La Fédération des maisons médicales développe un recueil de données de santé de première ligne composé de données prélevées dans les dossiers de santé informatisés des patients de maisons médicales. La mise en place de ce recueil de données a soulevé d’importantes questions relatives au respect de la vie privée des patients. Des points de vue éthiques et législatifs ont été pris en compte pour apporter une solution permettant de poursuivre le projet tout en respectant les patients et leurs droits.
Depuis plusieurs années, la Fédération des maisons médicales travaille à la réalisation d’un tableau de bord permettant une meilleure connaissance de la population des maisons médicales. Dans ce cadre, nous avons très tôt été confrontés aux problèmes liés au respect de la vie privée.
Le mouvement des maisons médicales s’est développé pour défendre le droit de chacun à des soins de qualité. C’est dans cette optique de défense des droits des citoyens que la Fédération des maisons médicales a initié un projet de récolte de données à caractère épidémiologique, financé par la Région wallonne et la Commission communautaire française. Le but de ce projet est de nous aider à objectiver les problématiques rencontrées en maison médicale, améliorer les pratiques dans les équipes, fournir des informations sur les soins de première ligne et obtenir des éléments concrets pour défendre le modèle du centre de santé intégré.
Le tableau de bord est réalisé à partir des dossiers des patients des maisons médicales. Chaque patient a, dans sa maison médicale, un Dossier de santé informatisé qui contient des données socio administratives et des données de santé. Celles-ci sont encodées au fur et à mesure des consultations, il s’agit de données de routine, leur objet premier est de constituer le dossier médical du patient pour pouvoir le soigner correctement. Le tableau de bord est constitué d’une partie [1] des informations enregistrées dans ce dossier.
Chaque équipe envoie à la Fédération une base de données constituée de données de ses patients. En retour, elle reçoit un rapport d’analyse comportant ses propres résultats ainsi que des comparaisons au niveau régional ou fédéral. Ce rapport permet à chaque équipe d’évaluer la progression de son encodage et certaines de ses pratiques. Toutes les bases de données sont ensuite agrégées, pour avoir une vue d’ensemble de la population rencontrée dans les maisons médicales.
Dans ce contexte de mouvement défendant, entre autres, les valeurs de la citoyenneté et de l’autonomie, les équipes nous ont rapidement interpellés sur la question du respect de la vie privée. Notamment sur la responsabilité qu’elles ont en tant que détentrices des données de santé de leurs patients : même si nos buts sont louables et centrés sur l’intérêt des patients, elles considéraient que les données de ces derniers ne pouvaient être utilisées sans les en avertir, que les données soient anonymes ou non. Celles-ci ont notamment été recueillies dans le cadre du colloque singulier pour permettre de soigner le patient et il n’est pas prévu à priori qu’elles servent à autre chose.
Par ailleurs, ces données pourraient représenter une valeur marchande pour certains secteurs (assurances, industrie pharmaceutique) et doivent donc être traitées avec prudence.
Ces constats nous ont amenés à prendre du temps pour approfondir la question, analyser les textes légaux et les recommandations éthiques et trouver une solution respectueuse de chacun pour réaliser ce projet dans de bonnes conditions.
Nous avons cherché de l’information auprès de plusieurs sources (cf. bibliographie), nous avons procédé à une analyse des textes juridiques et rencontré des experts [2] pour étudier les bases légales nécessaires au respect de la vie privée mais aucun des documents analysés ne traite directement du recueil de données de routine. Nous avons également sollicité l’avis du comité d’éthique de la Fédération des maisons médicales (organe indépendant).
Une notion complexe
La matière est dense et complexe et la loi, qui est indispensable et a le mérite d’exister, n’est pas vraiment adaptée à une collecte de données récurrente car elle a apparemment été conçue pour éviter principalement les dérives de type commercial.
