Au Canada, les courtiers en données commerciales peuvent actuellement utiliser des données dépersonnalisées sur les patients détenues par les pharmacies, les régimes d’assurance-médicaments privés, le gouvernement fédéral et les cliniques médicales, et ce, sans le consentement des patients.

Même si les sociétés pharmaceutiques sont les principaux clients des courtiers en données, des chercheurs ainsi que des organismes à but non lucratif et publics utilisent aussi des ensembles de données commerciales, faute d’une infrastructure publique coordonnée pour la collecte de ce type de données au Canada.

Les risques liés à l’utilisation commerciale des données sur les patients incluent la perte de l’anonymat, la surveillance et le marketing, la discrimination et la violation de la souveraineté des données des peuples autochtones.

La mise en place d’infrastructures coordonnées de collecte des données de santé partout au Canada et la mise à jour de la loi sur la protection des renseignements personnels protégeraient les individus et les communautés et favoriseraient l’usage approprié des données.

Actuellement, au Canada, les courtiers en données commerciales peuvent utiliser les données dépersonnalisées sur les patients que détiennent les pharmacies, les régimes d’assurance-médicaments privés, le gouvernement fédéral et les cliniques médicales, et ce, sans le consentement des patients. Cette utilisation est possible en raison de l’absence de dispositions visant à protéger les données dépersonnalisées. Même s’il laissait plusieurs questions importantes en suspens, un projet de loi fédéral sur la protection des renseignements personnels, la Loi sur la protection de la vie privée des consommateurs (projet de loi C-11)1, aurait pu mettre un frein à la divulgation des données dépersonnalisées à des entités commerciales. Celui-ci est cependant mort au feuilleton à la dissolution de la Chambre en août 2021. Or, il faudrait renforcer les lois pour protéger les données sur les patients et promouvoir leur utilisation appropriée. Nous expliquons ici la manière dont les données dépersonnalisées sur les patients sont actuellement utilisées, les risques potentiels associés à ces utilisations, le point de vue des patients et du public au sujet de l’utilisation de leurs données dépersonnalisées et la façon dont les lois pourraient être renforcées pour mieux protéger les Canadiens.

Des études, dont une menée auprès de groupes de discussion au Canada2–4, ont montré un certain appui du public à l’utilisation secondaire des données sur les patients (p. ex. aux fins de recherche), mais uniquement si les processus s’effectuent sous la supervision d’un organisme de recherche universitaire ou à but non lucratif reconnu et si les analyses sont clairement d’intérêt public. Lorsque le secteur commercial est impliqué, les gens sont réticents à communiquer leurs données, dépersonnalisées ou non, et ils veulent être assurés qu’elles seront utilisées pour le bien public et non à des fins commerciales2–4. Pour leur part, les groupes et les communautés systématiquement marginalisés semblent moins à l’aise que les autres avec la communication de données à des fins secondaires2, probablement en raison de la manière dont celles-ci ont été exploitées dans le passé et de la discrimination dont ils estiment faire l’objet encore aujourd’hui à l’intérieur du système de santé.

Un de ces courtiers en données, la multinationale IQVIA, a ainsi accès aux données dépersonnalisées des patients de la plupart des pharmacies canadiennes, de plusieurs régimes d’assurance-médicaments privés et des dossiers médicaux électroniques de plus d’un million de Canadiens3,5,6. Grâce à une entente conclue avec Santé Canada, IQVIA a également accès aux données dépersonnalisées sur les ordonnances délivrées à plusieurs peuples des Premières Nations et aux Inuits7. D’autres compagnies pourraient aussi vouloir entrer sur le marché des données de santé. MCI Onehealth Technologies inc., une compagnie canadienne propriétaire de 25 cliniques de soins primaires, a récemment annoncé son intention de « déverrouiller le potentiel clinique et commercial » des plus de 2 millions de dossiers médicaux électroniques qu’elle détient8.

Si les principaux clients des courtiers en données de santé sont les sociétés pharmaceutiques3, les chercheurs universitaires et certains organismes publics et à but non lucratif utilisent aussi les ensembles de données commerciales canadiennes5. Par exemple, le Conseil d’examen du prix des médicaments brevetés a utilisé les données d’IQVIA pour évaluer les médicaments et conseiller les gouvernements fédéral, provinciaux et territoriaux6. Les gouvernements et les chercheurs universitaires se tournent vers les données commerciales sur les ordonnances parce qu’il n’existe encore aucune infrastructure publique pour coordonner la collecte de ces données au Canada et que sans ces ensembles de données commerciales, ils devraient se débrouiller tant bien que mal avec des données glanées à des sources régionales et provinciales.

Les patients ont de bonnes raisons d’être inquiets de la collecte et de l’utilisation commerciales de leurs données de santé dépersonnalisées. Plusieurs études ont montré que des individus peuvent être repersonnalisés dans les ensembles de données9. Plus la puissance et les méthodes informatiques s’amélioreront, plus la repersonnalisation devrait s’en trouver facilitée. Même si les courtiers en données commerciales risquent peu de s’aventurer sur ce terrain, ceux qui achètent ou piratent les données pourraient être tentés de le faire9. En outre, dans plusieurs provinces canadiennes, les ensembles de données commerciales contiennent les identifiants des médecins, ce qui permet aux sociétés pharmaceutiques de surveiller les tendances et de cibler directement leur marketing3. Le marketing direct auprès des médecins est associé à une hausse du volume d’ordonnances, à des prescriptions de moindre qualité et à des coûts accrus10.

