Les données de prévention au cœur d’un dilemme entre santé publique et vie privée

Professionnels, chercheurs, dirigeants : comment concilier l’efficacité des données de santé publique avec la protection de la vie privée ?

Alors que les cyberattaques explosent, que les outils d’IA se généralisent dans les systèmes de veille, un dilemme éthique persistant prend forme. Prévenir sans surveiller, protéger sans freiner : c’est tout l’équilibre que tentent de maintenir les autorités sanitaires face à une pression croissante sur les données sensibles.

En 2024, plus de 5 600 violations de données personnelles ont été notifiées à la CNIL, en hausse de 20 %. Le secteur de la santé concentre à lui seul 12 % des violations signalées. Face à cette multiplication des incidents massifs dont celui ayant exposé les données de 33 millions de personnes via Viamedis et Almerys, les professionnels s’interrogent : faut-il freiner la surveillance pour protéger la vie privée, ou renforcer les outils au risque d’éroder la confiance ?

Un secteur de la santé sous haute surveillance et haute vulnérabilité

Les chiffres parlent d’eux-mêmes : le secteur médical est devenu un terrain de jeu stratégique pour les cybercriminels. En 2024, deux incidents ont marqué les esprits : la fuite de données massives des opérateurs de tiers payant, et la mise en vente de 750 000 dossiers patients volés dans un hôpital français.

La CNIL durcit le ton : en cas de non-respect des obligations de sécurité, comme l’absence d’analyse d’impact relative à la protection des données (AIPD), les établissements peuvent écoper d’amendes jusqu’à 10 millions d’euros. Cegedim Santé en a fait les frais avec une sanction de 800 000 euros pour manquement aux règles de protection. Pourtant, les enjeux dépassent la seule conformité.

“Casser le thermomètre, ce n’est pas faire baisser la fièvre”

Dans une tribune publiée dans Le Monde, des professionnels de santé publique ont mis en garde : limiter les systèmes de surveillance épidémiologique pour des raisons de vie privée reviendrait à “casser le thermomètre”. Loin d’être de simples outils administratifs, les données issues de la prévention structurent l’ensemble de la chaîne décisionnelle en santé : veille, alerte, réponse et politique publique.

Le Réseau Sentinelles, qui repose sur 1 400 médecins volontaires depuis près de 40 ans, reste un modèle respectueux de l’anonymat tout en produisant des indicateurs épidémiologiques fiables. Mais peut-il encore suffire à l’heure des big data, des objets connectés et de l’IA prédictive ?

L’intelligence artificielle, entre promesse d’anticipation et nécessité éthique

L’intelligence artificielle bouleverse les pratiques de surveillance sanitaire. D’après une étude de l’OMS, les algorithmes d’IA permettent une détection 40 % plus rapide des épidémies. La plateforme BlueDot a ainsi identifié l’émergence du COVID-19 avant même l’alerte officielle de l’OMS. Gartner va plus loin : d’ici 2025, plus de la moitié des initiatives de santé publique intégreront l’IA.

Mais avec quels garde-fous ? Le croisement des données (géolocalisation, comportements, pathologies, réseaux sociaux) ouvre des perspectives inédites… tout en posant la question de la proportionnalité et de la transparence.

L’Agence du Numérique en Santé a tenté d’encadrer ces usages via un référentiel éthique baptisé CENS, basé sur cinq piliers : bienfaisance, non-malfaisance, autonomie, justice, développement durable. Une démarche saluée mais encore peu appropriée par les acteurs de terrain.

Grégory Aiguier, ancien président du Comité d’éthique de Santé publique France, évoque une “institutionnalisation des dilemmes” : comment collecter à grande échelle sans créer de sentiment de surveillance ? Comment mobiliser les citoyens sans alimenter leur méfiance ? L’équation reste ouverte.

Health Data Hub, TousAntiCovid : quand la confiance s’érode

La confiance citoyenne est aujourd’hui au cœur du problème. Deux exemples récents en témoignent.

Le Health Data Hub, lancé en 2019 pour centraliser les données de santé en France, continue de susciter des critiques. Son hébergement initial sur Microsoft Azure a créé une polémique durable, illustrant la difficulté à concilier souveraineté numérique et performance technique. La CNIL a demandé que l’hébergement soit transféré vers une entité relevant exclusivement du droit européen, ce qui n’est toujours pas fait à l’heure actuelle.

Quant à l’application TousAntiCovid, son efficacité est remise en question : malgré un coût de plus de 600 millions d’euros, les chercheurs pointent une efficacité “incertaine” du dispositif de contact tracing. Gaëtan Leurent, cryptographe à l’Inria, alerte sur les risques de recoupement d’informations : “Il y avait une promesse forte d’anonymat. Elle n’a pas été totalement tenue.”

Résultat : les professionnels de santé se retrouvent souvent entre deux injonctions contradictoires. D’un côté, on exige des indicateurs fiables et prédictifs. De l’autre, on leur impose un devoir de confidentialité renforcé… dans un cadre réglementaire de plus en plus complexe.

Un cadre juridique mouvant, des attentes citoyennes plus fortes

Le RGPD reste le socle de la protection des données personnelles en Europe. Mais il doit désormais cohabiter avec un “paquet numérique” plus large, incluant le Digital Services Act (DSA), le Data Governance Act (DGA), et surtout le Règlement sur l’Intelligence Artificielle.

Ce millefeuille législatif complexifie les obligations des établissements, en particulier ceux traitant des données sensibles de prévention. La CNIL le reconnaît dans son rapport 2024 : “Nous devons élever le niveau de maturité des acteurs pour accroître la sécurité globale.”

La protection des mineurs est par ailleurs devenue un sujet central. Face à la notion de “désert de données pour adolescents”, plusieurs pays (dont la France) renforcent leurs exigences sur le traitement des données des moins de 18 ans.

Quelles conséquences pour le terrain médical et institutionnel ?

Pour les professionnels, cela signifie :

• Repenser la gouvernance des données, avec des AIPD systématiques, des DPO actifs, et des protocoles de cybersécurité renforcés.
• Adopter une position d’équilibre : ni technophilie naïve, ni technophobie paralysante.
• Former les soignants, administrateurs et responsables de prévention aux principes éthiques et techniques du traitement de données.
• Intégrer les citoyens dans une démarche de transparence et de participation, afin de rétablir un climat de confiance.

De nombreux projets montrent qu’un équilibre est possible. Des plateformes comme Sentiweb, ou des outils d’IA validés en santé publique, prouvent que l’on peut concilier utilité collective, innovation et respect des droits.

Vers une surveillance éthique, ouverte et efficace ?

Ce qui est en jeu n’est pas seulement la conformité réglementaire. C’est la capacité de notre système de santé à prévenir plutôt que subir, à agir vite sans violer la confiance, à innover sans fragiliser les droits fondamentaux.

Les données de prévention sont au cœur d’un dilemme de société : faut-il tout mesurer pour mieux protéger ? Ou fixer des limites claires pour garantir les libertés individuelles ? La réponse n’est ni binaire ni figée.

Ce qui semble certain, c’est que l’avenir passera par trois impératifs :

1. Des cadres éthiques solides et appropriés aux outils d’IA.
2. Une cybersécurité renforcée, en particulier dans les établissements traitant des données sensibles.
3. Une communication transparente, capable de restaurer la confiance entre institutions, soignants et citoyens.

La santé publique ne peut pas se faire sans données. Mais elle ne peut pas non plus se faire sans éthique.