Il existe une obligation de remplir une « déclaration de traitement de données » auprès de la Commission vie privée pour toute personne utilisant un fichier de données. Cette obligation est très mal connue : combien de médecins (et autres professions) sont-ils en règle ? Par ailleurs, certains croient que cette démarche garantit que l’utilisateur traite ses données correctement, ce qui n’est pas le cas : la commission vérifie seulement que la déclaration est conforme, elle ne statue pas sur le bien fondé du traitement en question ni sur ses modalités d’application. Autrement dit, le fait que quelqu’un (personne ou association) ait fait une déclaration de traitement de données ne prouve pas qu’il utilise ces données à bon escient.
Un point important et central de la loi vie privée est son intitulé, en effet elle ne concerne « que » les « données à caractère personnel ». En gros, si une donnée n’est pas « à caractère personnel », on peut en faire à peu près ce que l’on veut, par contre, si elle l’est, les restrictions sont nombreuses. Est une donnée à caractère personnel « toute information concernant une personne physique identifiée ou identifiable (…) ; est réputée identifiable une personne qui peut être identifiée, directement ou indirectement, notamment par référence à un numéro d’identification ou à un ou plusieurs éléments spécifiques, propres à son identité physique, physiologique, psychique, économique, culturelle ou sociale » (article 1, §1 de la loi « vie privée »).
En résumé, étant donné la variété des données récoltées dans notre tableau de bord (âge, commune du domicile, données de santé,…) et bien que nous ne disposions d’aucune donnée d’identification directe, il est théoriquement possible de reconnaître une personne en croisant plusieurs variables. Nos données ne sont donc pas anonymes au sens de la loi.
Comment pouvions-nous dès lors mener à bien notre projet ? Plusieurs possibilités.
Rendre les données complètement anonymes
Toute la richesse du projet serait perdue car cela nous limiterait à quelques données très générales. En effet les bases de données des équipes sont relativement petites et le croisement de certaines caractéristiques ne permet pas de garantir l’anonymat absolu de l’ensemble des patients. Par exemple, si je connais une dame de nonante cinq ans (il y a peu de personnes aussi âgées en maison médicale) qui consulte à la maison médicale de mon quartier et que je sais qu’elle a une prothèse de hanche depuis vingt ans, je pourrais la retrouver en faisant une recherche spécifique dans la base de donnée car il y a peu de personnes qui répondent à tous ces critères en même temps.
Le tiers de confiance
Les équipes envoient leurs données à un organisme qui se charge de regrouper toutes les données et d’effacer le nom de la maison médicale : la base de données étant plus importante garantit un meilleur anonymat. En effet, au lieu de quarante fichiers d’environ 2500 patients, on obtient un fichier de 100.000 patients dans lequel il est impossible de reconnaître la dame de nonante cinq ans. Mais certaines informations importantes doivent être abandonnées : d’une part toutes les maladies un peu trop rares ne pourront pas être prises en compte et d’autre part, n’ayant plus la possibilité de faire le lien avec la maison médicale, nous ne pourrions plus réaliser une analyse de leurs données. Or, cette analyse est importante car elle représente à la fois un juste retour pour leur implication dans le projet ; un bon moyen pédagogique pour les aider à progresser dans leur encodage et également un outil utile dans le processus de développement de la qualité.
La procédure de consentement
Pour que l’on puisse extraire les données d’un patient et les envoyer hors de la maison médicale, celui-ci doit au préalable signer un consentement éclairé, c’est-à-dire qu’il doit comprendre tous les tenants et aboutissants de la démarche : quelles sont les données transmises, à qui, et pour quelles finalités. Il s’agit d’un processus long et couteux en énergie pour le personnel des maisons médicales et il est tributaire de l’importance que les équipes lui attribuent.
