Rapporteur général de la commission des affaires sociales à l’Assemblée nationale, Thibault Bazin est l’un des seuls parlementaires en position de peser simultanément sur les budgets de la cybersécurité hospitalière, la souveraineté des données de santé et la fraude sociale numérique : trois dimensions encore trop souvent traitées séparément. Depuis la Meurthe-et-Moselle, il observe un système de santé en pleine transformation numérique, avec toutes ses promesses et toutes ses vulnérabilités. Rencontre avec un élu qui pense la Sécurité sociale comme un contrat de confiance, et le numérique comme une épreuve du feu.
Vous avez interpellé le gouvernement sur les redondances dans les actes médicaux liées au manque d’interopérabilité. Un patient peut passer deux mammographies dans deux établissements différents parce que l’image ne circule pas. C’est aussi un enjeu de sécurité ?
Oui, et c’est un exemple concret de ce que coûte l’absence d’interopérabilité: en euros, en temps médical perdu, et en irradiation inutile pour le patient. Le Dossier Médical Partagé devait résoudre ça, mais l’image ne circule toujours pas facilement entre établissements, particulièrement à l’hôpital public. Les fichiers d’imagerie modernes comme les IRM ou les scanners sont extrêmement lourds, et leur transmission et leur lecture posent des difficultés techniques réelles d’interconnexion.
Mais l’interopérabilité, c’est aussi une question de sécurité. Chaque point de connexion entre systèmes est un vecteur d’attaque potentiel. On ne peut pas connecter les systèmes sans sécuriser les canaux de connexion. Et il y a un enjeu supplémentaire : même quand les images circulent, les professionnels doivent être en mesure d’ouvrir et de comprendre différents formats de fichiers. L’interopérabilité technique ne suffit pas si l’interopérabilité fonctionnelle n’est pas au rendez-vous. Prenez le dépistage du cancer du sein : le système de double relecture est maintenu de façon obsolète alors que l’IA pourrait transformer ce processus, mais ça suppose que les images soient accessibles, lisibles, et sécurisées dans tous les établissements.
Le Health Data Hub est en cours de migration vers un hébergement souverain, avec une échéance fin 2026. Est-ce suffisant, ou trop tardif ?
Il y a un consensus politique réel sur la nécessité d’un hébergement souverain des données de santé, et c’est une bonne chose que ce consensus existe enfin clairement, mais il faut être honnête : une décennie de dépendance aux infrastructures extra-européennes ne se rattrape pas en un an de migration. Ce qui compte maintenant, c’est que cette migration soit menée avec rigueur, que le niveau de sécurité soit effectivement au rendez-vous, pas seulement le label de souveraineté. Et il faut saisir l’occasion pour remettre à plat le cadre législatif global. Le dernier acte du numérique en santé date de six ans environ, or le monde informatique et cyber a radicalement changé depuis. Nous avons besoin d’un nouvel acte du numérique en santé qui corresponde à la réalité de 2026, pas de 2020.
Les données de remboursement de l’Assurance maladie, les dossiers patients, les résultats d’examens : peut-on envisager une vraie confiance numérique dans notre système de santé sans garantir que ces données restent sous juridiction française ou européenne ?
Non et c’est une conviction que je partage avec beaucoup de collègues, toutes sensibilités confondues. Ces données sont parmi les plus sensibles qui existent. Elles disent qui nous sommes biologiquement, médicalement, socialement. Les laisser sous des juridictions qui permettent à des gouvernements étrangers d’y accéder, même théoriquement, est incompatible avec ce que doit être un contrat de confiance entre l’État et les citoyens. Il faut cependant tenir compte d’une tension réelle : pour les maladies rares, la recherche a besoin de données à l’échelle européenne et mondiale pour progresser. Il faut donc un cadre précis, rigoureux, qui permette le partage encadré à des fins scientifiques légitimes, sans renoncer à la souveraineté sur les données individuelles.
La fraude à la Sécurité sociale représente des milliards d’euros chaque année. Une part croissante passe par l’usurpation d’identité numérique. Quels leviers législatifs manquent encore ?
Nous avons récemment adopté un texte sur la lutte contre les fraudes qui permet des échanges de données encadrés entre administrations, c’est un pas en avant concret. Mais la fraude sociale numérique évolue vite, et notre législation doit suivre ce rythme. Le principal levier qui manque encore, c’est une meilleure interconnexion sécurisée des bases de données entre les différentes branches de la protection sociale, de façon à détecter les incohérences et les anomalies en temps réel sans créer pour autant un fichage généralisé qui serait inacceptable. C’est un équilibre délicat à trouver, mais il est indispensable.
La carte Vitale évolue vers une identification électronique renforcée. Est-ce une réponse suffisante à la fraude identitaire ou une fausse bonne solution ?
