Le 5 octobre 2017, Jean Hermesse, le secrétaire général de la Mutualité Chrétienne, révèle au micro de la RTBF, une chaine d’information belge, qu’une quinzaine d’hôpitaux du pays revendent les données de santé de leurs patients à des fins commerciales (Le Soir, 2017).

En Belgique, cette revente n’est ni tout à fait légale, ni vraiment illégale ; techniquement, les patients auraient dû donner leurs consentements à cette utilisation « secondaire » de leurs données médicales, mais, techniquement toujours, ils l’ont plus ou moins donné en acceptant d’être traités par ces hôpitaux. Ce qui ressort de ces révélations, qui font alors scandale, c’est que le fonctionnement du système d’information médical belge est extrêmement opaque.

Concrètement, ces quinze établissements de soin utilisent tous un logiciel de « Business Intelligence » du nom de Forcea. Celui-ci permet aux hôpitaux qui en ont fait l’acquisition de « donner du sens » aux gigantesques quantités de données médicales collectées et produites chaque jour dans le cadre du traitement de leurs patients – prise de rendez-vous, opérations, prescriptions, étude des antécédents, résultats d’examens et d’analyses – en les présentant sous forme de tableaux, de diagrammes et autres outils de visualisation et de prise de décision.

Or, ce logiciel, à l’origine développé par une entreprise locale, a été racheté, comme de nombreux autres, par un data broker au statut international, QuintilesIMS (depuis devenu IQVIA), une entreprise qui prospère de la vente de données de santé à l’industrie pharmaceutique. Forcea fait donc depuis office de véritable cheval de Troie, puisqu’il permet à QuintilesIMS de proposer aux hôpitaux toutes sortes d’arrangements commerciaux grâce à leur position stratégique d’intermédiaires dans le traitement des données de santé.

L’un de ces arrangements consiste à revendre les dossiers des patients directement à QuintilesIMS ; le chiffre indicatif de 500 patients pour 12.000 euros est renseigné par Jean Hermesse, chiffre parfaitement dérisoire étant donné que le data broker pourra en tirer près de cent fois plus. Pire encore, les données ainsi transmises à l’entreprise, à l’insu des patients qui en sont les propriétaires, ne sont pas anonymisées, et, pour cause, une telle opération « nuirait au potentiel de l’information » (entretien n°11, responsable de Corilus, 4 mars 2021). Ce qu’il faut comprendre par-là, c’est que l’objectif de QuintilesIMS, avec cette acquisition de dossiers de patients, est de coupler les données pharmaceutiques, pathologiques et de facturation pour ainsi obtenir une fine connaissance des pratiques et traitements en usage dans les différents hôpitaux utilisant leur logiciel. Il devient ainsi possible de savoir exactement 1) quel spécialiste a prescrit 2) quel type de médicament à 3) quel patient dans le cadre de 4) quel type de pathologie et dans 5) quel type de service hospitalier. Ces informations, structurées de la sorte, sont revendues par QuintilesIMS à l’industrie pharmaceutique, qui peut dès lors procéder à des campagnes de ciblage marketing ultra-personnalisées auprès des hôpitaux.

L’image ci-dessous, tirée d’un contrat entre l’un des quinze établissements de soin et QuintilseIMS, permet de constater que l’entreprise s’engage à « traiter de manière strictement anonyme […] toutes les données codées à caractère personnel des patients », ce qui revient à dire que les données ne sont pas anonymisées par les hôpitaux avant la revente.

On October 5, 2017, Jean Hermesse, the secretary general of the Christian Mutuality, revealed at the microphone of RTBF, a Belgian news channel, that around fifteen hospitals in the country resell the health data of their patients for commercial purposes (evening, 2017).

In Belgium, this resale is neither completely legal nor really illegal; Technically, patients should have given their consent to this "secondary" use of their medical data, but, technically always, they have given it more or less by agreeing to be treated by these hospitals. What emerges from these revelations, which are then scandal, is that the functioning of the Belgian medical information system is extremely opaque.

Concretely, these fifteen care establishments all use "business intelligence" software by the name of Forcea. This allows hospitals that have acquired it to "give meaning" to the gigantic quantities of medical data collected and produced every day as part of the processing of their patients-appointment, operations, prescriptions, study of history, results of exams and analyzes-by presenting them in the form of tables, diagrams and other visualization and decision-making tools.

However, this software, originally developed by a local company, was bought, like many others, by a Data Broker with international status, quintilesims (since which has become IQVIA), a company that prospered the sale of health data in the pharmaceutical industry. Forcea has therefore been doing a real Trojan horse since Office, since it allows QuintileSims to offer hospitals all kinds of commercial arrangements thanks to their strategic position of intermediaries in the processing of health data.

One of these arrangements is to resell patients' files directly to quintilesims; The indicative figure of 500 patients for 12,000 euros is informed by Jean Hermesse, a perfectly derisory figure since the Data Broker can draw almost a hundred times more. Worse still, the data thus transmitted to the company, to the knowledge of the patients who are the owners, are not anonymized, and, for good reason, such an operation "would harm the potential of the information" (interview n ° 11, responsible for Corilus, March 4, 2021). What must be understood by that is that the objective of quintilesims, with this acquisition of patient files, is to coupled pharmaceutical, pathological and billing data to obtain a fine knowledge of practices and treatments in use in the various hospitals using their software. It thus becomes possible to know exactly 1) which specialist prescribed 2) what type of medication at 3) which patient in the context of 4) what type of pathology and in 5) what type of hospital service. This information, in this way, is sold by QuintileSims to the pharmaceutical industry, which can therefore carry out ultra-personalized marketing targeting campaigns with hospitals.

The image below, taken from a contract between one of the fifteen care and quintilisims establishments, makes it possible to note that the company undertakes to "deal strictly anonymously [...] all the personal coded data of the patients", which amounts to saying that the data is not anonymized by hospitals before resale.