00:19:22.114 --> 00:19:22.723
C'est bloquant,
447
00:19:22.724 --> 00:19:22.848
ouais.
448
00:19:23.195 --> 00:19:24.495
D'enlever la réglementation,
449
00:19:24.575 --> 00:19:25.156
encore une fois,
450
00:19:25.236 --> 00:19:26.576
on est sur des données sensibles,
451
00:19:26.615 --> 00:19:28.056
c'est important de les protéger.
452
00:19:28.057 --> 00:19:33.459
Je pense qu'on a de la chance d'être dans un pays qui vise à protéger les droits fondamentaux,
453
00:19:33.460 --> 00:19:34.881
les intérêts des personnes.
454
00:19:35.201 --> 00:19:35.615
En revanche,
455
00:19:35.654 --> 00:19:36.060
effectivement,
456
00:19:36.076 --> 00:19:39.115
il faut placer le curseur au bon endroit pour rester compétitif et innovant.
457
00:19:39.334 --> 00:19:46.099
Donc on se retrouve face à un défi qui est comment permettre l'accès massif aux données de santé pour favoriser l'innovation,
458
00:19:47.146 --> 00:19:50.146
tout en préservant la sécurité de ces données de santé.
459
00:19:50.859 --> 00:19:56.203
pour assurer un niveau de protection suffisant aux patients et à notre système de santé national.
460
00:19:56.945 --> 00:19:57.746
Merci beaucoup,
461
00:19:57.887 --> 00:19:58.266
Caroline,
462
00:19:58.328 --> 00:20:01.711
pour ce point très clair,
463
00:20:02.211 --> 00:20:02.789
technique,
464
00:20:02.953 --> 00:20:04.391
mais on en a besoin.
465
00:20:05.594 --> 00:20:11.555
On se rend compte qu'il faut mettre en place des traitements de données qui soient à la hauteur de ces enjeux.
466
00:20:12.539 --> 00:20:14.258
Je pense que ça va beaucoup aider,
467
00:20:14.305 --> 00:20:15.617
que ce soit des fondateurs,
468
00:20:15.726 --> 00:20:16.789
des responsables data.
469
00:20:18.239 --> 00:20:26.366
Voir plus clair s'ils ont d'autres questions à vous poser ou mieux comprendre comment vous pouvez les aider ou tu souhaites rediriger nos auditeurs ?
470
00:20:27.351 --> 00:20:27.632
Alors,
471
00:20:27.905 --> 00:20:28.827
on a un site internet,
472
00:20:29.312 --> 00:20:32.030
BCLG Avocat et puis sinon sur LinkedIn.
473
00:20:32.312 --> 00:20:32.616
Parfait.
474
00:20:33.194 --> 00:20:33.452
Merci.
475
00:20:33.593 --> 00:20:33.991
À bientôt.
476
00:20:34.062 --> 00:20:34.608
Merci Nathalie.
477
00:20:36.168 --> 00:20:40.133
Merci d'avoir écouté jusqu'au bout ce nouvel épisode de Farmament Insight.
478
00:20:40.531 --> 00:20:41.672
Ce format est tout nouveau,
479
00:20:41.754 --> 00:20:44.453
alors je suis vraiment curieuse de savoir ce que vous en avez pensé.
480
00:20:44.836 --> 00:20:47.422
Partagez-moi vos retours en commentaire ou par message,
481
00:20:47.719 --> 00:20:48.477
ils sont précieux.
482
00:20:48.797 --> 00:20:49.305
Et surtout,
483
00:20:49.399 --> 00:20:54.133
abonnez-vous dès maintenant sur votre application préférée pour être sûr de ne pas manquer les prochaines sorties.
484
00:20:54.508 --> 00:20:55.008
A très vite !
