4 pièce(s) jointe(s)
La CNIL valide le choix de Microsoft pour héberger les données de santé du projet EMC2
France : le gouvernement accélère la mise en place du Health Data Hub qui vise à centraliser des données de santé,
mais la CNIL s'inquiète d'un possible transfert des données aux États-Unis
La CNIL a été saisie le 15 avril 2020 pour avis d’un projet d'arrêté complétant l’arrêté du 23 mars 2020 prescrivant les mesures d’organisation et de fonctionnement du système de santé nécessaires pour faire face à l’épidémie de covid-19 dans le cadre de l’état d’urgence sanitaire.
Le projet d’arrêté a pour objet, dans le contexte d’urgence lié à la gestion de la crise sanitaire actuelle :
- une « remontée hebdomadaire » des données du programme de médicalisation des systèmes d’information (PMSI), qui comptabilise les actes médicaux facturés par les hôpitaux dans un but de gestion économique et administrative des établissements. Il comprend des codes qui permettent de déterminer chaque acte médical, et donc par exemple de savoir si le patient a été en réanimation. Croisées aux données de l’Assurance-maladie, elles permettront par exemple d’évaluer la comorbidité ou les facteurs de risque ;
- d’organiser le regroupement de certaines données à caractère personnel, comprenant des données de santé, afin de permettre leur utilisation en vue de suivre et projeter les évolutions de l’épidémie, de prévenir, de diagnostiquer et de traiter au mieux la pathologie en plus d’organiser le système de santé pour combattre l’épidémie et en atténuer les impacts. Il prévoit pour ce faire l’ajout dans l’arrêté du 23 mars 2020 d’un chapitre relatif aux mesures concernant le traitement des données à caractère personnel du système de santé.
Ainsi, le projet prévoit, à titre temporaire et dans le cadre spécifique de la gestion de l’urgence sanitaire la centralisation au sein du groupement d’intérêt public dénommé Plateforme des données de santé, prévu par l’article L. 1462-1 du code de la santé publique (également dénommé « Health Data Hub ») de données provenant de différentes sources en vue de leur mise à disposition afin de faciliter l'utilisation des données de santé pour les besoins de la gestion de l’urgence sanitaire et de l’amélioration des connaissances sur le COVID-19.
En clair, au nom de l’état d’urgence, le gouvernement français a accéléré la mise en place du Health Data Hub, une plateforme devant centraliser des données de santé. Alors que le projet était encore en cours de déploiement, et que tous les textes d’applications ne sont pas encore prêts, le gouvernement a pris le 21 avril dernier, au nom de l’état d’urgence sanitaire, un arrêté modifiant celui du 23 mars sur l’organisation du système de santé durant l’épidémie. Il autorise le Health Data Hub, ainsi que la Caisse nationale de l’assurance-maladie (Cnam), à collecter, « aux seules fins de faciliter l’utilisation des données de santé pour les besoins de la gestion de l’urgence sanitaire et de l’amélioration des connaissances sur le virus Covid-19 », un nombre considérable de données
Tout en reconnaissant la légitimité des objectifs poursuivis par le projet, la CNIL a tenu à rappeler, au vu de l’urgence, que, quel que soit le contexte, des garanties suffisantes au regard du respect des principes fondamentaux du droit à la protection des données à caractère personnel doivent être mises en œuvre. Ainsi, elle estime que des mesures juridiques et techniques adaptées devront être prévues afin d’assurer un haut niveau de protection des données.
Pour rappel, en mars 2018, Emmanuel Macron a émis le souhait que la France ne se disperse pas et concentre ses forces dans les domaines où elle dispose déjà d'une grande quantité de données. Raison pour laquelle il a décidé de mettre l'accent sur la santé, où l'Hexagone possède, selon lui, un avantage lié à la centralisation de ses bases de données. L'Élysée a donc annoncé la création d'un « Health Data Hub » qui « pilotera l'enrichissement continu et la valorisation du système national des données de santé, pour y inclure à terme l'ensemble des données remboursées par l'assurance-maladie, les données cliniques des hôpitaux, des données de la médecine de ville...». Il était indiqué que ces données seraient ouvertes aux acteurs de l'IA dans un cadre sécurisé et garantissant la confidentialité pour, comme l'espère Emmanuel Macron, développer des « innovations majeures », comme l'amélioration du traitement des tumeurs cancéreuses, ou la détection des arythmies cardiaques ; et permettre à l'État de faire d'importantes économies.
