Le projet d’arrêté a pour objet, dans le contexte d’urgence lié à la gestion de la crise sanitaire actuelle :
- une « remontée hebdomadaire » des données du programme de médicalisation des systèmes d’information (PMSI), qui comptabilise les actes médicaux facturés par les hôpitaux dans un but de gestion économique et administrative des établissements. Il comprend des codes qui permettent de déterminer chaque acte médical, et donc par exemple de savoir si le patient a été en réanimation. Croisées aux données de l’Assurance-maladie, elles permettront par exemple d’évaluer la comorbidité ou les facteurs de risque ;
- d’organiser le regroupement de certaines données à caractère personnel, comprenant des données de santé, afin de permettre leur utilisation en vue de suivre et projeter les évolutions de l’épidémie, de prévenir, de diagnostiquer et de traiter au mieux la pathologie en plus d’organiser le système de santé pour combattre l’épidémie et en atténuer les impacts. Il prévoit pour ce faire l’ajout dans l’arrêté du 23 mars 2020 d’un chapitre relatif aux mesures concernant le traitement des données à caractère personnel du système de santé.
Ainsi, le projet prévoit, à titre temporaire et dans le cadre spécifique de la gestion de l’urgence sanitaire la centralisation au sein du groupement d’intérêt public dénommé Plateforme des données de santé, prévu par l’article L. 1462-1 du code de la santé publique (également dénommé « Health Data Hub ») de données provenant de différentes sources en vue de leur mise à disposition afin de faciliter l'utilisation des données de santé pour les besoins de la gestion de l’urgence sanitaire et de l’amélioration des connaissances sur le COVID-19.
En clair, au nom de l’état d’urgence, le gouvernement français a accéléré la mise en place du Health Data Hub, une plateforme devant centraliser des données de santé. Alors que le projet était encore en cours de déploiement, et que tous les textes d’applications ne sont pas encore prêts, le gouvernement a pris le 21 avril dernier, au nom de l’état d’urgence sanitaire, un arrêté modifiant celui du 23 mars sur l’organisation du système de santé durant l’épidémie. Il autorise le Health Data Hub, ainsi que la Caisse nationale de l’assurance-maladie (Cnam), à collecter, « aux seules fins de faciliter l’utilisation des données de santé pour les besoins de la gestion de l’urgence sanitaire et de l’amélioration des connaissances sur le virus Covid-19 », un nombre considérable de données
Tout en reconnaissant la légitimité des objectifs poursuivis par le projet, la CNIL a tenu à rappeler, au vu de l’urgence, que, quel que soit le contexte, des garanties suffisantes au regard du respect des principes fondamentaux du droit à la protection des données à caractère personnel doivent être mises en œuvre. Ainsi, elle estime que des mesures juridiques et techniques adaptées devront être prévues afin d’assurer un haut niveau de protection des données.
Pour rappel, en mars 2018, Emmanuel Macron a émis le souhait que la France ne se disperse pas et concentre ses forces dans les domaines où elle dispose déjà d'une grande quantité de données. Raison pour laquelle il a décidé de mettre l'accent sur la santé, où l'Hexagone possède, selon lui, un avantage lié à la centralisation de ses bases de données. L'Élysée a donc annoncé la création d'un « Health Data Hub » qui « pilotera l'enrichissement continu et la valorisation du système national des données de santé, pour y inclure à terme l'ensemble des données remboursées par l'assurance-maladie, les données cliniques des hôpitaux, des données de la médecine de ville...». Il était indiqué que ces données seraient ouvertes aux acteurs de l'IA dans un cadre sécurisé et garantissant la confidentialité pour, comme l'espère Emmanuel Macron, développer des « innovations majeures », comme l'amélioration du traitement des tumeurs cancéreuses, ou la détection des arythmies cardiaques ; et permettre à l'État de faire d'importantes économies.
Observations de la CNIL
Sur la constitution d’un entrepôt de données au sein de la plateforme des données de santé
La Commission relève que la centralisation des données au sein de la Plateforme des données de santé implique la création d’un entrepôt de données de santé en vue de leur mise à disposition auprès d’autres responsables de traitements.