Nous avons opté pour la procédure de consentement. Si cette procédure est lourde et demande beaucoup de travail aux équipes, elle s’avère toutefois être la plus correcte vis-à-vis des patients. Pour que l’attente de la signature des patients n’entrave pas le démarrage du projet et les premières analyses, nous avons provisoirement mis en place une récolte de données scindée. Nous disposons donc de deux bases de données distinctes avec impossibilité de les croiser : l’une reprenant les données administratives et l’autre, simplifiée, reprenant les données de santé (excluant les pathologies rares). Ce processus permet d’obtenir des données anonymes. Ensuite, quand la question du consentement aura été posée à l’ensemble des patients, des données plus précises pourront être récoltées et rassemblées dans une base de données unique. Les données permettant une identification directe (nom, numéro de téléphone, adresse, jour de naissance) ne seront bien entendu jamais récoltées, et des garde-fous importants sont dès à présent mis en place pour garantir la confidentialité des données qui nous sont confiées (données hors réseau internet et sécurisées contre le vol et l’incendie).
Et pourtant « Le consentement éclairé n’existe pas » nous disait Jean-Pierre Lebrun dans un article publié il y a quelques années [3]. En effet, la communication est par essence source de malentendu, surtout quand elle touche à des thèmes aussi sensibles que la santé et en particulier dans un contexte inhabituel [4] sans compter la dissymétrie existant dans la relation entre un patient et son médecin, même quand celui-ci est persuadé de l’égalité fondamentale entre êtres humains.
Cependant, le recueil du consentement est valable et utile, et « il ne faudrait pas récuser définitivement sa pratique » comme le précisait également Jean-Pierre Lebrun, à condition de prendre en compte ses limites. Le consentement sera en effet rarement complètement éclairé, surtout quand on considère la complexité de la matière. Mais est-ce un problème si le patient fait confiance à son médecin ? L’important est de ne pas tromper le patient, de lui expliquer les enjeux aussi clairement que possible (sans l’effrayer), de lui garantir que son choix n’influencera pas la manière dont il sera traité, et de pouvoir accepter que si manifestement un patient ne comprend pas du tout de quoi on lui parle, son incompréhension équivaut à un refus. Cette procédure implique que la personne qui demandera le consentement des patients comprenne toutes les subtilités de la problématique. Et c’est au moment où on essaye de transmettre l’information aux collègues que l’on mesure mieux toute la complexité de la tâche.
A ce jour plusieurs équipes sont entrées dans le processus, certaines ont déjà recueilli le consentement (ou le refus) de plus de la moitié de leurs patients, d’autres n’ont pas encore commencé. A titre d’information, les résultats actuels (qui vont encore évoluer) se situent entre 5 et 15 % de refus.
Les difficultés
Une des notions les plus difficiles à expliquer au patient est la notion d’anonymat car elle diffère de celle utilisée en langage courant :
• pour le Petit Robert, anonyme signifie « Dont on ignore le nom, ou qui ne fait pas connaitre son nom »,
• dans la loi vie privée, il s’agit de « données qui ne peuvent pas être mises en relation avec une personne identifiée ou identifiable et qui ne sont donc pas des données à caractère personnel » [5] ceci signifie qu’une donnée n’est anonyme que quand on n’a absolument aucun moyen de pouvoir deviner l’identité d’une personne même par différents recoupement (cf. supra).
Ces précisions sont importantes et ne doivent pas être remises en cause, même s’il pourrait être intéressant de réfléchir à définir plusieurs degrés dans l’anonymat.
La difficulté, c’est le terme même d’« anonymat » : comment expliquer clairement aux patients que les données recueillies sont anonymes au sens courant (non nominatives) mais pas aux yeux de la loi (parce qu’en croisant les données on pourrait théoriquement les reconnaitre) ?
Il est encore plus difficile de donner une information correcte lorsque les personnes concernées ne parlent pas ou peu le français, et / ou sont dans une situation précaire, comme des personnes sans papiers qui refusent de signer par crainte d’être « fiché » ou ne comprennent pas de quoi il s’agit. Elles ne sont donc pas en mesure de donner un consentement « éclairé » ce qui implique qu’elles ne peuvent pas être incluses dans l’analyse.