Observations de la CNIL
Sur la constitution d’un entrepôt de données au sein de la plateforme des données de santé
La Commission relève que la centralisation des données au sein de la Plateforme des données de santé implique la création d’un entrepôt de données de santé en vue de leur mise à disposition auprès d’autres responsables de traitements.
Sur la responsabilité de traitement
La Commission prend acte de ce que la Plateforme des données de santé et la Caisse nationale d’assurance maladie (CNAM) seront conjointement responsables des traitements décrits dans le projet. À ce titre, le projet mentionne que la Plateforme des données de santé est responsable du stockage et de la mise à disposition des données et qu’elle est autorisée à opérer des croisements de données. Le projet mentionne par ailleurs que la CNAM est responsable des opérations de pseudonymisation dans le cadre du croisement des données et peut traiter le numéro d'inscription au répertoire national d'identification des personnes physiques à cette fin. La Commission relève cependant que le projet prévoit que les données peuvent être traitées dans la solution technique de la Plateforme des données de santé, ainsi que dans celle de la CNAM. Il en résulte que la CNAM pourrait également être amenée à stocker et à mettre à disposition des données dans le cadre du traitement envisagé.
Sur les données dont le traitement est envisagé
Le projet dresse la liste des catégories de données susceptibles d’être transmises à la Plateforme des données de santé en vue de leur mise à disposition. La Commission relève, au-delà du caractère très générique des catégories décrites, qu’il n’est fait mention ni de la profondeur historique des données ni de leur nature exacte, notamment au regard de l’intérêt que peut présenter leur analyse dans le cadre de l’épidémie de COVID-19. À titre d’exemple, le projet mentionne, sans plus de détail, la remontée possible de données issues du SNDS ou de « données de pharmacie ». Elle rappelle qu’en application du principe de minimisation des données prévu par l’article 5-1- c du RGPD, les données devront être adéquates, pertinentes et limitées à ce qui est nécessaire au vu de la finalité poursuivie, tant s’agissant des données figurant dans l’entrepôt au sein de la Plateforme des données de santé, que des données mises à disposition pour la réalisation de traitements ultérieurs.
Sur les modalités d’information des personnes et d’exercice des droits
La Commission relève qu’en dehors de la constitution, au sein de la Plateforme des données de santé, d’un répertoire public recensant la liste et les caractéristiques de tous les projets portant sur les données de l’entrepôt, le projet ne prévoit aucune modalité d’information ou d’exercice des droits particulière quant à la constitution de l’entrepôt ou aux traitements mis en œuvre ultérieurement.
Sur les transferts de données vers des pays tiers et les divulgations non autorisées par le droit de l’Union
La Commission relève que les contrats qui lui ont été fournis ne prévoient eux-mêmes ni la localisation des données ni l’ensemble des garanties relatives aux modalités d’accès aux données par les administrateurs de l’hébergeur. Le contrat permet cependant à la Plateforme, à travers les « Conditions des services en ligne » de choisir le lieu d’hébergement des données. En outre, les informations fournies par la Plateforme des données de santé mentionnent explicitement le recours à un hébergeur certifié « hébergeur de données de santé ». A cet égard, la Commission prend acte de ce que le ministère s’est engagé à ce que la Plateforme des données de santé exige de son hébergeur que les données « au repos » soient hébergées au sein de l’Union européenne.
La Commission souligne toutefois que cette localisation ne s’applique qu’aux données « au repos », alors même que le contrat mentionne l’existence de transferts de données en dehors de l’Union européenne dans le cadre du fonctionnement courant de la plateforme, notamment pour les opérations de maintenance ou de résolution d’incident.
