La CNIL estime que Microsoft ne doit plus gérer les données de santé des Français depuis l'invalidation de l'accord Privacy Shield

Et demande d'évaluer l'existence de fournisseurs alternatifs

France : le gouvernement accélère la mise en place du Health Data Hub qui vise à centraliser des données de santé,
mais la CNIL s'inquiète d'un possible transfert des données aux États-Unis

La CNIL a été saisie le 15 avril 2020 pour avis d’un projet d'arrêté complétant l’arrêté du 23 mars 2020 prescrivant les mesures d’organisation et de fonctionnement du système de santé nécessaires pour faire face à l’épidémie de covid-19 dans le cadre de l’état d’urgence sanitaire.

Le projet d’arrêté a pour objet, dans le contexte d’urgence lié à la gestion de la crise sanitaire actuelle :

• une « remontée hebdomadaire » des données du programme de médicalisation des systèmes d’information (PMSI), qui comptabilise les actes médicaux facturés par les hôpitaux dans un but de gestion économique et administrative des établissements. Il comprend des codes qui permettent de déterminer chaque acte médical, et donc par exemple de savoir si le patient a été en réanimation. Croisées aux données de l’Assurance-maladie, elles permettront par exemple d’évaluer la comorbidité ou les facteurs de risque ;
• d’organiser le regroupement de certaines données à caractère personnel, comprenant des données de santé, afin de permettre leur utilisation en vue de suivre et projeter les évolutions de l’épidémie, de prévenir, de diagnostiquer et de traiter au mieux la pathologie en plus d’organiser le système de santé pour combattre l’épidémie et en atténuer les impacts. Il prévoit pour ce faire l’ajout dans l’arrêté du 23 mars 2020 d’un chapitre relatif aux mesures concernant le traitement des données à caractère personnel du système de santé.

Ainsi, le projet prévoit, à titre temporaire et dans le cadre spécifique de la gestion de l’urgence sanitaire la centralisation au sein du groupement d’intérêt public dénommé Plateforme des données de santé, prévu par l’article L. 1462-1 du code de la santé publique (également dénommé « Health Data Hub ») de données provenant de différentes sources en vue de leur mise à disposition afin de faciliter l'utilisation des données de santé pour les besoins de la gestion de l’urgence sanitaire et de l’amélioration des connaissances sur le COVID-19.

En clair, au nom de l’état d’urgence, le gouvernement français a accéléré la mise en place du Health Data Hub, une plateforme devant centraliser des données de santé. Alors que le projet était encore en cours de déploiement, et que tous les textes d’applications ne sont pas encore prêts, le gouvernement a pris le 21 avril dernier, au nom de l’état d’urgence sanitaire, un arrêté modifiant celui du 23 mars sur l’organisation du système de santé durant l’épidémie. Il autorise le Health Data Hub, ainsi que la Caisse nationale de l’assurance-maladie (Cnam), à collecter, « aux seules fins de faciliter l’utilisation des données de santé pour les besoins de la gestion de l’urgence sanitaire et de l’amélioration des connaissances sur le virus Covid-19 », un nombre considérable de données


Tout en reconnaissant la légitimité des objectifs poursuivis par le projet, la CNIL a tenu à rappeler, au vu de l’urgence, que, quel que soit le contexte, des garanties suffisantes au regard du respect des principes fondamentaux du droit à la protection des données à caractère personnel doivent être mises en œuvre. Ainsi, elle estime que des mesures juridiques et techniques adaptées devront être prévues afin d’assurer un haut niveau de protection des données.

Pour rappel, en mars 2018, Emmanuel Macron a émis le souhait que la France ne se disperse pas et concentre ses forces dans les domaines où elle dispose déjà d'une grande quantité de données. Raison pour laquelle il a décidé de mettre l'accent sur la santé, où l'Hexagone possède, selon lui, un avantage lié à la centralisation de ses bases de données. L'Élysée a donc annoncé la création d'un « Health Data Hub » qui « pilotera l'enrichissement continu et la valorisation du système national des données de santé, pour y inclure à terme l'ensemble des données remboursées par l'assurance-maladie, les données cliniques des hôpitaux, des données de la médecine de ville...». Il était indiqué que ces données seraient ouvertes aux acteurs de l'IA dans un cadre sécurisé et garantissant la confidentialité pour, comme l'espère Emmanuel Macron, développer des « innovations majeures », comme l'amélioration du traitement des tumeurs cancéreuses, ou la détection des arythmies cardiaques ; et permettre à l'État de faire d'importantes économies.

Observations de la CNIL

Sur la constitution d’un entrepôt de données au sein de la plateforme des données de santé

La Commission relève que la centralisation des données au sein de la Plateforme des données de santé implique la création d’un entrepôt de données de santé en vue de leur mise à disposition auprès d’autres responsables de traitements.

