Description du projet

Selon les dernières études menées par Ernst & Young (EY), les quantités inégalables de données en matière de santé et de comportements générées par ces objets feront croître le marché de l’e-santé de 10 Md€ en 2015 à 23 Md€ en 2017. Ce phénomène du quantified self devrait, selon les prévisions de Cisco, reposer sur un parc mondial de 50 Md d’objets connectés à horizon 2020.

Émergence de nouveaux acteurs

L’Internet des objets ouvre le marché de la santé à une nouvelle typologie d’acteurs. Les géants du Web, les fintech – start-up spécialisées dans les technologies finan­cières – et les marques de grande consommation « bien-être », dont le métier de la santé n’est pourtant pas le cœur de métier, pourront prétendre à des places de choix dans la chaîne de valeur. Avec, comme principal risque pour les acteurs traditionnels, une désintermédiation de la relation client.

Le potentiel économique du marché de la santé connectée suscite un intérêt fort de la part d’acteurs hétérogènes, qui représentent autant de risques concurrentiels pour les assureurs. Parmi ces acteurs, les rôles se répartissent de la façon suivante :

– assureurs et mutuelles santé : financent le système de soins en France ;

– acteurs publics : organisent et financent le système de soins en France ;

– acteurs privés hors santé : grands groupes ou start-up pour qui la santé, au sens médical du terme, n’est pas l’enjeu principal ;

– laboratoires pharmaceutiques : commercialisent des dispositifs médicaux ;

– acteurs privés santé : grands groupes ou start-up positionnés sur le secteur ;

– acteurs privés hors santé (loisirs) : grands groupes ou start up pour qui la santé, au sens médical du terme, n’est pas l’enjeu principal.

L’une des start-up les plus innovantes du moment, Theranos, vient par exemple de propulser sa fondatrice Elizabeth Holmes au rang de plus jeune milliardaire au monde. La technologie Theranos entend révolutionner le diagnostic des analyses de santé. Placé sur le doigt du patient, le « poinçon » développé à cet effet prélève une seule goutte de sang à partir de laquelle les laboratoires sont en mesure d’extraire, rapidement et avec fiabilité, plus de 100 tests sanguins différents. L’ensemble du processus, des analyses et des résultats sont mis à disposition immédiate du patient et du médecin, sur une interface multiécran sécurisée. La généralisation d’une telle technologie aurait de nombreux impacts sur le déroulement classique d’une analyse médicale :

– révolution de l’expérience pour le patient du fait de la suppression de l’aiguille et des piqûres ;

– à terme, possibilité de réaliser le test sanguin directement à domicile ;

– simplification du circuit logistique complexe de transport des échantillons sanguins ;

– immédiateté des résultats grâce à une interface digitale patient/ médecin de consultation des résul­tats ;

– simplification de l’affichage des résultats sur le hub digital et données consolidées de santé pour un suivi 360 ° de la santé par le médecin.

Il s’agit ainsi de nouvelles méthodologies de santé véritablement capables de révolutionner les dispositifs médicaux incontournables.

D’autres positionnements sont possibles pour ces nouveaux acteurs :

– générer de la valeur par la mise à disposition de données de santé auprès d’acteurs traditionnels, par exemple, aux assureurs, aux mutuelles, aux IP, aux organismes publics ;

– disposer à terme d’une meilleure connaissance du risque santé, et pouvoir réaliser une meilleure segmentation client, une admission du risque optimisée ou une tarification plus personnalisée ;

– révolutionner l’expérience client par la simplification des suivis quotidiens de pathologie lourde, comme le diabète. De nouvelles lentilles oculaires permettant de contrôler la glycémie sont par exemple en cours de développement chez Google ;

– devenir le tiers de confiance des patients, des aidants et soignants, par exemple avec les montres géolocalisantes de prévention de chute de personnes dépendantes.

Ces acteurs peuvent aussi renforcer le pouvoir de négociation des clients (lire encadré ci-dessus).

