Au nom de l’état d’urgence, le gouvernement français a accéléré la mise en place du Health Data Hub, une plateforme devant centraliser des données de santé. Nous pouvons citer des mesures comme l’arrêté du 21 avril qui autorise le Health Data Hub, ainsi que la Caisse nationale de l’assurance-maladie (Cnam), à collecter, « aux seules fins de faciliter l’utilisation des données de santé pour les besoins de la gestion de l’urgence sanitaire et de l’amélioration des connaissances sur le virus Covid-19 », un nombre considérable de données.L’avis de la CNIL sur le projet a été demandé et la Commission n’a pas caché ses inquiétudes face à un possible transfert des données aux États-Unis notamment parce que le gouvernement français s’appuie sur l’américain Microsoft pour stocker l’ensemble des données de santé.
En juin, la CNIL a indiqué souhaiter qu’au vu de « la sensibilité et du volume des données ayant vocation à être hébergées au sein de la PDS (plateforme de données de santé, ndlr), pour lesquelles le niveau de protection technique, mais aussi juridique le plus élevé doivent être assurés, y compris en matière d’accès direct par les autorités de pays tiers, la CNIL a fait part de son souhait qu’une vigilance particulière soit accordée aux conditions de conservation et aux modalités d’accès aux données ».
La Commission nationale est allée plus loin en appelant au choix d’un hébergeur européen : « À plus long terme, elle a pris acte de ce qu’il lui a été indiqué que l’entrepôt appelé à être constitué au sein de la Plateforme des données de santé n’est pas lié aux services d’un unique prestataire. Elle souhaiterait, eu égard à la sensibilité des données en cause, que son hébergement et les services liés à sa gestion puissent être réservés à des entités relevant exclusivement des juridictions de l’Union européenne ».
Le même mois, une quinzaine d'organisations et de personnalités ont déposé un référé-liberté devant le Conseil d’État contre le déploiement de la base de données de Health Data Hub.
Il s’agit entre autres du collectif InterHop, composé de professionnels du secteur de la santé et de l’informatique médicale, mobilisé depuis près d’un an contre le projet, mais également par le médecin Didier Sicard, ancien président du Comité national consultatif d’éthique, le professeur Bernard Fallery, spécialiste des systèmes d’information, le Syndicat national des journalistes (SNJ), le Syndicat de la médecine générale (SMG), l’Union française pour une médecine libre (UFML), la représentante des usagers du conseil de surveillance de l’APHP, l’Observatoire de la transparence dans les politiques de médicaments, l’Union générale des ingénieurs, cadres et techniciens CGT (UGICT-CGT) et l’Union fédérale médecins, ingénieurs, cadres, techniciens CGT Santé et Action sociale (UFMICT-CGT Santé et Action sociale).
Selon eux, cette mise en place « porte une atteinte grave et sûrement irréversible aux droits de 67 millions d’habitants de disposer de la protection de leur vie privée notamment celle de leurs données parmi les plus intimes, protégées de façon absolue par le secret médical : leurs données de santé ».
Le motif : le Health Data Hub, avec ses données, est « hébergé sur le cloud de Microsoft ». Microsoft étant une entreprise américaine, « il n'y a pas de garantie que ces données ne seront pas exportées aux États-Unis », selon les auteurs du recours, s’alignant ainsi sur l’avis rendu par la CNIL.
Après l'invalidation du Privacy Shield, la CNIL prend position
En juillet 2020, la Cour de justice européenne a invalidé l'accord « Privacy Shield », la base légale sur laquelle s'appuyait Microsoft pour transférer certaines données vers ses serveurs outre-Atlantique, un arrêt qui « a radicalement changé la situation du recours à des solutions d'hébergement fournies par des acteurs étasuniens », selon la CNIL.
Le gendarme français des données personnelles rappelle que Microsoft, qui détient les clés de chiffrement des données stockées en Europe, est susceptible de réaliser certains transferts aux États-Unis pour des opérations d'administration. Et de préciser que l’entreprise est soumise « à des injonctions des services de renseignement (américains) l'obligeant à leur transférer des données stockées et traitées sur le territoire de l'Union européenne. »
Pour la CNIL, la situation est donc très claire : les données des citoyens européens ne peuvent plus être confiées à une entreprise américaine, même si celle-ci dispose d’un siège et de serveurs dans l’Union européenne. « Cette situation doit conduire à modifier les conditions d’hébergement de la PDS ainsi que celles des autres entrepôts de données de santé qui sont hébergés par des sociétés soumises au droit étatsunien ». Le gendarme soutient que ce changement d’hébergement « devrait intervenir dans un délai aussi bref que possible »
Consciente du défi technique d'un changement d'hébergement, la CNIL envisage « période de transition » dont la durée sera « limitée au strict nécessaire », et « recommande aux autorités publiques d'évaluer en urgence l'existence de fournisseurs alternatifs et leurs capacités, tant en volume de stockage qu’en qualité de service, afin d’évaluer la durée nécessaire pour cette transition, la plus courte possible ».
Durant cette période de transition, la CNIL propose de mettre en place « un fondement juridique permettant le cas échéant, de délivrer de telles autorisations, sous certaines garanties ». Elle précise que « cette période de transition doit rester limitée à ce qui est nécessaire et impérativement mise à profit pour garantir, par des démarches actives, la modification des conditions d’hébergement des données ».
Ce 8 octobre, auditionné par des sénateurs, le secrétaire d'État au Numérique Cédric O a annoncé que le gouvernement souhaitait stocker les données de santé du Health Data Hub – actuellement hébergées par Microsoft – en France ou en Europe.
« Nous travaillons avec [le ministre de la Santé] Olivier Véran, après le coup de tonnerre de l’annulation du Privacy Shield, au transfert du Health Data Hub sur des plateformes françaises ou européennes », a déclaré Cédric O. « Nous aurons sur ce sujet des discussions avec nos partenaires allemands », a-t-il ajouté.
Néanmoins, lors de l’audience au Conseil d’État, le ministère de la Santé a défendu une autre position, indiquant « qu'il n'y a pas d'alternative a Microsoft pour le HDH (Health Data Hub, ndlr) » au point de préciser que « le HDH n'est pas le seul à utiliser des acteurs américains » et de mettre en garde « contre une décision qui aurait des conséquences désastreuses au-delà du HDH ».
Sources :CNLL, ministère de la Santé
Et vous ?
Quel est votre avis sur le sujet ? 
.
Envoyé par Galet