À cet égard, les dispositions contractuelles de sous-traitance conclues entre la Plateforme des données de santé et le prestataire chargé de l’hébergement des données, stipulent que les données traitées peuvent être transférées vers les États-Unis pour y être stockées et traitées, ainsi que dans tout autre pays dans lequel le sous-traitant ou ses sous-traitants ultérieurs sont implantés. Ces transferts font l’objet d’un encadrement conformément au Chapitre V du RGPD, étant régis en l’espèce par des clauses contractuelles types, conformément à l’article 46-2-c de ce règlement.
La Commission rappelle, dans ce contexte, les inquiétudes soulevées à plusieurs reprises par le Comité européen de la protection des données (CEPD) concernant l’accès par les autorités des États-Unis aux données transférées aux États-Unis, plus particulièrement la collecte et l'accès aux données personnelles à des fins de sécurité nationale en vertu de l'article 702 de la loi américaine FISA et du décret (« Executive Order ») 12 333. Ces problématiques sont actuellement soumises à la Cour de justice de l’Union européenne dans le cadre d’une demande de décision préjudicielle formée par la High Court of Ireland concernant la validité de la décision 2010/87/UE, par laquelle la Commission européenne a établi des clauses contractuelles types pour certaines catégories de transferts. Un arrêt de la Cour dans cette affaire (C-311/18) est attendu dans les mois qui viennent.
La réaction de la directrice du Health Data Hub
Interrogée sur ce dernier point par Médiapart, Stéphanie Combes dément pourtant les affirmations de la CNIL. « Nous ne sommes pas alignés sur cette phrase de l’avis. Le contrat prévoit en effet que des données peuvent être transférées par l’hébergeur dans certains cas, sauf indication contraire. Or, nous avons bien spécifié que les données ne devaient pas sortir du territoire français », explique-t-elle. La CNIL aurait-elle alors mal lu le contrat ? « Je ne dis pas ça. Mais je trouve que les faits sont un peu détournés. En tout cas, nous avons bien indiqué que les données ne pourront pas être transférées. Je peux même vous dire que c’est à la page 11 du contrat ».
Peut-être encore plus inquiétant, la CNIL affirme que, même si les données stockées seront bien chiffrées « avec des algorithmes à l’état de l’art à partir de clés générées par les responsables de la plateforme sur un boîtier chiffrant maîtrisé par la plateforme des données de santé », les clefs de déchiffrement seront envoyées au prestataire. « Elles seront conservées par l’hébergeur au sein d’un boîtier chiffrant, ce qui a pour conséquence de permettre techniquement à ce dernier d’accéder aux données », pointe l’avis de la commission.
Elle s’inquiète également d’un manque d’encadrement des procédures d’accès des administrateurs de la plateforme. Dans l’étude d’impact du projet, « une fonctionnalité d’autorisation préalable des accès administrateurs » était bien prévue. Mais « la Commission relève que cette fonctionnalité ne semble pas mentionnée dans les contrats fournis. En outre, la Commission s’interroge sur l’effectivité de cette mesure qui ne semble pas couvrir la totalité des accès possibles ».
Sur ce point, Stéphanie Combes explique qu’en effet les clefs de chiffrements des données seront générées par un « HSM » (Hardware Security Module), un « coffre-fort numérique » et envoyées à la plateforme ainsi qu’au prestataire qui est Microsoft. Mais ces clefs « sont utilisées de manière automatique sans intervention humaine ».
Concernant les accès des administrateurs, la directrice du Health Data Hub explique « qu’il peut y avoir un accès des administrateurs à certaines conditions. Mais pas n’importe lesquelles. Nous contrôlons ces accès et nous nous sommes engagés à refuser toute demande qui ne serait pas légitime. Nous avons totalement sécurisé cet aspect-là », assure-t-elle.