Par ailleurs, parler de l’utilisation des données, peut entrainer une foule d’autres questions et il faut parfois éclaircir des notions qui semblaient évidentes. Par exemple, lors d’une soirée débat avec des patients et des soignants sur l’utilisation des données, nous avons présenté le projet tableau de bord, ses tenants et aboutissants et la nécessité de signer un consentement. Au cours des échanges qui ont suivi, les questions ne portaient pas tant sur ce qu’il adviendrait des données à la Fédération, que sur ce qu’est un Dossier santé informatisé, sur la manière dont les données étaient partagées au sein de la maison médicale ou avec des spécialistes, ou encore sur les informations qui transitent entre les mutuelles et les maisons médicales.
Les outils
Nous avons donc proposé aux équipes quelques outils : un résumé des contenus les plus importants de la loi avec des extraits de celleci, un document de consentement, une affiche pour la salle d’attente, un séminaire pour discuter avec des experts et un compte-rendu des échanges, des visites lors des réunions d’équipe ou lors d’un échange avec des patients. De plus, les équipes peuvent toujours poser des questions à la Fédération, une mesure indispensable : c’est au moment de la mise en place du processus de consentement que les questions concrètes se présentent, par exemple « si un patient refuse de signer, peut-on encore utiliser ses données pour rédiger le rapport d’activités ? » [6].
Les restrictions
Le seul bémol de la démarche retenue est que nous pourrons probablement plus difficilement observer certaines populations plus précarisées, en particulier les plus mobiles d’entre-elles dont le lien de confiance avec les soignants est fragile. Comme dit ci-dessus, ce sont ces catégories de population qui sont le plus susceptibles de refuser de signer le document de consentement, ce qui est dommage car les maisons médicales pourraient être un poste d’observation unique pour ces personnes fréquentant peu les circuits plus traditionnels des soins. Il faudra probablement envisager une autre façon de prendre en compte leurs besoins et le type de problématiques de santé qu’elles rencontrent (par exemple par enquête).
Les bénéfices secondaires
Par ailleurs, l’exigence de ce consentement écrit a plusieurs mérites :
• Obliger soignants et patients à réfléchir à la valeur des données collectées dans le cadre du soin : si un document doit être signé pour les utiliser ailleurs, c’est que la situation n’est pas anodine ; avec un peu de chance, ou avec l’aide d’une action spécifique, cela peut déboucher sur une réflexion plus générale sur la manière dont chacun dispose de sa vie privée, ce qu’il en dit, à qui, comment… via les cartes de fidélité ou via les réseaux sociaux sur Internet…
• Mettre le patient dans une position de sujet, responsable de ce qui lui appartient et interlocuteur valable.
• Rappeler aux soignants leur obligation de protection de ces données.
• Permettre d’engager la discussion sur le secret partagé, sur le Dossier de santé informatisé : les informations qui y sont ou non reprises, le degré de confidentialité que l’on peut donner aux informations (visibles pour tous les soignants ou seulement pour celui qui encode l’information)…
La spécificité de notre recueil de données de santé de routine est de rassembler des données qui ne sont pas suffisamment indépendantes pour être considérées comme étant anonymes, mais qui sont dans le même temps trop anonymes pour pouvoir remplir toutes les obligations liées à la détention de données à caractère personnel [7]. En l’absence d’une procédure spécifiquement adaptée à ce recueil de données, nous avons choisi de demander le consentement éclairé de chaque patient pour pouvoir utiliser ses données hors de la maison médicale. Evidemment cette procédure prend du temps, qu’il faut « grignoter » sur le temps consacré au soin, mais elle est indispensable dans le cadre du travail entrepris et ce temps n’est pas perdu. Elle permet aussi de prendre conscience de l’importance des données que nous manipulons au quotidien, qui font tellement partie de notre univers que nous en oublions parfois qu’elles représentent l’intimité des patients et qu’elles leur appartiennent.
Article aussi publié dans Ethica clinica.
Bibliographie
• Loi relative aux droits du patient – 22 août 2002.
• Version coordonnée de la loi relative à la protection des données à caractère personnel du 8 décembre 1992 (janvier 2006).