Sur la responsabilité de traitement
La Commission prend acte de ce que la Plateforme des données de santé et la Caisse nationale d’assurance maladie (CNAM) seront conjointement responsables des traitements décrits dans le projet. À ce titre, le projet mentionne que la Plateforme des données de santé est responsable du stockage et de la mise à disposition des données et qu’elle est autorisée à opérer des croisements de données. Le projet mentionne par ailleurs que la CNAM est responsable des opérations de pseudonymisation dans le cadre du croisement des données et peut traiter le numéro d'inscription au répertoire national d'identification des personnes physiques à cette fin. La Commission relève cependant que le projet prévoit que les données peuvent être traitées dans la solution technique de la Plateforme des données de santé, ainsi que dans celle de la CNAM. Il en résulte que la CNAM pourrait également être amenée à stocker et à mettre à disposition des données dans le cadre du traitement envisagé.
Sur les données dont le traitement est envisagé
Le projet dresse la liste des catégories de données susceptibles d’être transmises à la Plateforme des données de santé en vue de leur mise à disposition. La Commission relève, au-delà du caractère très générique des catégories décrites, qu’il n’est fait mention ni de la profondeur historique des données ni de leur nature exacte, notamment au regard de l’intérêt que peut présenter leur analyse dans le cadre de l’épidémie de COVID-19. À titre d’exemple, le projet mentionne, sans plus de détail, la remontée possible de données issues du SNDS ou de « données de pharmacie ». Elle rappelle qu’en application du principe de minimisation des données prévu par l’article 5-1- c du RGPD, les données devront être adéquates, pertinentes et limitées à ce qui est nécessaire au vu de la finalité poursuivie, tant s’agissant des données figurant dans l’entrepôt au sein de la Plateforme des données de santé, que des données mises à disposition pour la réalisation de traitements ultérieurs.
Sur les modalités d’information des personnes et d’exercice des droits
La Commission relève qu’en dehors de la constitution, au sein de la Plateforme des données de santé, d’un répertoire public recensant la liste et les caractéristiques de tous les projets portant sur les données de l’entrepôt, le projet ne prévoit aucune modalité d’information ou d’exercice des droits particulière quant à la constitution de l’entrepôt ou aux traitements mis en œuvre ultérieurement.
Sur les transferts de données vers des pays tiers et les divulgations non autorisées par le droit de l’Union
La Commission relève que les contrats qui lui ont été fournis ne prévoient eux-mêmes ni la localisation des données ni l’ensemble des garanties relatives aux modalités d’accès aux données par les administrateurs de l’hébergeur. Le contrat permet cependant à la Plateforme, à travers les « Conditions des services en ligne » de choisir le lieu d’hébergement des données. En outre, les informations fournies par la Plateforme des données de santé mentionnent explicitement le recours à un hébergeur certifié « hébergeur de données de santé ». A cet égard, la Commission prend acte de ce que le ministère s’est engagé à ce que la Plateforme des données de santé exige de son hébergeur que les données « au repos » soient hébergées au sein de l’Union européenne.
La Commission souligne toutefois que cette localisation ne s’applique qu’aux données « au repos », alors même que le contrat mentionne l’existence de transferts de données en dehors de l’Union européenne dans le cadre du fonctionnement courant de la plateforme, notamment pour les opérations de maintenance ou de résolution d’incident.
À cet égard, les dispositions contractuelles de sous-traitance conclues entre la Plateforme des données de santé et le prestataire chargé de l’hébergement des données, stipulent que les données traitées peuvent être transférées vers les États-Unis pour y être stockées et traitées, ainsi que dans tout autre pays dans lequel le sous-traitant ou ses sous-traitants ultérieurs sont implantés. Ces transferts font l’objet d’un encadrement conformément au Chapitre V du RGPD, étant régis en l’espèce par des clauses contractuelles types, conformément à l’article 46-2-c de ce règlement.
