Dans un article précédent, nous avons abordé la manière dont les preuves empiriques (RWE) peuvent faciliter et accélérer de grandes avancées dans les domaines de la santé et des sciences de la vie. Nous avons également évoqué le défi qui consiste à exploiter tout le potentiel des données/preuves empiriques, tout en préservant la confidentialité des données et en respectant les normes de sécurité qui encadrent l’utilisation et l’analyse de blocs de données utiles et souvent critiques. Les solutions basées sur des processus, telles que la désidentification des données, associées à des technologies telles que la tokenisation, fonctionnent jusqu’à un certain point, mais elles doivent encore être plus rapides et plus développées. En s’associant à Duality Technologies, Globant a pris les devants en proposant une solution RWE à ses clients, qui rationalise l’utilisation et maximise la valeur des données empiriques, quel qu’en soit le propriétaire ou l’emplacement. Grâce à ces partenariats innovants, Globant est en mesure de concrétiser son ambition de réinventer la santé et les sciences de la vie en mettant au point des solutions performantes axées sur la technologie.
Défis – Données/preuves empiriques et réglementations en matière de protection des données
Le principal obstacle au succès de toute étude portant sur des preuves empiriques concerne les données. Ces études nécessitent de grands volumes de données empiriques diverses pour l’analyse, mais un tel accès et une telle collaboration sont entravés voire prohibés par les réglementations sur la protection des données et les problèmes relatifs à la sécurité et à la gouvernance. De plus, exploiter pleinement des ensembles de données disparates implique de disposer d’une utilité totale (liaison d’ensembles de données disparates, correspondance de schémas, etc.) et d’une efficacité élevée pour augmenter la vitesse à laquelle les informations sont générées. Lorsqu’il s’agit des moyens traditionnels permettant de satisfaire ces exigences, il existe des frictions qui vont à l’encontre des besoins des équipes qui s’appuient sur des preuves empiriques pour obtenir des informations essentielles à leur mission.
Trop de temps et d’efforts avant même le début des analyses
Ceci est important pour les deux raisons suivantes : la première est le risque associé au partage de données de santé, qui sont protégées par les réglementations en matière de confidentialité. Les entités, telles que les prestataires de soins médicaux, qui sont chargés de la conservation des données de santé, doivent se conformer aux réglementations en matière de confidentialité et de sécurité des données. Pour ce faire, ils anonymisent traditionnellement les données empiriques avant de les rendre accessibles. Cependant, les efforts qui y sont associés et le risque de ré-identification peuvent influer sur la volonté des prestataires de soins à participer au partage de données, surtout s’ils ne disposent pas de l’infrastructure, des ressources et du savoir-faire technologique nécessaires pour garantir la conformité.
Deuxièmement, les données sur les soins médicaux peuvent être vastes, complexes et variées. Souvent, d’importants efforts de tri et d’harmonisation des données sont nécessaires après l’acquisition. Si les agrégateurs de données ne s’acquittent pas de cette tâche, la responsabilité incombe aux équipes de gestion des données de l’organisation du promoteur. Elles doivent préparer les données pour les outils d’analyse utilisés par différents départements. Plutôt que de se focaliser uniquement sur l’analyse, ils passent plus de temps à coordonner ces efforts, ce qui influe sur le retour sur investissement (ROI). De plus, les retards peuvent prolonger les délais de mise sur le marché, ce qui fait perdre à la fois un avantage sur la concurrence et des revenus importants. En définitive, ce sont les patients qui sont les plus lésés par ces retards, avec des souffrances, voire des décès, qui auraient pu être évités.