Depuis la publication de l’arrêté, le collectif Interhop, composé de professionnels du secteur de la santé et de l’informatique médicale, a publié un nouvel appel. « Contrairement à l’avis de nombreux acteurs – Commission nationale informatique et des libertés, Ordre national des médecins, Conseil national des barreaux, hôpitaux –, le gouvernement français s’appuie sur le géant américain Microsoft pour stocker l’ensemble des données de santé, affirme-t-il. Nous appelons à la constitution d’un écosystème universitaire, médiatique, juridique, associatif et politique pour réaffirmer les valeurs d’autonomie et des “communs” et, pour faire naître un large débat de société. »
Sources : Mediapart, rapport de la CNIL
Et vous ?
:fleche: Qu'en pensez-vous ? Les craintes de la CNIL vous semblent-elles justifiées ? Dans quelle mesure ?
Microsoft = triple danger
Confier les données à Microsoft représente un triple danger :
1/ C'est une boîte américaine et donc soumise à tout un tas de lois américaines pas vraiment protectrice pour les non-américains
2/ Microsoft a des velléités dans le domaine de la santé, donc il ne va pas se gêner pour exploiter nos données
3/ La sécurité a toujours été son point faible. Il n'y a qu'à voir les 500 Go de données privées qui viennent d'être piratées sur Github !
Pourquoi un nom anglais ?
Ce qui s'est passé ces derniers mois montre clairement l'intention technocratique de prendre d'en haut les décisions sur la façon de nous soigner individuellement. Or, on a vu aussi qu'en réalité ceux qui prétendent savoir sont loin de tout comprendre au développement d'une maladie. L'urgence me parait donc de repousser la prise de pouvoir des algorithmes sur les choix en matière de santé, aussi bien les choix portant sur les individus que les choix de société (tabac, alimentation, prévention, équipements). M$ ne fait pas mystère de son idéologie vaccinale; si on confie les décisions à des systèmes de régulation pondus par cette entreprise, le résultat est prévisible. Alors que les orientations à prendre pour traiter des problèmes de santé sont très discutables.
En posant ce point de vue, certains me trouveront excessifs. Pourtant, la mise à disposition envisagée des données sort du cadre purement comptable, et si on ne réfléchit pas ouvertement à l'usage de ces données, c'est la politique du fait accompli qui s'exercera à coup sûr.
En premier lieu, il faudrait discuter des limites de la liberté individuelle que le système de santé doit respecter. Sans entrer en détail dans ce débat, on peut anticiper que la capacité à respecter l'anonymat des données sera essentiel. Or, certains besoins comme la surveillance des épidémies conduisent à lever de fait cet anonymat : les données de détail de votre dossier suffisent souvent à vous identifier. Il faudra donc astreindre au secret les personnes qui auront le droit d'accès aux données pour ces opérations.
D'autre part, les dangers pour notre santé n'ont pas de frontière; il faut d'emblée dépasser le cadre franco-français pour ces questions, tout en sachant que dans ce domaine nos concitoyens ont un traitement haut de gamme qu'il ne faudrait pas sacrifier aux lois du marché.
2 pièce(s) jointe(s)
Données de santé : plusieurs organisations attaquent Health Data Hub devant le Conseil d’État
Données de santé : plusieurs organisations attaquent Health Data Hub devant le Conseil d’État,
estimant que le choix d'un hébergeur américain porte atteinte à la vie privée des Français
Le déploiement du Health Data Hub est attaqué devant le Conseil d’État. Les requérants estiment que cette base de données médicales porte atteinte à la vie privée des 67 millions de Français. Le choix de l'hébergeur, Microsoft, est au centre des plaintes.
Au nom de l’état d’urgence, le gouvernement français a accéléré la mise en place du Health Data Hub, une plateforme devant centraliser des données de santé. Nous pouvons citer des mesures comme l’arrêté du 21 avril qui autorise le Health Data Hub, ainsi que la Caisse nationale de l’assurance-maladie (Cnam), à collecter, « aux seules fins de faciliter l’utilisation des données de santé pour les besoins de la gestion de l’urgence sanitaire et de l’amélioration des connaissances sur le virus Covid-19 », un nombre considérable de données.
