L’hébergement transitoire de la Plateforme des données de santé par Microsoft: le choix du risque

L’hébergement transitoire de la Plateforme des données de santé par Microsoft: le choix du risqueL’opportunité de la valorisation des données de santé. La Plateforme des données de santé (PDS), ou Health Data Hub (HDH), est un Groupement d’intérêt public (GIP) créé par arrêté du 29 novembre 20191entre l’Etat, des organismes assurant une représentation des malades et des usagers du système de santé, des producteurs de données de santé et des utilisateurs publics et privés de données de santé, y compris des organismes de recherche en santé.Son rôle est de faciliter le partage,la valorisation scientifique des données de santé et de permettre l’innovation dans leur utilisation2, dans la lignée des recommandations issues du rapport Villiani de mars 20183.L’arrêté du 21 avril 2020 complétant l’arrêté du 23 mars 2020 a présenté la crise sanitaire comme nécessitant l’anticipation du lancement de la PDS4.Les réserves de la CNIL quant au choix de l’hébergeur Sur le fondement de l’article 8-I de la loi du 6 janvier 1978 modifiée et compte tenu du caractère sensible des données personnelles traitées au sens de l’article 9 du RGPD, la CNIL a produits de multiples recommandations à travers deux avis rendus les 31 janvier 20195et 20 avril 20206, tendant à garantir la licéité du traitement et la sécurité des données concernées.Si l’essentiel de celles-ci ont été reprises dans les articles L.1462-1 et suivants du code de la santé publique7, le choix du prestataire d’hébergement de la plateforme, Microsoft Azure,continue d’interroger au égard aux modalités de transfert des données en dehors de l’Espace économique européen. 1Arrêté du 29 novembre 2019 portant approbation d’un avenant à la convention constitutive du groupement d’intérêt public « Institut national des données de santé » portant création du groupement d’intérêt public « Plateforme des données de santé »2Art. L.1462-1 du Code de la santé publique3Rapport Villani « Donner un sens à l’intelligence artificielle : pour une stratégie nationale et européenne »4Arrêté du 23 mars 2020 complété par l’arrêté du 21 avril 2020 prescrivant les mesures d’organisation et de fonctionnement du système de santé nécessaires pour faire face à l’épidémie de covid-19 dans le cadre de l’état d’urgence sanitaire«Considérant que la capacité à mobiliser les données de santé est un axe essentiel de la lutte contre l’épidémie de covid-19 ; qu’il est nécessaire de suivre et d’anticiper les évolutions de l’épidémie, de prévenir, de diagnostiquer et de traiter au mieux la pathologie et d’adapter l’organisation de notre système de santé pour combattre l’épidémie et d’en atténuer les impacts ; que la plateforme des données de santé dispose de moyens informatiques de traitement des données susceptibles d’être mis à disposition à ces fins ; qu’une telle démarche rend nécessaire l’organisation de remontées de données du programme de médicalisation des systèmes d’information (PMSI) simplifiées et accélérées»5Délibération de la Cnil n° 2019-008 du 31 janvier 2019 portant avis sur un projet de loi relatif à l’organisation et à la transformation du système de santé (demande d’avis n° 19001144)6Délibération n° 2020-044 du 20 avril 2020 portant avis sur un projet d’arrêté complétant l’arrêté du 23 mars 2020 prescrivant les mesures d’organisation et de fonctionnement du système de santé nécessaires pour faire face à l’épidémie de covid-19 dans le cadre de l’état d’urgence sanitaire (demande d’avis n° 20006669)7Titre VI du Livre IV de la Première partie du Code de la santé publique.En effet, bien que les serveurs du sous-traitant soient basés aux Pays-Bas,la société n’en demeure pas moins soumise au droit américain dont la CJUE a estimé l’incompatibilité du Privacy Shield par rapport au droit européen des données personnelles au regard du risque que les services de renseignement américains accèdent à ces données8.Un risque validé par le Conseil d’Etat Saisi en référé par des associations et des syndicats, le Conseil d’État a estimé dans son ordonnance du 13 octobre 2020que s’«il ne peut ainsi être totalement exclu, sur le plan technique, que Microsoft soit amenée à faire droit à une demande [de transfert] des autorités américaines», celui-ci demeure un risque et non une violation effective et que par ailleurs«il existe un intérêt public important à permettre la poursuite de l’utilisation des données de santé pour les besoins de la gestion de l’urgence sanitaire et de l’amélioration des connaissances sur le SARS-CoV-2»9. Selon la Haute juridiction la suspension de la PDS ne se justifie donc pas à très court terme mais impose de prendre des précautions particulières sous le contrôle de la CNIL.Il est à relever que l’urgence que constituerait la crise sanitaire pour justifier la mise en place de la PDS est surprenante dans la mesure où les projets lancés actuellement débordent déjà largement le cadre de la covid10.Une solution transitoire faute de mieux Face à ces risques, le ministère de la santé s’est engagé à recourir à une solution technique permettant de ne pas exposer les données hébergées par la PDS à d’éventuelles demandes d’accès illégales au regard du RGPD dans un délai compris entre 12 et 18 mois et, en tout état de cause,ne dépassant pas deux ans. Ce délai s’explique certes par la nécessité d’une migration vers un cloud de confiance –certifié HDS –qui implique une réversibilité de la plateforme et des données ainsi que la mise en place d’une nouvelle solution technique, possiblement dans le cadre du projet de cloud européen. On peut toutefois s’interroger sur l’effectivité de l’engagement politique d’un gouvernement ayant vocation à disparaitre dans quelques mois.Dans l’intervalle,un nouvel avenant a été conclu: celui-ci précisant que la loi applicable est bien celle du droit de l’Union européenne ou du droit français et que tous les services qui traitent des données de santé le font au sein de l’Union européenne. Il est d’une part étonnant que ces clauses ne fussent pas incluses au contrat initial et il n’est d’autre part pas certain que celles-ci suffisent à garantir la sécurité des données face à l’éventualité d’une ingérence des services de renseignement américain.8CJUE, 16 juillet 2020, Data Protection Commissioner c/ Facebook Ireland Ltd, Maximillian Schrems, affaire C-311/189Conseil d’Etat, ord., 13 octobre 2020, Association le conseil national du logiciel libre et autres(aff. 444937)10https://www.health-data-hub.fr/projetsQuoiqu’il en soit,la Plateforme des données de santé n’a pas fini de parler d’elle:en témoigne l’avis attendu de la CNIL concernant cette fois-ciun projet de décret relatif au système national des données de santé (SNDS), dont le projet a été analysé lors de sa séance plénière du 29 octobre dernier.

Vincent G