Health Data Hub : le sombre diagnostic du Dr CNIL

Et Mr Hyde
Droit 4 min
Health Data Hub : le sombre diagnostic du Dr CNIL
Crédits : ipopba/iStock

La plateforme des données de santé, hébergée par Microsoft, fut mise en œuvre de façon anticipée en avril 2020, urgence sanitaire oblige. Sa consécration dans le droit commun peine : sur la rampe de la CNIL, un avis très sec sur le futur texte d’application préparé par Olivier Véran. Next INpact révèle ces deux documents encore confidentiels.

Le système national des données de santé prend la forme d'« un entrepôt de données médico-administratives pseudonymisées couvrant l'ensemble de la population française et contenant l'ensemble des soins présentés au remboursement ».

Dans cet espace gigantesque, on trouve cinq bases :

  • les données de l'assurance maladie
  • les données des hôpitaux
  • les causes médicales de décès
  • les données relatives au handicap
  • et certaines données des organismes complémentaires.

À l’heure du Big Data, l'enjeu est d'aiguiser l'information sur la santé et l'offre de soins, mais aussi d'évaluer les politiques de santé, informer les professionnels, ou encore améliorer la recherche, les études, l'évaluation et l'innovation.

Un stock pour le moins imposant puisque « l'ensemble de ces données permet la reconstruction des parcours de santé de 67 millions de personnes sur près de 12 années » relevait le Sénat dans ce rapport

Ce vivier est mis à disposition par le « Health Data Hub », lui-même hébergé dans le ventre du géant Microsoft.

Le groupement d'intérêt public, traduit en français « Plateforme des données de santé », a en effet pour mission « de réunir, organiser et mettre à disposition les données du système national des données de santé », dixit l’article 41 de la loi du 24 juillet 2019, si bien nommée loi « relative à l'organisation et à la transformation du système de santé ». 

Multiples infections

Ces rouages auraient pu être parfaitement pensés/pansés, soignés, désinfectés. En lieu et place, l'infection menace.

Mi-octobre, le Conseil d’État a reconnu que sur le plan technique, l’hébergeur Microsoft pouvait être amené à faire droit à une demande de communication des services du renseignement américain sur ces données sensibles.

La décision faisait suite aux « observations » de la CNIL produites quelques jours plus tôt, où l’autorité rejetait sans nuance ce choix made in Redmond. Des observations elles-mêmes rédigées dans le sillage de l’invalidation de l’accord « Privacy Shield ». Ce 16 juillet dernier, la justice européenne épinglait les tentacules de la NSA et des autres services « US » sur les données personnelles des Européens.

Enfin, le 9 octobre un arrêté a interdit les transferts outre-Atlantique et le 23, le secrétaire d’État au numérique Cédric O de révéler que le gouvernement avait pris la décision de rapatrier le Health Data Hub « vers une plateforme européenne ». 

Un projet de décret, un projet d'avis de la CNIL

Plus près de nous, jeudi dernier, la CNIL a donc examiné le projet de décret relatif au « système national des données de santé ». Attendu de longue date, ce futur texte entend donner une entière base légale à ce projet de centralisation et traitement des données. 

Covid oblige, ce dispositif controversé a en effet fait l’objet d’une mise en œuvre « dérogatoire », profitant des prérogatives spécifiques du gouvernement pour faire face à la crise sanitaire.

C’est encore la loi du 24 juillet 2019 qui a programmé ce texte d’application (dont une version avait déjà été obtenue en septembre dernier par TIC Pharma).

Gouvernance, désignation des responsables de traitement, droits de personnes concernées… Il faut dire que les problématiques sont denses, d'autant que le RGPD classe ces données dans la catégorie « sensible ».

L’enjeu est d’autant plus important que cette même loi a modifié le périmètre de ce qu’on appelle le « système national des données de santé élargie » (ou SDNS élargie). En plus des cinq bases précitées, y sont ajoutées notamment les données recueillies à l'occasion d'activités de prévention, de diagnostic, de soins ou de suivi médico-social.

Pêle-mêle, s'y trouvent les données de prises en charge médicale par la Sécu, mais aussi celles issues des visites médicales scolaires, des visites de santé au travail.

Selon l’étude d'impact associée au projet de loi, cet élargissement vise à multiplier « l'utilisation du SNDS aussi bien en recherche clinique qu'en termes de nouveaux usages notamment ceux liés au développement des méthodes d'intelligence artificielle ».

Malgré ces bonnes intentions pour la recherche, la délibération récente de la CNIL met en exergue les nombreuses failles et incomplétudes du projet. Qu'en retenir ? 

« Un manque de lisibilité et de clarté »

Vous n'avez pas encore de notification

Page d'accueil
Options d'affichage
Abonné
Actualités
Abonné
Des thèmes sont disponibles :
Thème de baseThème de baseThème sombreThème sombreThème yinyang clairThème yinyang clairThème yinyang sombreThème yinyang sombreThème orange mécanique clairThème orange mécanique clairThème orange mécanique sombreThème orange mécanique sombreThème rose clairThème rose clairThème rose sombreThème rose sombre

Vous n'êtes pas encore INpactien ?

Inscrivez-vous !