L’avis de la CNIL sur le projet a été demandé et la Commission n’a pas caché ses inquiétudes face à un possible transfert des données aux États-Unis notamment parce que le gouvernement français s’appuie sur l’américain Microsoft pour stocker l’ensemble des données de santé.
La Sénatrice Catherine Morin Dessailly a demandé à Cédric O, secrétaire d’État en charge du numérique, ce qui a motivé l’attribution du marché à Microsoft. Le secrétaire d’État a déclaré :
« La réponse elle est simple : nous avions le choix entre prendre une solution française, et l’évaluation technique était très claire, qui ne nous permettait pas, et je le regrette, de faire les recherches scientifiques que nous souhaitions faire sur les données de santé. Et quand je parle de recherches scientifiques, il s’agit de ce que nous avons fait pendant la crise du COVID-19 notamment les recherches de comorbidité, les recherches d’interactions médicamenteuses.
« Avec les solutions françaises, étant donné le retard européen dans le cloud, que je regrette profondément, nous n’avions pas la possibilité de faire tourner les algorithmes d’intelligence artificielle aussi développés sur l’infrastructure française que sur l’infrastructure américaine.
« Dès lors il y avait un choix cornélien qui était de savoir si on mettait en avant d’abord l’efficacité sanitaire avec un certain nombre de garanties ou la question de la souveraineté avec une moindre efficacité sanitaire. Nous avons réfléchi longtemps sur cette question. Après avoir discuté avec un certain nombre de scientifiques, de chercheurs en intelligence artificielle pour comprendre jusqu’au bout ce qu’on pouvait faire et ce qu’on ne pouvait pas faire, nous avons choisi Microsoft qui était la mieux placée en termes de technologie, avec un certain nombre de garanties techniques et juridiques ».
À cette déclaration, Morin Dessailly a réagi en disant : « ne me faites pas croire qu’il n’y avait pas de solution française, européenne, internationale. OVH aurait très bien pu candidater si le cahier des charges avait été aussi fait en fonction des acteurs européens dont nous disposons. Parce que dans ce domaine, tout est en train d’être construit et Microsoft fait de même ».
La réaction des acteurs français
Octave Klaba, président du fournisseur de cloud français OVH, n’a pas manqué d’afficher son regret de voir cette attribution à Microsoft, effectuée sans « procédure d'appel d'offres en bonne et due forme ». Il avait exprimé son mécontentement notamment sur Twitter : « C’est la peur de faire confiance aux acteurs français de l’écosystème qui motivent ce type de décisions. La solution existe toujours. Le lobbying de la religion ‘Microsoft’ arrive à faire croire le contraire. C’est un combat. On va continuer et un jour on gagnera. Ensemble. »
Il avait d’ailleurs annoncé qu’il allait avoir un entretien téléphonique le 1er juin à 16 heures avec Stéphanie Comb, directrice du Health Data Hub, pour voir si ou quand la plateforme pourrait tourner sur un cloud français au lieu de Microsoft, précisant qu’il avait « une envie débordante de montrer que l’écosystème français est à la hauteur de ce type de mission ».
À l’issue de cet appel, il a fait quelques remarques, notamment :
- Le projet a vu le jour fin 2018, sur la base d’une description de besoin fonctionnelle du service, d’assez haut niveau. Le document est public
- Il n’y a pas eu et il n’y a toujours pas d’autres documents sur le projet. Par exemple, le cahier des charges avec la liste ou la description de services IaaS PaaS et SaaS nécessaires pour réaliser le projet.
- La liste de services utilisés est documentée en interne, mais n’est pas rendue publique.
- Sur la base de ce document interne, les équipes internes analysent les insuffisances entre les services utilisés et la liste de services disponibles, notamment chez OVHcloud.
