Royaume-Uni : le NHS revend les données de santé des britanniques

Royaume-Uni : le NHS revend les données de santé des britanniques

Par Anne-Charlotte Andrieux et Irène Corne

Alors que la Commission européenne vient tout juste de rendre une décision d’adéquation en faveur du Royaume-Uni, permettant le transfert de données outre-manche sans instrument de transfert complémentaire, le Financial Times révèle qu’une centaine de bases de données, dont des bases de données de santé, auraient été partagées par l’organisme de santé public britannique (NHS) avec des acteurs privés.Après l’affaire IQVIA, ayant suscité la réaction de la CNIL au printemps dernier pour avoir collecté des données de santé auprès des pharmacies, et les multiples attaques informatiques ayant ciblé les établissements de santé français au cours des derniers mois, c’est aujourd’hui la question du sort des données de santé britanniques qui se pose.

En effet, si la pandémie a mis en lumière l’importance du partage des données de santé aux fins de recherche et d’amélioration de la qualité des soins, ce partage soulève de nombreux enjeux lorsque les destinataires de ces transferts sont des organismes privés.

Quand le NHS revend les données de santé des britanniques 

Dans le contexte de la pandémie de COVID-19, le ministère de la Santé a fait part de son intention d’améliorer l'accès des chercheurs aux données du NHS.

Le NHS (National Health Service) transmet ainsi les données de patients à des institutions publiques mais également à des entreprises privées, des laboratoires pharmaceutiques ou des sociétés spécialisées dans le traitement des données[1].

L’absence de transparence sur les destinataires des données de santé et sur l’utilisation qui en est faite pose question au regard de leur nature et des exigences de protection prévues par le RGPD. En effet, il s’agit d’une catégorie particulière de données personnelles, dites sensibles. En conséquence, leur recueil et traitement sont en principe interdits, sauf dans les cas prévus par l’article 9 du RGPD :

  • La personne a donné son consentement exprès de manière libre et éclairée ;
  • Les données sont nécessaires dans un but médical ou pour la recherche dans le domaine de la santé ;
  • L’utilisation des données est justifiée par un intérêt public important ;

Bien que le NHS propose aux patients une option permettant de refuser le partage de leurs données (opt-out), il est rapporté que les données pseudonymisées ont tout de même été partagées avec des organisations externes, et ce dans 84 % des cas où les patients se sont opposés au partage.

Entre promotion de la recherche et intérêts privés

Pis encore, le Financial Times a révélé que certains organismes fixeraient le prix de l’accès à ces données et restreindraient l’accès de la NHS à l’analyse de ses propres données[2].

Il a également été constaté que les informations tirées de ces données étaient souvent partagées ou vendues à des sociétés qui les utilisent pour fixer le prix des produits revendus au NHS ou, à l'inverse, restreignent l'accès du NHS à l'analyse de ses propres données, créant ainsi des conflits d'intérêts. Les principales critiques portent sur l'opacité du sort réservé aux données une fois qu'elles ont quitté les serveurs du NHS, et sur l'absence d'audit au long court des entreprises figurant dans le registre pour prévenir les risques de dissémination.

Afin d'examiner les groupes qui ont bénéficié de l’accès à ces données, le Financial Times a comparé les bénéficiaires avant et pendant la période de pandémie. Il en ressort que la société IQVIA, connue pour son suivi des habitudes de prescription des médecins aux États-Unis pour le compte de sociétés pharmaceutiques, a reçu le plus de données dans la période post-pandémique.

Asymétrie de pouvoir entre le NHS et les acheteurs privés

Selon une étude publiée dans le British Medical Journal l'accès du service de santé à l'ensemble des données d'IQVIA est restreint provoquant ainsi une asymétrie de pouvoir entre les entreprises du secteur privé et le NHS. Dans certains cas, le NHS ne serait pas en mesure de communiquer les données aux organismes de réglementation britanniques sans l'autorisation préalable d'IQVIA.

Des économistes ont tenté de déterminer comment évaluer les données relatives à la santé, et de protéger le NHS contre l'exploitation par le secteur privé. Certains ont suggéré que tout produit financier provenant de ses données sur la santé soit réservé à la santé publique et aux soins sociaux.

La problématique liée au contrôle des données personnelles, et plus précisément des données de santé, n’est pas spécifique au Royaume-Uni. En France aussi, l’enjeu est de taille. De même, le choix retenu par le Health Data Hub pour l’hébergement des données de santé s’est porté sur Microsoft Azure, ce qui n’avait pas manqué de faire réagir la CNIL.

***

Le cabinet HAAS Avocats est spécialisé depuis plus de 20 ans dans la protection des données personnelles et se tient à vos côtés pour vous accompagner dans la conformité de vos traitements de donnéesPour en savoir plus, contactez-nous ici.

 

[1] https://www.lesechos.fr/idees-debats/editos-analyses/royaume-uni-quand-les-donnees-de-sante-echappent-au-nhs-1334739

[2] Ibid.

Anne-Charlotte Andrieux

Auteur Anne-Charlotte Andrieux

Suivez-nous sur Linkedin