Même si l’anonymat est préservé, l’utilisation des données dépersonnalisées à des fins commerciales est risquée. Par exemple, des analystes peuvent utiliser les données de santé dépersonnalisées pour dresser un tableau sophistiqué concernant des groupes spécifiques afin d’adresser des messages ciblés aux personnes présentant des caractéristiques semblables. Cela peut influencer ces personnes et les pousser à faire des choix qui vont à l’encontre de leurs intérêts. Facebook a ainsi utilisé des données dépersonnalisées pour aider des annonceurs à comprendre à quel moment les adolescents seraient le plus émotionnellement réceptifs à la publicité11.

Les données dépersonnalisées sur les patients peuvent aussi servir à créer des algorithmes brevetés à usage commercial. Il a été démontré que ces types d’algorithmes reflètent et renforcent les préjugés sociaux, ce qui contribue souvent à entretenir la discrimination et à l’oppression systémiques, comme le racisme12. Étant donné que les algorithmes commerciaux sont brevetés, leurs biais inhérents sont difficiles à détecter et à corriger12.

En outre, la commercialisation des données sur les patients accroît l’accès illégal aux données relatives aux populations autochtones et le contrôle abusif de ces données13. La Déclaration des Nations Unies sur les droits des peuples autochtones affirme que ces derniers ont le droit à l’autodétermination, y compris le droit de contrôler, de protéger et de développer leur propriété intellectuelle. Lorsque des données dépersonnalisées provenant des peuples autochtones sont communiquées sans que soient respectés les principes régissant leurs façons de faire et leurs données, les droits souverains de ces peuples sont violés et les torts et l’oppression historiques, perpétués13.

Le projet de loi C-11 était une première tentative importante pour protéger les renseignements personnels dépersonnalisés. En vertu de la loi, les entités commerciales n’auraient été autorisées à communiquer sans consentement des renseignements personnels dépersonnalisés qu’aux établissements de soins de santé, aux institutions gouvernementales ou à d’autres organisations mandatées par une institution gouvernementale « pour réaliser une fin socialement bénéfique1 ». La loi aurait par contre autorisé les compagnies qui recueillent des renseignements personnels à utiliser sans consentement des données dépersonnalisées à des fins de recherche et développement internes1. Étant donné que de nombreuses pharmacies canadiennes et qu’un nombre croissant de cliniques médicales et de plateformes de soins virtuels sont la propriété de grandes sociétés, la recherche et le développement interne pourrait inclure des utilisations très vastes, comme le développement d’outils de marketing commercial.

La loi révisée devrait plutôt exiger des entités commerciales qu’elles traitent les données dépersonnalisées sur les patients comme des renseignements personnels sur la santé. Elle devrait interdire aux compagnies d’utiliser les données dépersonnalisées sur les patients pour tout autre motif que la prestation de soins cliniques, sauf sur consentement du patient. La seule exception devrait être la communication à des établissements de soins de santé ou à d’autres organisations désignées, comme le précise le projet de loi C-111. La loi devrait clairement établir que les données dépersonnalisées sur les patients relèvent d’organismes de réglementation de la protection de la vie privée et fixer des obligations de transparence et de responsabilité.

Pour combler le vide que laisseraient les courtiers en données commerciales s’ils cessaient de recueillir des données sur les patients, les gouvernements doivent rapidement faciliter des approches coordonnées et financées à même les fonds publics pour la collecte de données partout au Canada. La collecte et l’utilisation des données doivent être effectuées de manière équitable et inclusive ainsi qu’être réalisées à des fins socialement bénéfiques (annexe 1, accessible en anglais au www.cmaj.ca/lookup/doi/10.1503/cmaj.210455/tab-related-content). Les approches doivent respecter la souveraineté des peuples autochtones sur leurs données et permettre aux communautés systématiquement marginalisées de contrôler la collecte et l’utilisation de leurs données. Comme il a été difficile par le passé d’accéder aux données14, les gouvernements devraient aussi ordonner aux dépositaires de données et aux fournisseurs de services (p. ex. fournisseurs de services de gestion de dossiers médicaux électroniques) de permettre aux établissements de soins de santé et aux organismes menant des activités socialement bénéfiques d’extraire les données sur les patients, s’il y a lieu, sans frais. Les gouvernements devraient être responsables de financer et d’appuyer les infrastructures appropriées.

Les courtiers en données internationaux ne sont pas détenteurs des données sur les patients dont ils tirent pourtant profit; ces données appartiennent aux patients. Plutôt que de permettre aux pharmaciens, aux médecins et aux assureurs de fournir des données sur les patients à des entités commerciales que les chercheurs et les gouvernements doivent ensuite leur racheter, le Canada doit investir dans des infrastructures coordonnées de collecte des données et adopter une loi forte sur la protection des renseignements personnels. Ainsi, les individus et les communautés seront protégés et l’usage des données, approprié.