- Pourtant, Klaba note « qu’en 2018, avant le démarrage du projet, les insuffisances se résumaient au ‘manque de IaaS HDS avec du GPU’. On avait Hosted Private Cloud HDS, on avait Baremetal GPU, mais on n’avait pas IaaS HDS avec GPU. En mai 2019, Baremetal a été certifié HDS et on n’avait plus d’insuffisances »
« Le développement du projet a démarré en mai 2019 et donc théoriquement il n’y avait plus de souci. Mais on accepte le constat qu’en novembre 2018 on n’avait pas d’offre HDS avec du GPU et donc que le projet est parti sans nous. C’est la vie. Fin 2019, après plusieurs mois de dev, une nouvelle analyse de gap a été faite. Cette fois-ci, il s’agit d’une liste de 18 services qu’on n’aurait pas. Je vais vous donner les détails de cette liste dans les prochains jours et confirmer, qu’on les a ou pas.
« J’ai regretté le manque de transparence sur les besoins et l’absence du cahier de charge avec toute la liste de service tech qui sont nécessaires au projet. Il n’y a pas qu’OVHcloud sur le marché! J’ai eu un engagement que cette liste sera publiée prochainement et disponible pour tous. »
Pour Arnaud de Bermingham, Président fondateur de Scaleway, la filiale spécialisée dans les infrastructures cloud (IaaS) du groupe Iliad, la réponse est dans le multicloud : « pour moi, le cloud du futur c’est un écosys composé de centaines d’hyperspecialistes. Nos clients font des choses incroyablement pointues. La vision monolithe oligarchique et monopolistique, et horriblement chère ne va durer qu’un temps. La réponse c’est l’ouverture, le multicloud ».
Un recours déposé auprès du Conseil d’État
Une quinzaine d'organisations et de personnalités ont déposé un référé-liberté devant le Conseil d’État contre le déploiement de la base de données de Health Data Hub. Ce référé-liberté doit être examiné le jeudi 11 juin. Il s’agit entre autres du collectif InterHop, composé de professionnels du secteur de la santé et de l’informatique médicale, mobilisé depuis près d’un an contre le projet, mais également par le médecin Didier Sicard, ancien président du Comité national consultatif d’éthique, le professeur Bernard Fallery, spécialiste des systèmes d’information, le Syndicat national des journalistes (SNJ), le Syndicat de la médecine générale (SMG), l’Union française pour une médecine libre (UFML), la représentante des usagers du conseil de surveillance de l’APHP, l’Observatoire de la transparence dans les politiques de médicaments, l’Union générale des ingénieurs, cadres et techniciens CGT (UGICT-CGT) et l’Union fédérale médecins, ingénieurs, cadres, techniciens CGT Santé et Action sociale (UFMICT-CGT Santé et Action sociale).
Selon eux, cette mise en place « porte une atteinte grave et sûrement irréversible aux droits de 67 millions d’habitants de disposer de la protection de leur vie privée notamment celle de leurs données parmi les plus intimes, protégées de façon absolue par le secret médical : leurs données de santé ».
Le motif : le Health Data Hub, avec ses données, est « hébergé sur le cloud de Microsoft ». Microsoft étant une entreprise américaine, « il n'y a pas de garantie que ces données ne seront pas exportées aux États-Unis », selon les auteurs du recours, s’alignant ainsi sur l’avis rendu par la CNIL.
Cette action fait suite à un courrier envoyé par les requérants en mars 2020 au ministère des Solidarités et de la Santé. Ils demandaient alors que soit ouverte une enquête pour « favoritisme » sur le choix fait par le gouvernement de confier l'hébergement du Health Data Hub au service de cloud computing Azure de Microsoft.
La procédure de référé-liberté permet de demander à la plus haute juridiction administrative de prendre en urgence une mesure nécessaire à la sauvegarde d'une ou de plusieurs libertés fondamentales si l'administration y porte atteinte de manière grave et illégale.
