Assurance et Big Data : quelle utilisation possible des données de santé ?

Avec un assouplissement des formalités administratives concernant le traitement des données de santé, un projet de loi en faveur des Complémentaires, les alliances entre assureurs et startups devraient se développer autour de la Prévention.

Le RGPD (règlement européen sur la protection des données personnelles), qui révisera la loi Informatique et Libertés, a élargi la définition du concept de « donnée de Santé ». Cette notion désigne désormais « toute information relative à la santé physique ou mentale, passée, présente ou future, d’une personne physique ».

Elle recouvre donc non seulement l’ensemble des données liées aux parcours de soins mais aussi celles qui constituent une information sur l’état de santé de la personne dès lors que l’utilisation dépasse le cadre strictement personnel.

On distingue trois catégories de données : • Celles qui sont des données de santé par nature,  • Celles qui le deviennent en raison de leur croisement avec d’autres données, • Celles qui le deviennent en raison de leur utilisation à caractère médical.

Sont donc directement concernés les créateurs d’applications, d’objets connectés, d’algorithmes prédictifs, de services de chatbots conversationnels dans l’e-santé…

La CNIL rappelle sur son site l’utilisation restreinte et la sécurisation spécifique des données de santé, encadrées par différents textes de loi.

Les assureurs : des partenaires privilégiés pour les startups

Pourtant, depuis 2016 un assouplissement des formalités administratives sont mises en place : les traitements tels que les dossiers médicaux partagés, les dispositifs de télémédecine ou d’éducation thérapeutique ne font plus l’objet de demandes d’autorisation à la CNIL.

Et plus récemment, les discussions autour des amendements du projet de loi relatif à la mise en application du RGPD laisse présager une démarche favorable vis-à-vis :

• Des complémentaires Santé, leur permettant d’entrer dans la liste des traitements autorisés par dérogation par l’article 9 du règlement, de sorte à aligner leur régime sur celui de l’assurance maladie. 

• Des entreprises en leur permettant d’effectuer plus facilement, et plus rapidement, des traitements de données de santé à caractère personnel dans un intérêt public.

Les partenariats entre Complémentaires et startups seraient ainsi facilités. Ce qui ne veut pas dire pour autant que les exigences de la CNIL seront moindres comme nous le démontre la mise en demeure de la Caisse d’Assurance Maladie en raison de ses manquements en matière de protection des données. A noter également que le RGPD renforcera la responsabilité des prestataires.

Des partenariats déjà existants

Ces mesures vont ainsi encadrer des partenariats déjà existants mais parfois décriés, notamment au sein du Conseil national de l’Ordre des Médecins.

En 2014, Axa s’était alliée à la startup Withings, depuis rachetée par Nokia Health, en proposant un bracelet connecté à leurs assurés : l’assureur offrait par exemple des chèques-cadeaux pour 7 000 pas accomplis par jour.

Pour le maintien des personnes âgées à domicile, la filiale d’assurance de BNP Paribas, Cardif, mène actuellement une expérience avec le service de gérontologie du CHU de Limoges : des capteurs placés sur les patients collectent une série de données analysées par un algorithme, qui peut déclencher une alerte auprès du médecin traitant. 

Acceptation des utilisateurs

Mais malgré un renforcement du consentement des utilisateurs prévu par le RGPD, ce type de services ne fait pas encore l’unanimité auprès des Français. Selon une enquête T-Day Insurance, seuls 29% accepteraient de communiquer leurs données de santé à un assureur.

Et selon une étude réalisée pour France Mutuelle par OpinionWay, 55% des « 55 ans et plus » craignent que les assureurs et les mutuelles aient un jour accès à leurs données de santé et s’en servent pour adapter leurs cotisations à leur état de santé».

La loi Evin interdit en France la tarification basée sur des données médicales, la prévention et les systèmes de récompense sont donc les axes les plus pertinents à développer. Les assureurs doivent ainsi faire preuve de pédagogie et de transparence quant à l’utilisation des données personnelles pour lever les craintes de leurs assurés.