Freins et leviers pour l’assurance

Dans le domaine réglementaire, si l’utilisation des données comportementales issues des voitures connectées fait une belle percée en assurance automobile, avec par exemple le développement des approches « pay as you drive », on observe davantage de réticences du côté des acteurs de la santé (lire pages 64-65), en raison de la nature même des données manipulées, qui sont beaucoup plus sensibles et qualifiées comme telles par la loi Informatique et Libertés qui octroie aux données personnelles dites « données sensibles » un statut plus protecteur : en particulier, leur collecte et traitement sont soumis à l’accord exprès et préalable de la personne concernée.

Le droit tend à se renforcer pour bien négocier le virage digital et accompagner la santé connectée. L’exploitation des données s’inscrit dans un cadre réglementaire qui va protéger, outre les droits d’auteur, les créations originales et les investissements du producteur d’une base de données, l’exploi­tation des données personnelles, c’est-à-dire qui va permettre aux individus de connaître l’exploitation qui est faite des données qui peuvent les identifier, et dans certains cas, de s’y opposer, voire d’imposer le recueil de leur consentement préalable avant toute utilisation commer­ciale de leurs données.

Pour mémoire, les données de santé sont qualifiées de « données sensibles » par la réglementation européenne et la loi Informatique et Libertés de 1978, ce qui a pour conséquence de conditionner leur collecte et leur utilisation à l’accord préalable de la personne concernée. Il s’agit en effet d’une donnée relevant de l’intimité de chaque individu, dont la divulgation peut lui être préjudiciable.

Mais si aujourd’hui le droit est en pleine évolution sur ces enjeux (lire l’encadré Un cadre réglementaire en recomposition), il ne peut pas à lui seul résoudre le paradoxe qui subsiste entre le risque de cybersécurité (piratage de données de santé, utilisation indue de données de santé, faille de confidentialité…) et l’usage, par les Français, de leurs propres données personnelles sur les réseaux sociaux.

En matière de risques. Le risque de cybersécurité est bien réel. La compagnie d’assurance Anthem a été victime en février 2015 du vol de données personnelles sur un nombre indéterminé d’assurés au sein de sa base d’environ 80 millions de personnes, dont 40 millions d’assurés actuels. Les motivations des hackers peuvent être multiples : revente des données à d’autres acteurs de la santé, cryptage puis restitution des données contre rançon, malveillance…

Le défaut de sécurité des données personnelles expose l’entreprise responsable de traitement à des sanctions pécuniaires, décidée par la Cnil, dont le montant ne peut pas excéder 150 000 € lors du premier manquement et 300 000 € en cas de manquement réitéré dans les cinq années à compter de la date à laquelle la sanction pécuniaire précédemment prononcée est devenue définitive, ainsi qu’à des sanctions pénales pouvant atteindre jusqu’à cinq ans d’emprisonnement et 300 000 € d’amende (1 500 000 € pour une personne morale).

Le projet de règlement sur la protection des données en cours de discussion à Bruxelles prévoit de porter le niveau des sanctions pécuniaires à 5 % du chiffre d’affaires mondial du responsable de traitement.

En France, la dispersion des données de santé dans plus de 1 000 établissements différents – cliniques, groupes hospitaliers, organismes publics, assureurs, etc. – limitent le risque d’une atta­que de grande ampleur. Les risques ciblés restent toutefois réels. Quelques règles de rigueur dans l’administration des systèmes d’information peuvent les limiter :

– rigueur dans la gestion des habilitations internes ;

– cryptage des flux de données personnelles ;

– encodage du lien entre les données de santé et l’identité du patient ;

– système d’accès par authentification forte.

Ces grands principes s’avèrent d’autant plus importants dans le cadre d’un projet, à l’étude en France, de réunification des systèmes de données de santé en open data.