Sources : Octave Klaba, Arnaud de Bermingham, Morin Desailly, MediaPart
2 pièce(s) jointe(s)
La CNIL publie son avis sur le contrat de Health Data Hub avec Microsoft Azure, alors que la polémique enfle
La CNIL publie son avis sur le contrat de Health Data Hub avec Microsoft Azure, alors que la polémique enfle sur le sujet,
La Commission appelant à choisir un prestataire européen
Microsoft sera-t-il, en fin de compte, l’hébergeur de la Plateforme des données de santé (Health Data Hub), infrastructure officiellement pour faciliter le partage des données de santé issues de sources très variées afin de favoriser la recherche ? Depuis quelques semaines, le gouvernement français est sous le feu des accusations à propos du contrat d’hébergement de Health Data Hub attribué à la plateforme cloud computing du géant américain Microsoft. À ces critiques, viennent de s’ajouter celles de la CNIL, qui appelle à choisir un prestataire européen.
Initialement lancé en mai 2019 par le gouvernement, le projet Health Data Hub est une plateforme conçue pour regrouper toutes les données de santé des Français de manière centralisée. Une initiative louable, en théorie, puisqu’elle permettra aux chercheurs d’accéder aux données fournies par les hôpitaux ou l’Assurance maladie. Ces ressources leur permettront de développer des modèles d’intelligence artificielle capables de prédire les maladies, de renforcer la précision des diagnostics, ou encore de découvrir de nouveaux médicaments.
Cependant, compte tenu du caractère sensible et intime des données de santé de 67 millions de personnes, des inquiétudes légitimes émergent quant à la confidentialité, bien que les données soient chiffrées et anonymisées. Le problème c’est le fournisseur cloud choisi par le gouvernement pour l’hébergement de la plateforme française. Ces inquiétudes sont d’autant plus légitimes que le célèbre lanceur d’alerte Edward Snowden soulignait fin mai dernier que le choix d’un hébergeur américain fait du Health Data Hub une menace pour la vie privée.
La CNIL, qui contrôle la loi Informatique et Libertés qui régit l’accès à ces informations, s’est jointe à la polémique qui va bon train depuis des semaines. En effet, la commission souhaite qu’au vu de « la sensibilité et du volume des données ayant vocation à être hébergées au sein de la PDS, pour lesquelles le niveau de protection technique, mais aussi juridique le plus élevé doivent être assurés, y compris en matière d’accès direct par les autorités de pays tiers, la CNIL a fait part de son souhait qu’une vigilance particulière soit accordée aux conditions de conservation et aux modalités d’accès aux données ».
La Commission nationale va plus loin en appelant au choix d’un hébergeur européen : « À plus long terme, elle a pris acte de ce qu’il lui a été indiqué que l’entrepôt appelé à être constitué au sein de la Plateforme des données de santé n’est pas lié aux services d’un unique prestataire. Elle souhaiterait, eu égard à la sensibilité des données en cause, que son hébergement et les services liés à sa gestion puissent être réservés à des entités relevant exclusivement des juridictions de l’Union européenne ».
Même si le RGPD prémunit les pays d’Europe contre la loi américaine Cloud Act, qui autorise la justice des États-Unis à accéder sur demande aux données stockées par des hébergeurs américains, en interdisant le transfert de données vers des pays extérieurs à l’UE, le choix du gouvernement inquiète et suscite la polémique.
La CNIL souligne « les inquiétudes soulevées à plusieurs reprises par le Comité européen de la protection des données (CEPD) concernant l’accès par les autorités nord-américaines aux données transférées aux États-Unis, plus particulièrement la collecte et l'accès aux données personnelles à des fins de sécurité nationale en vertu de l'article 702 de la loi américaine FISA et du décret (« Executive Order ») 12 333 ».
Elle rappelle aussi les obligations du RGPD qui « interdisent toute demande d’accès d'une juridiction ou d'une autorité administrative d'un pays tiers, adressée à des entreprises dont les traitements sont soumis au RGPD, en dehors d’un accord international applicable ou, selon l’interprétation du CEPD, de l’application d’une dérogation relative à l’intérêt vital de la personne concernée ».