Qualité et utilité des données amoindries
La suppression d’informations identifiables d’un bloc de données contribue à limiter le contexte particulièrement utile dans lequel s’inscrivent les données et, par conséquent, leur qualité, limitant ainsi leur utilité pour la recherche et la production d’informations : réduction de la granularité des données, généralisation de valeurs uniques, occultation des valeurs anormales ou réduction du potentiel de liaison des données. Lorsqu’on tente de relier des données qui proviennent de différentes sources, par exemple pour identifier les relations entre certains types de cancers et des marqueurs génomiques spécifiques, l’absence d’identifiants uniques rend ce processus assez difficile. Si la tokenisation est une méthode utile pour relier les données empiriques anonymisées entre les sources de données, elle présente certaines limites. Parmi les défauts, citons notamment le coût élevé de mise en place et de maintenance d’un système de tokenisation, d’autant plus s’il est capable d gérer des volumes massifs de données empiriques, et un risque potentiel de ré-identification si les clés de tokenisation sont compromises. Tout cela nécessite du temps et des efforts et ne répond peut-être toujours pas aux exigences de confidentialité plus strictes que celles du RGPD.
HIPAA
La Health Insurance Portability and Accountability Act (HIPAA) est une loi fédérale américaine dont les principaux objectifs sont d’améliorer la portabilité de la couverture d’assurance maladie, de renforcer la confidentialité et la sécurité des informations médicales des patients et d’établir des normes pour l’échange électronique de données de santé. En vertu des règles de confidentialité de la loi HIPAA, les informations de santé protégées (PHI) doivent être anonymisées avant de pouvoir être partagées à des fins telles que la recherche ou le marketing. En application de la loi HIPAA, les données anonymisées ne sont pas considérées comme des informations de santé protégées (PHI) et ne sont donc pas soumises aux mêmes réglementations en matière de confidentialité que les PHI. L’anonymisation est le processus qui consiste à supprimer des identifiants personnels tels que le nom, l’adresse et le numéro de sécurité sociale du bloc de données. Elle est requise lorsque les PHI sont utilisées à d’autres fins que la prestation de soins de santé. Pour être véritablement anonymisées, les données ne doivent pas être raisonnablement associées à un individu et doivent être vérifiées en faisant appel à un expert. Ce processus est souvent une longue négociation entre l’ensemble de parties prenantes jusqu’à ce qu’un équilibre soit trouvé entre les données pouvant être partagées et leur utilité.
RGPD
Le Règlement général européen sur la protection des données (RGPD) est plus complet et plus strict que la HIPAA. Il couvre un spectre plus large de données personnelles, met l’accent sur le consentement éclairé et explicite des personnes concernées pour le traitement de leurs données et peut toujours s’appliquer aux données anonymisées. Dans le cadre du RGPD, les données ne sont plus considérées comme des données à caractère personnel et ne sont donc soumises aux mêmes exigences du RGPD, que si les données ont été traitées de telle sorte qu’elles ne peuvent plus être liées à une personne identifiable. Par conséquent, des processus plus stricts que la désidentification traditionnelle – tels que la pseudonymisation ou l’anonymisation – peuvent s’avérer nécessaires pour permettre le partage de données de santé dans le cadre du RGPD. Comme on peut l’imaginer, la désidentification des données anonymisées est bien plus fastidieuse et coûteuse, sans oublier les autres inconvénients.
La technologie recommandée par les régulateurs
En juin 2023, l’Information Commissioner’s Office (ICO) du Royaume-Uni a publié des recommandations, ainsi que des études de cas (dont une réalisée en collaboration avec Duality Technologies) qui tracent une feuille de route claire pour atteindre la conformité (RGPD britannique) et améliorer l’efficacité. Dans son Guide des technologies qui renforcent la confidentialité, l’ICO décrit les cas dans lesquels les différentes technologies satisfont ou au contraire ne satisfont pas aux principales composantes des exigences de confidentialité du RGPD. Le guide explique comment ces technologies peuvent permettre d’obtenir des informations à partir d’ensembles de données sans compromettre la vie privée des personnes dont les données se trouvent dans l’ensemble de données, et comment certaines de ces technologies peuvent permettre de donner accès à des ensembles de données qui seraient autrement trop sensibles pour être partagés. De plus, le commissaire à l’information du Royaume-Uni a recommandé aux organisations qui partagent de grands volumes de données de se tourner vers ces technologies.
