Tribune
Par
Me Elise Debiès et Pr Pierre-Antoine Gourraud
Avocate au barreau de Paris et Professeur des universités – Praticien hospitalier Nantes Université
L’espace européen de données d’assurance augmentée en santé ne pourra exister que s’il repose sur la transparence des consentements et l’usage de données synthétiques anonymes. Les « espaces de données », écosystèmes où les organisations partagent des données de manière décentralisée, régulée et contrôlée, sont un levier stratégique pour l’innovation et le développement des secteurs industriels et de services en Europe, désormais encadrés par le règlement européen sur la gouvernance des données (DGA)1. L’espace européen de données « assurance augmentée en santé » est essentiel à une IA de confiance en assurance santé : une IA centrée sur des usages explicites, explicable, robuste, responsable, conforme à la réglementation et aux standards.
Dans un secteur aussi concurrentiel que celui de l’assurance, l’idée même de partager des données peut sembler contre-intuitive. Pourtant, elle s’imposera comme une nécessité tant pour les pouvoirs publics et les assureurs que pour les assurés eux-mêmes. Le principe de mutualisation du risque peut se doubler d’une solidarité nouvelle par le partage des données. Créer des programmes personnalisés de prévention en santé, à partir de données issues de strates complémentaires, de la science au bien-être, c’est l’affaire de tous et de chacun. Mais ces usages vertueux ne pourront éclore sans un cadre éthique et technologique rigoureux qui garantisse la confiance des assurés.
Le cadre juridique européen sécurise les usages de la donnée en assurance santé
Développer des systèmes d’intelligence artificielle fiables et robustes devient la ligne de mire des data spaces. Le règlement européen sur l’IA (RIA)2 intègre dans son annexe III, parmi les SIA à haut risque, « les systèmes d’IA destinés à être utilisés pour l’évaluation des risques et la tarification en ce qui concerne les personnes physiques en matière d’assurance-vie et d’assurance maladie ». Qualifiées de « prestations sociales essentielles », elles se voient appliquer dans ce contexte les exigences et garanties propres aux SIA à haut risque, qui préservent la santé, la sécurité et les droits fondamentaux.
Les données synthétiques sont visées par le DGA, dont le considérant 7 prévoit qu’« il existe des techniques permettant d’effectuer des analyses dans les bases de données contenant des données à caractère personnel, notamment l’anonymisation, la confidentialité différentielle, la généralisation, la suppression et la randomisation, l’utilisation de données synthétiques […], qui pourraient contribuer à un traitement des données plus respectueux de la vie privée ».
L’espace européen des données de santé (EHDS)3 a précisé les « finalités interdites » des réutilisations de données de santé : sélection du risque, mais aussi « prise de décisions préjudiciables à une personne physique ou un groupe de personnes physiques sur la base de leurs données de santé électroniques », ce qui permet d’exclure toute réutilisation en assurance préjudiciable à des personnes répondant à des profils (article 54 EHDS). De plus, les personnes peuvent « refuser à tout moment et sans motif le traitement des données de santé électroniques à caractère personnel les concernant à des fins d’utilisation secondaire » (article 71 EHDS). C’est une garantie nouvelle extrêmement importante, qui doit faire l’objet d’une information intelligible des personnes et de mécanismes fiables de prise en compte des refus et des retraits de consentements.
La mise en œuvre d’un data space en assurance santé s’appuiera sur la traçabilité des consentements et le recours aux données synthétiques
L’exploitation des données d’assurance en santé, de données de data spaces sectoriels utiles aux programmes de prévention en santé, de données de qualité de vie et bien-être issues d’objets connectés, dans le respect des finalités autorisées, est particulièrement sensible. Elle exige un équilibre entre usage de données personnelles et non personnelles, traçabilité des consentements, transparence des finalités et robustesse des infrastructures.
Le consentement est non seulement l’apanage de la personne concernée par le traitement de ses données personnelles, mais devient aussi un instrument sur le terrain concurrentiel : La CJUE a récemment sanctionné le non-respect des conditions de recueil du consentement au titre de la concurrence déloyale4. Face au développement des usages secondaires des données, il devient crucial d’adopter des mécanismes de transparence dynamiques, comme les portails de contrôle en continu. Ceux-ci doivent offrir aux citoyens une vue claire et compréhensible sur les usages de leurs données, tout en garantissant un contrôle effectif et permanent.
L’intégration de « données synthétiques anonymes mises en qualité » offre une perspective prometteuse, réconciliant respect de la vie privée de chacun et innovation au service de tous. La notion de « données synthétiques » renvoie d’abord à la capacité à simuler des données de granularité individuelle, soit avec des modèles mathématiques, soit avec des bases de données et souvent en combinant les deux. Ensuite, les qualifier d’« anonymes » indique que les critères du G29 ont été étudiés et sont respectés. Enfin, plus important encore, ces données sont « mises en qualité », c’est-à-dire adaptées aux usages en les amplifiant et en corrigeant leur biais. L’usage systématique de ces données synthétiques permettrait d’enrichir les analyses prédictives tout en s’immunisant des risques de réidentification.
Pour que l’Europe reste maître de son avenir numérique, elle doit construire un modèle de « soli-data-rité » : une solidarité fondée sur le partage éthique et maîtrisé des données. Ce n’est qu’ainsi que l’assurance augmentée en santé du XXIe siècle pourra réellement voir le jour et remplir sa mission au service de tous, dans le respect de chaque individu.
Sources :
1. RÈGLEMENT (UE) 2022/868 DU PARLEMENT EUROPÉEN ET DU CONSEIL du 30 mai 2022 portant sur la gouvernance européenne des données.
2. RÈGLEMENT (UE) 2024/1689 DU PARLEMENT EUROPÉEN ET DU CONSEIL du 13 juin 2024 établissant des règles harmonisées concernant l’intelligence artificielle.
3. RÈGLEMENT (UE) 2025/327 DU PARLEMENT EUROPÉEN ET DU CONSEIL du 11 février 2025 relatif à l’espace européen des données de santé et modifiant la directive 2011/24/UE et le règlement (UE) 2024/2847
4. CJUE, gde ch., 4 oct. 2024, aff. C. 21/23, Lindenapotheke.