Confidentialité et vie privée. L’usage des Français de leurs propres données personnelles sur les réseaux sociaux vient néanmoins à l’encontre des inquiétudes grandissantes en matière de confidentialité et de vie privée. Les Français postent régulièrement des données de compor­tement, d’alimentation ou de pratiques sportives, à l’image de ces contests sportifs de running ou de musculation, qui s’organisent sur les réseaux sociaux, entre personnes d’une même communauté. Il y a peut-être matière à davantage écouter les assurés, sur ce point, pour comprendre dans quelles conditions ils seraient prêts à partager certaines de leurs données. Que recouvre alors précisément l’angoisse des Français sur l’usage de leurs données personnelles ?

La Cnil, autorité française de protection des données personnelles, a formulé, dans une étude intitulée le Corps, nouvel object connecté, un certain nombre de recommandations pour combiner les enjeux de protection de vie privée et l’accès aux dernières innovations en matière de santé (par exemple les smartphones ou bracelets/montres équipés de capteurs de données). Il s’agit notamment de privilégier l’utilisation d’un pseudonyme sur les plates-formes où des données personnelles peuvent être publiées, de ne pas automatiser le partage de données vers les réseaux sociaux ou encore de ne partager ses données qu’avec un cercle de confiance (en limitant l’accès au travers du réglage de vos paramètres de confidentialité lorsque cela est possible).

L’étude Insurance Customer Survey, réalisée annuellement par EY, a permis de répondre à cette question en 2014. On y constate en effet que les utilisateurs français sont prêts, pour 23 % d’entre eux, à connecter leur voiture à leur assureur pour communiquer leurs données comportementales, un chiffre qui chute à 10 % quand il s’agit de communiquer des données de monitoring corporel. De plus en plus de Français seraient néanmoins prêts à partager leurs données sous respect de certaines conditions :

– uniquement sur base de leur volontariat ;

– avec une transparence totale sur les données collectées et a fortiori celles qui ne le sont pas ;

– des informations précises sur ce qu’il advient de leur usage ;

– sous réserve d’un bénéfice pour eux (tarification plus avantageuse, meilleure protection d’un proche dépendant, meilleure prise en charge médicale…).

Cette exigence de contrôle sur ses données est reflétée par les recommandations du Conseil d’État dans son rapport sur le « Numérique et les droits fondamentaux » (publié en septembre 2014), qui met en avant la place de l’individu dans le droit à la protection de ses données, fondé sur le concept d’« autodétermination informationnelle », concept introduit par la Cour constitutionnelle allemande en 1983, pour reconnaître à l’individu le droit de décider de la communication et de l’utilisation de ses données à caractère personnel.

Les 5 axes stratégiques de positionnement pour les assureurs

Au-delà des enjeux juridiques, de cyberprotection des données, et des réelles attentes clients, une question majeure se pose quant à l’impact des objets connectés sur le système de mutualisation du risque de santé. Ce principe constitue le fondement même du système de la santé en France et l’ensemble des acteurs y reste très attaché.

Les assureurs traditionnels ont un grand rôle à jouer dans la pérennité de ce système afin d’anticiper comment les objets connectés peuvent intégrer le paysage de la santé sans accroître le risque d’anti­sélection des assurés.

Ils doivent dès maintenant se positionner sur cinq axes stratégiques de transformation :

– investir dans une technologie pérenne parmi toutes celles qui émergent ;

– choisir un modèle pour développer cette technologie (joint-venture, partenariat, investissement interne, rachat) ;

– rapporter le potentiel des objets connectés à l’expérience client délivrée ;

– déterminer le niveau d’engagement de la transformation digitale de leurs structures : processus, organisation, culture et compétences, modèle opérationnel ;

– définir les précautions à prendre sur le plan éthique et juridique pour obtenir l’adhésion des clients à ce nouveau paradigme et être en conformité avec la réglementation.

In fine, les assureurs et les mutuelles ne peuvent plus se permettre d’attendre pour affiner leur stratégie vis-à-vis des nouveaux acteurs de la donnée de santé.

Source : largusdelassurance.com