La Commission rappelle, dans ce contexte, les inquiétudes soulevées à plusieurs reprises par le Comité européen de la protection des données (CEPD) concernant l’accès par les autorités des États-Unis aux données transférées aux États-Unis, plus particulièrement la collecte et l'accès aux données personnelles à des fins de sécurité nationale en vertu de l'article 702 de la loi américaine FISA et du décret (« Executive Order ») 12 333. Ces problématiques sont actuellement soumises à la Cour de justice de l’Union européenne dans le cadre d’une demande de décision préjudicielle formée par la High Court of Ireland concernant la validité de la décision 2010/87/UE, par laquelle la Commission européenne a établi des clauses contractuelles types pour certaines catégories de transferts. Un arrêt de la Cour dans cette affaire (C-311/18) est attendu dans les mois qui viennent.
La réaction de la directrice du Health Data Hub
Interrogée sur ce dernier point par Médiapart, Stéphanie Combes dément pourtant les affirmations de la CNIL. « Nous ne sommes pas alignés sur cette phrase de l’avis. Le contrat prévoit en effet que des données peuvent être transférées par l’hébergeur dans certains cas, sauf indication contraire. Or, nous avons bien spécifié que les données ne devaient pas sortir du territoire français », explique-t-elle. La CNIL aurait-elle alors mal lu le contrat ? « Je ne dis pas ça. Mais je trouve que les faits sont un peu détournés. En tout cas, nous avons bien indiqué que les données ne pourront pas être transférées. Je peux même vous dire que c’est à la page 11 du contrat ».
Peut-être encore plus inquiétant, la CNIL affirme que, même si les données stockées seront bien chiffrées « avec des algorithmes à l’état de l’art à partir de clés générées par les responsables de la plateforme sur un boîtier chiffrant maîtrisé par la plateforme des données de santé », les clefs de déchiffrement seront envoyées au prestataire. « Elles seront conservées par l’hébergeur au sein d’un boîtier chiffrant, ce qui a pour conséquence de permettre techniquement à ce dernier d’accéder aux données », pointe l’avis de la commission.
Elle s’inquiète également d’un manque d’encadrement des procédures d’accès des administrateurs de la plateforme. Dans l’étude d’impact du projet, « une fonctionnalité d’autorisation préalable des accès administrateurs » était bien prévue. Mais « la Commission relève que cette fonctionnalité ne semble pas mentionnée dans les contrats fournis. En outre, la Commission s’interroge sur l’effectivité de cette mesure qui ne semble pas couvrir la totalité des accès possibles ».
Sur ce point, Stéphanie Combes explique qu’en effet les clefs de chiffrements des données seront générées par un « HSM » (Hardware Security Module), un « coffre-fort numérique » et envoyées à la plateforme ainsi qu’au prestataire qui est Microsoft. Mais ces clefs « sont utilisées de manière automatique sans intervention humaine ».
Concernant les accès des administrateurs, la directrice du Health Data Hub explique « qu’il peut y avoir un accès des administrateurs à certaines conditions. Mais pas n’importe lesquelles. Nous contrôlons ces accès et nous nous sommes engagés à refuser toute demande qui ne serait pas légitime. Nous avons totalement sécurisé cet aspect-là », assure-t-elle.
Depuis la publication de l’arrêté, le collectif Interhop, composé de professionnels du secteur de la santé et de l’informatique médicale, a publié un nouvel appel. « Contrairement à l’avis de nombreux acteurs – Commission nationale informatique et des libertés, Ordre national des médecins, Conseil national des barreaux, hôpitaux –, le gouvernement français s’appuie sur le géant américain Microsoft pour stocker l’ensemble des données de santé, affirme-t-il. Nous appelons à la constitution d’un écosystème universitaire, médiatique, juridique, associatif et politique pour réaffirmer les valeurs d’autonomie et des “communs” et, pour faire naître un large débat de société. »
Sources : Mediapart, rapport de la CNIL
Et vous ?
Qu'en pensez-vous ? Les craintes de la CNIL vous semblent-elles justifiées ? Dans quelle mesure ?