Sur la responsabilité de traitement

La Commission prend acte de ce que la Plateforme des données de santé et la Caisse nationale d’assurance maladie (CNAM) seront conjointement responsables des traitements décrits dans le projet. À ce titre, le projet mentionne que la Plateforme des données de santé est responsable du stockage et de la mise à disposition des données et qu’elle est autorisée à opérer des croisements de données. Le projet mentionne par ailleurs que la CNAM est responsable des opérations de pseudonymisation dans le cadre du croisement des données et peut traiter le numéro d'inscription au répertoire national d'identification des personnes physiques à cette fin. La Commission relève cependant que le projet prévoit que les données peuvent être traitées dans la solution technique de la Plateforme des données de santé, ainsi que dans celle de la CNAM. Il en résulte que la CNAM pourrait également être amenée à stocker et à mettre à disposition des données dans le cadre du traitement envisagé.

Sur les données dont le traitement est envisagé

Le projet dresse la liste des catégories de données susceptibles d’être transmises à la Plateforme des données de santé en vue de leur mise à disposition. La Commission relève, au-delà du caractère très générique des catégories décrites, qu’il n’est fait mention ni de la profondeur historique des données ni de leur nature exacte, notamment au regard de l’intérêt que peut présenter leur analyse dans le cadre de l’épidémie de COVID-19. À titre d’exemple, le projet mentionne, sans plus de détail, la remontée possible de données issues du SNDS ou de « données de pharmacie ». Elle rappelle qu’en application du principe de minimisation des données prévu par l’article 5-1- c du RGPD, les données devront être adéquates, pertinentes et limitées à ce qui est nécessaire au vu de la finalité poursuivie, tant s’agissant des données figurant dans l’entrepôt au sein de la Plateforme des données de santé, que des données mises à disposition pour la réalisation de traitements ultérieurs.

Sur les modalités d’information des personnes et d’exercice des droits

La Commission relève qu’en dehors de la constitution, au sein de la Plateforme des données de santé, d’un répertoire public recensant la liste et les caractéristiques de tous les projets portant sur les données de l’entrepôt, le projet ne prévoit aucune modalité d’information ou d’exercice des droits particulière quant à la constitution de l’entrepôt ou aux traitements mis en œuvre ultérieurement.


Sur les transferts de données vers des pays tiers et les divulgations non autorisées par le droit de l’Union

La Commission relève que les contrats qui lui ont été fournis ne prévoient eux-mêmes ni la localisation des données ni l’ensemble des garanties relatives aux modalités d’accès aux données par les administrateurs de l’hébergeur. Le contrat permet cependant à la Plateforme, à travers les « Conditions des services en ligne » de choisir le lieu d’hébergement des données. En outre, les informations fournies par la Plateforme des données de santé mentionnent explicitement le recours à un hébergeur certifié « hébergeur de données de santé ». A cet égard, la Commission prend acte de ce que le ministère s’est engagé à ce que la Plateforme des données de santé exige de son hébergeur que les données « au repos » soient hébergées au sein de l’Union européenne.

La Commission souligne toutefois que cette localisation ne s’applique qu’aux données « au repos », alors même que le contrat mentionne l’existence de transferts de données en dehors de l’Union européenne dans le cadre du fonctionnement courant de la plateforme, notamment pour les opérations de maintenance ou de résolution d’incident.

À cet égard, les dispositions contractuelles de sous-traitance conclues entre la Plateforme des données de santé et le prestataire chargé de l’hébergement des données, stipulent que les données traitées peuvent être transférées vers les États-Unis pour y être stockées et traitées, ainsi que dans tout autre pays dans lequel le sous-traitant ou ses sous-traitants ultérieurs sont implantés. Ces transferts font l’objet d’un encadrement conformément au Chapitre V du RGPD, étant régis en l’espèce par des clauses contractuelles types, conformément à l’article 46-2-c de ce règlement.

La Commission rappelle, dans ce contexte, les inquiétudes soulevées à plusieurs reprises par le Comité européen de la protection des données (CEPD) concernant l’accès par les autorités des États-Unis aux données transférées aux États-Unis, plus particulièrement la collecte et l'accès aux données personnelles à des fins de sécurité nationale en vertu de l'article 702 de la loi américaine FISA et du décret (« Executive Order ») 12 333. Ces problématiques sont actuellement soumises à la Cour de justice de l’Union européenne dans le cadre d’une demande de décision préjudicielle formée par la High Court of Ireland concernant la validité de la décision 2010/87/UE, par laquelle la Commission européenne a établi des clauses contractuelles types pour certaines catégories de transferts. Un arrêt de la Cour dans cette affaire (C-311/18) est attendu dans les mois qui viennent.


La réaction de la directrice du Health Data Hub

Interrogée sur ce dernier point par Médiapart, Stéphanie Combes dément pourtant les affirmations de la CNIL. « Nous ne sommes pas alignés sur cette phrase de l’avis. Le contrat prévoit en effet que des données peuvent être transférées par l’hébergeur dans certains cas, sauf indication contraire. Or, nous avons bien spécifié que les données ne devaient pas sortir du territoire français », explique-t-elle. La CNIL aurait-elle alors mal lu le contrat ? « Je ne dis pas ça. Mais je trouve que les faits sont un peu détournés. En tout cas, nous avons bien indiqué que les données ne pourront pas être transférées. Je peux même vous dire que c’est à la page 11 du contrat ».

Peut-être encore plus inquiétant, la CNIL affirme que, même si les données stockées seront bien chiffrées « avec des algorithmes à l’état de l’art à partir de clés générées par les responsables de la plateforme...