• Arrêté royal portant exécution de la loi du 8 décembre 1992 relative à la protection de la vie privée à l’égard des traitements de données à caractère personnel. 13 février 2001 – publié au monteur le 13-03-2001. • La protection des données personnelles en Belgique 1er septembre 2001 – actualisé le 8 février 2007 document proposé par la Commission vie privée, disponible sur son site internet.
• Charte CISP Club « Charte pour une éthique de l’information clinique » 8 octobre 2005.
• Comité d’éthique Erasme ULB http://www.erasme.ulb.ac.be/page.asp ?id=9508&langue=FR
• La Déclaration d’Helsinki (juin 1964 et modifications ultérieures) : ensemble de recommandations destinées à guider les médecins dans les recherches biomédicales.
• Recommandations de l’ADELF (Association des épidémiologistes de langue française) en 2003 : « Déontologie et bonnes pratiques en épidémiologie ».
• Ethica clinica n°6 année 1997.
• Conseil national de l’Ordre des médecins : diverses recommandations concernant l’utilisation de données médicales. Accessible sur Internet www.ordomedic.be.
• Avis n°13 du Groupe européen d’éthique des sciences et des nouvelles technologies auprès de la commission européenne : « Aspects éthiques de l’utilisation des données personnelles de santé dans la société de l’information » 30 juillet 1999.
• e-health, Groupe de travail G19 - Note relative au consentement éclairé - dans le projet « hub & metahub » https://www.ehealth.fgov.be/sites/active.webehealthprd.ehealth.fgov.be/files/assets/fr/pdf/news/note-consentement--clair-.pdf
• Durand G., Introduction générale à la bioéthique, histoire, concepts et outils. Montréal : ides/Cerf ; 1999.
• Kremer-Marietti A., L’éthique, Paris : Presses universitaires de France ; 1987.
• Denis B., Bellefontaine V., Marganne M., Drielsma P., « Prévalence du diabète de type 2 et inégalités sociales de santé », Rev Med Brux 2011, 2011 : 10-13
[1] Les données extraites sont des données administratives et de santé (pathologies, vaccination, conduites à risques,…). Parmi elles sont analysées les variables suivantes : nombre de patients, année de naissance, sexe, code postal, accès aux soins de santé, code titulaire, statut mutuelliste, niveau d’études, vaccination grippe, mammographie, diabète de type 2, Body mass index - BMI, obésité, relevé de tension, hypertension, tabagisme, nombre de cigarettes. Pour plus de détails : vade-mecum du tableau de bord sur le site www.maisonmedicale.org.
[2] Centre de recherche informatique et droit (CRID) aux Facultés universitaires Notre-Dame de la Paix (FUNDP).
[3] Ethica clinica n°6 1997.
[4] En général, un patient va chez son médecin avec une plainte et il attend un avis à propos de cette plainte ; dans le cas du consentement, le médecin introduit une information sur sa manière de travailler, parle de ce qu’il encode dans l’ordinateur et demande au patient de donner un avis, une autorisation pour une utilisation extérieure de ses données, ce n’est pas un comportement fréquent.
[5] Arrêté royal portant exécution de la loi du 8 décembre 1992 relative à la protection de la vie privée à l’égard des traitements de données à caractère personnel. 13 février 2001 – publié au moniteur le 13-03-2001.
[6] Oui, puisque les données individuelles ne sortent pas de la maison médicale et que les analyses entrent bien dans le cadre des missions de la maison médicale.
[7] La constitution d’un fichier de données à caractère personnel implique de donner aux personnes reprises dans le fichier la possibilité de modifier ou supprimer certaines de leurs données si elles le souhaitent. cf. Loi vie privée.Ce qui est quasiment impossible et n’a pas beaucoup de sens dans le cas d’un fichier ne comportant pas de données d’identification directe.
n° 58 - octobre 2011
Tous les trois mois, un dossier thématique et des pages « actualités » consacrés à des questions de politique de santé et d’éthique, à des analyses, débats, interviews, récits d’expériences...