C’est une réponse utile, et elle ne me semble pas ouvrir de nouvelles vulnérabilités majeures si elle est bien déployée. L’application de l’identité numérique par la carte Vitale électronique renforcée simplifie les démarches tout en renforçant l’authentification. Ce que j’ai vu avec France Identité, par exemple, sur le Compte Formation où les fraudes ont drastiquement chuté depuis le passage à une authentification robuste me conforte dans l’idée que renforcer l’identité numérique est une des réponses les plus efficaces à la fraude sociale. Ce n’est pas la seule, mais c’est une brique solide.
L’IA s’impose dans les établissements de santé, pour l’aide au diagnostic ou encore l’optimisation des parcours. Comment le législateur doit-il encadrer ces usages sans étouffer l’innovation ?
L’IA en santé, c’est une promesse réelle et j’y crois. Mais une promesse conditionnée à la fiabilité des données sur lesquelles elle est entraînée. Si la base de données est biaisée, le résultat l’est aussi : et c’est un problème concret : beaucoup de modèles sont entraînés sur des bases de données très européennes et occidentales, ce qui peut conduire à des diagnostics erronés pour des patients d’autres origines. Ça, c’est une question de justice médicale autant que de technique.
Sur l’encadrement législatif : nous disposons déjà d’outils comme l’OPECST, l’Office parlementaire d’évaluation des choix scientifiques et technologiques, et les révisions périodiques des lois de bioéthique. Je ne pense pas qu’on ait besoin de créer de nouvelles institutions de contrôle. Ce dont on a besoin, c’est d’utiliser ces outils avec plus d’intensité et de régularité, et d’associer vraiment les professionnels de santé à la conception des dispositifs, pas seulement à leur évaluation après coup.
La massification des données numériques dans les hôpitaux crée une surcharge d’information pour les professionnels. Est-ce un risque sous-estimé ?
C’est un risque très concret, et je l’entends régulièrement des soignants sur le terrain. Un médecin généraliste qui reçoit des dizaines de comptes-rendus hospitaliers par semaine ne peut pas tous les lire avec l’attention qu’ils méritent. La massification de l’information peut paradoxalement conduire à rater l’essentiel parce que l’essentiel est noyé dans le volume. L’IA peut aider à classer et hiérarchiser cette information, c’est vrai. Mais elle ne peut pas gérer ce qui suit : trouver un spécialiste disponible en urgence, coordonner un parcours complexe, prendre en charge une hémorragie sous-durale. Ces situations demandent une intelligence situationnelle humaine que l’IA ne peut pas remplacer. Et il y a aussi un problème économique : le temps passé par les médecins à interagir avec les outils informatiques n’est pas rémunéré par l’Assurance maladie, alors même que ce temps augmente avec la numérisation. C’est un modèle économique à repenser.
La Sécurité sociale repose sur un contrat de confiance : on cotise, on est protégé, nos données sont préservées. Ce contrat est-il encore tenu à l’ère numérique ?
Il est sous tension, c’est honnête de le reconnaître. Il y a une méfiance réelle d’une partie des Français envers le système de la Sécurité sociale, qui préexiste au numérique et qui rend la construction de la confiance numérique encore plus exigeante. Ce qui me frappe, c’est que la confiance des patients envers les professionnels de santé reste, elle, très forte. C’est sur ce levier qu’il faut s’appuyer : les soignants sont les premiers vecteurs de déploiement des outils numériques, et leur adhésion est la condition de l’adhésion des patients. ‘Mon espace santé’ en est un bon exemple une majorité de Français lui fait confiance sur la sécurité des données, précisément parce que les professionnels de santé l’ont porté. Mais ce capital de confiance est fragile. Une cyberattaque majeure sur des données de santé, une fuite médiatisée et des années de travail peuvent s’effondrer.
Depuis la Meurthe-et-Moselle, comment percevez-vous l’écart entre la promesse de la santé numérique et la réalité vécue dans les territoires ?
Il y a un écart réel, et il faut le nommer. La promesse du numérique en santé, comme l’accessibilité accrue, la continuité des soins, l’efficience, se heurte dans les territoires à des réalités concrètes : des outils qui ne sont pas adaptés aux pratiques locales, des logiciels trop lourds, des temps de formation que les professionnels n’ont pas, et une fracture numérique qui touche aussi bien les patients que certains professionnels de santé eux-mêmes. Le risque, c’est que le numérique amplifie les inégalités territoriales de santé au lieu de les réduire. Ce qui me semble indispensable, c’est que l’utilité pratique des outils soit le critère premier pas leur sophistication technique. Un outil qu’on n’utilise pas ou qu’on utilise mal ne sert à rien, quel que soit son niveau de sécurité.
Image de Une : Assemblée Nationale