Gérer l’accès aux donnés empiriques aujourd’hui et demain
Compte tenu des réglementations strictes en matière de confidentialité des données, telles que HIPAA et le RGPD, l’accès aux données empiriques et la production de preuves empiriques sont une question complexe.
Actuellement, l’accès et l’utilisation de données empiriques dans le cadre de la recherche nécessitent souvent d’obtenir le consentement éclairé des patients, de garantir que les données sont désidentifiées ou anonymisées pour protéger la vie privée des patients, et parfois de faire l’objet d’un examen par un comité d’examen éthique ou un comité d’examen institutionnel (IRB). Ces mesures sont prises pour garantir que les données sont utilisées de manière responsable et éthique et que la confidentialité des patients est préservée.
De plus, des structures de gouvernance des données ont été mises en place pour garantir le respect de ces lois sur la confidentialité. Ces structures précisent qui peut accéder aux données, où, dans quel but et comment les données sont protégées. L’utilisation d’environnements de données sécurisés, également appelés enclaves de données ou environnements de recherche fiables (TRE), est devenue une approche attrayante pour l’utilisation de données sensibles au niveau national. Les enclaves de données permettent aux chercheurs d’accéder aux données et de les analyser dans un environnement sécurisé sans permettre aux données de sortir de l’enclave, préservant ainsi la sécurité et la confidentialité des données.
Dans le futur, les technologies renforçant la confidentialité (PET) faciliteront et rationaliseront davantage l’utilisation sécurisée des données empiriques. Les PET sont un segment de technologie et les PET spécifiques varient selon les types de logiciels et de matériel et les cas d’utilisation qu’elles peuvent prendre en charge. Dans certains cas, la meilleure solution consiste à associer différentes technologies PET. Parmi les principaux types de technologie PET, on trouve le chiffrement entièrement homomorphe (FHE), le calcul multipartite (MPC), l’apprentissage fédéré (FL) et les environnements d’exécution fiables (TEE). Pour plus d’informations, voici quelques exemples dans lesquels diverses organisations de santé ont trouvé l’utilisation des PET utiles pour accélérer et faciliter leur travail :
- Document PNAS 2020 : le Dana Farber Cancer Institute utilise FHE pour relier les données génomiques aux ensembles de données oncologiques.
- Communiqué de presse DARPA 2020 : DARPA utilise FL avec FHE dans le cadre de la recherche sur la COVID-19.
- Document ASCO 2023 : le centre médical de Tel Aviv utilise FHE pour exploiter les données empiriques au-delà des frontières et accélérer les innovations dans la recherche médicale.
- Document PNAS 2023 : le Dana Farber Cancer Institute, le centre médical de Tel Aviv et d’autres associent FHE et le MPC pour faire avancer la recherche en oncologie.
Prise en main
Le potentiel des données et des preuves empiriques doit être mis à profit dans le respect le plus strict de la confidentialité des données et des considérations éthiques. Même si la technologie promet de nouvelles méthodologies pour garantir la sécurité et la confidentialité des données, une approche globale et partagée de la gouvernance, de l’éthique et de l’utilisation responsable reste primordiale. Cet équilibre entre innovation et responsabilité permettra de faire en sorte que les données et les preuves empiriques continuent de faciliter la recherche médicale et la prestation de soins dans les années à venir. À mesure que l’intersection entre la R&D et la prestation de soins continue d’évoluer, il ne fait aucun doute que les données et les preuves empiriques ont un rôle essentiel à jouer pour ouvrir la voie à un avenir qui fera davantage la part belle aux données dans les sciences de la vie.
Globant s’est associé avec Duality Technologies, une entreprise qui propose des technologies améliorant la confidentialité, pour aider nos clients à exploiter pleinement les preuves empiriques dans le souci de la sécurité et de la conformité. Nous exploitons les technologies d’amélioration de la confidentialité de Duality pour développer des plates-formes RWE qui permettent le partage de données de santé et la collaboration entre zones géographiques, tout en respectant les réglementations locales en matière de confidentialité des données.
Entrer en contact pour commencer votre voyage vers un partage de données sécurisé et conforme et une recherche basée sur RWD.