Le choix du gouvernement contesté depuis plusieurs semaines
Depuis quelques semaines, des acteurs français cherchent à comprendre pourquoi un prestataire français – comme OVH – n’a pas été retenu dans le cadre du Health Data Hub. Dans un tweet, Octave Klaba, président du fournisseur de cloud français OVH, a exprimé son mécontentement : « C’est la peur de faire confiance aux acteurs français de l’écosystème qui motivent ce type de décisions. La solution existe toujours. Le lobbying de la religion ‘Microsoft’ arrive à faire croire le contraire. C’est un combat. On va continuer et un jour on gagnera. Ensemble. »
Il a aussi relancé la polémique dans un autre tweet lors d’un échange avec Stéphanie Combes, directrice de Health Data Hub : « Pas de cahier des charges. Pas d’appel d’offres. Le POC avec Microsoft qui se transforme en solution imposée. Tout ceci à la limite je m’en fous. Mais de là dire que l’écosystème qu’on représente est incapable de proposer mieux et moins cher, c’est non ! »
Face à ces accusations, le gouvernement se défend en rappelant que le contrat a été signé en 2019. Or, à cette époque, OVH ne disposait pas de la certification HDS (hébergeur de données de santé) obligatoire pour stocker de telles données. Aussi au nom de l’état d’urgence, le gouvernement français devait accélérer la mise en place du Health Data Hub. C’est la raison pour laquelle Microsoft a été sélectionnée, afin de ne pas perdre de temps.
« Avec les solutions françaises, étant donné le retard européen dans le cloud, que je regrette profondément, nous n’avions pas la possibilité de faire tourner les algorithmes d’intelligence artificielle aussi développés sur l’infrastructure française que sur l’infrastructure américaine », avait répondu Cédric O, secrétaire d’État en charge du numérique, lorsque que la sénatrice Catherine Morin Dessailly a voulu savoir ce qui a motivé l’attribution du marché à Microsoft.
Néanmoins, la directrice du Health Data Hub, Stéphanie Combes, a précisé que le contrat n’est pas définitif. Si les conditions sont remplies, il est possible qu’OVH ou d’autres acteurs français comme Scaleway et Hotscale soient appelés à rejoindre le projet. Toutefois, pour l’heure, ces entreprises françaises n’ont pas été sollicitées par le gouvernement.
Parmi les plaignants, on compte le collectif de professionnels de la santé et de l’informatique médicale InterHop, l’ancien président du Comité national consultatif d’éthique Didier Sicard, le professeur Bernard Fallery, le Syndicat national des journalistes, le Syndicat de la médecin générale, ou encore l’Union française pour une médecine libre. Ces entités sont à l’origine d’un recours pour lequel le Conseil d’État rendra son verdict ce 11 juin prochain.
Ils reprochent que la plateforme mise en place « porte une atteinte grave et sûrement irréversible aux droits de 67 millions d’habitants de disposer de la protection de leur vie privée notamment celle de leurs données parmi les plus intimes, protégées de façon absolue par le secret médical : leurs données de santé ». Le motif de leurs recours est que le Health Data Hub qui regroupe ses données, est « hébergé sur le cloud de Microsoft », une entreprise américaine. Pour eux, « il n'y a pas de garantie que ces données ne seront pas exportées aux États-Unis ».
Source : CNIL
Et vous ?
:fleche: Que pensez-vous de l’appel de la CNIL à choisir un prestataire européen ?
:fleche: Que pensez-vous de la polémique concernant le choix de Microsoft ? Les craintes exprimées vous semblent-elles justifiées ?
Lire aussi
:fleche: Données de santé : plusieurs organisations attaquent Health Data Hub devant le Conseil d'État, estimant que le choix d'un hébergeur américain porte atteinte à la vie privée des Français
:fleche: France : le gouvernement accélère la mise en place du Health Data Hub qui vise à centraliser des données de santé, mais la CNIL s'inquiète d'un possible transfert des données aux États-Unis
:fleche: France : IBM obtient la certification d'hébergeur de données de santé (HDS), qui atteste que l'entreprise respecte à la fois la confidentialité, l'intégrité et la disponibilité des données des clients