En savoir plus - Publicité 2 Publicité 2 En savoir plus - Publicité 2 Publicité 2 En savoir plus - Publicité 2 Publicité 2 En savoir plus - Publicité 2 Publicité 2 Découvrez nos offres pour annonceurs - Publicité 4 Publicité 4 En savoir plus - Publicité 2 Publicité 2 Visitez 3Vision Group - Publicité 3 Publicité 3 banner Publicité 3

Le Health Data Hub attaqué devant le Conseil d’Etat



Une quinzaine de personnalités et d’organisations ont déposé un référé-liberté contre le déploiement, accéléré au nom de l’état d’urgence sanitaire, de la nouvelle plateforme de santé devant centraliser l’intégralité de nos données de santé et dont l’hébergement a été confié à Microsoft.

La fronde contre Health Data Hub, la plateforme devant centraliser à terme l’intégralité de nos données de santé et dont le déploiement a été accéléré au nom de l’état d’urgence sanitaire, a pris une nouvelle tournure avec le dépôt, devant le Conseil d’État, d’un référé-liberté qui doit être examiné le jeudi 11 juin.

Comme l’a déjà raconté Mediapart, cela fait de nombreux mois que le Health Data Hub suscite de vives inquiétudes, que ce soit au sein du monde hospitalier ou à la Commission nationale de l’informatique et des libertés. Alors que cette opposition s’exprimait jusqu’à présent par des pétitions ou des communiqués, elle passe à une autre étape avec ce référé-liberté qui ouvre un front judiciaire.

Cette procédure permet aux citoyens de saisir, en urgence, le juge administratif lorsqu’ils estiment qu’une de leurs libertés fondamentales est menacée par une administration. En l’espèce, les signataires du référé-liberté estiment que la mise en place du Health Data Hub « porte une atteinte grave et sûrement irréversible aux droits de 67 millions d’habitants de disposer de la protection de leur vie privée notamment celle de leurs données parmi les plus intimes, protégées de façon absolue par le secret médical : leurs données de santé ».

Porté par l’avocat Me Jean-Baptiste Soufron, le référé, que Mediapart a pu consulter, est en outre signé par une quinzaine de personnes et organisations. On y trouve plusieurs associations et éditeurs de logiciels libres déjà à l’origine d’un courrier envoyé au mois de mars au ministère de la santé demandant l’ouverture d’une enquête pour « favoritisme » sur le choix fait, par le gouvernement, de confier l’hébergement du Health Data Hub à la société américaine Microsoft et à son offre de « cloud », Azure.

Ils ont cette fois été rejoints par le collectif InterHop, composé de professionnels du secteur de la santé et de l’informatique médicale, mobilisé depuis près d’un an contre le projet mais également par le médecin Didier Sicard, ancien président du Comité national consultatif d’éthique, le professeur Bernard Fallery, spécialiste des systèmes d’information, le Syndicat national des journalistes (SNJ), le Syndicat de la médecine générale (SMG), l’Union française pour une médecine libre (UFML), la représentante des usagers du conseil de surveillance de l’APHP, l’Observatoire de la transparence dans les politiques de médicaments, l’Union générale des ingénieurs, cadres et techniciens CGT (UGICT-CGT) et l’Union fédérale médecins, ingénieurs, cadres, techniciens CGT Santé et Action sociale (UFMICT-CGT Santé et Action sociale).

Echantillons D'Adn, Dans Un Laboratoire De Munich, En Mai 2011. © ReutersEchantillons d’ADN, dans un laboratoire de Munich, en mai 2011. © Reuters

Le recours rappelle que le Health Data Hub avait été acté par la loi santé du 24 juillet 2019. Son but est de remplacer l’actuel SNDS qui centralise déjà les principaux fichiers de santé, dont celui de l’Assurance-maladie, tout en élargissant considérablement sa portée. À terme, toute donnée collectée dans le cadre d’un acte remboursé par l’Assurance-maladie sera centralisée dans le Health Data Hub, des données des hôpitaux à celles du dossier médical partagé ou celles des logiciels professionnels utilisés par les médecins et les pharmaciens.

Cette concentration sans précédent de données de santé avait suscité immédiatement de vives inquiétudes, notamment de la Commission nationale de l’informatique et des libertés (Cnil). Dans un avis rendu sur la loi santé, elle soulignait qu’« au-delà d’un simple élargissement, cette évolution change la dimension même du SNDS, qui viserait à contenir ainsi l’ensemble des données médicales donnant lieu à remboursement ». La commission appelait « dès maintenant l’attention sur la problématique majeure du respect, en pratique, des principes de limitation des finalités et de minimisation des données par ces nouveaux traitements, évoluant dans un contexte d’accumulation de données pour alimenter les algorithmes d’intelligence artificielle ».

De plus, le Health Data Hub est géré par un groupement d’intérêt public (GIP) chargé d’administrer l’ouverture des données à des acteurs extérieurs. Or, comme le soulignait la Cnil, la loi santé a également modifié les textes régissant ces accès afin de permettre leur utilisation par des acteurs privés. Jusqu’alors, les données personnelles de santé ne pouvaient être soumises à un traitement informatique que dans le cadre de « l’accomplissement des missions des services de l’État » ou « à des fins de recherche, d’étude ou d’évaluation » et « répondant à un motif d’intérêt public ». La loi santé a fait disparaître toute référence à une finalité scientifique pour ne conserver que le « motif d’intérêt public ».

Enfin, la Cnil soulignait le flou laissé par la loi santé sur des aspects cruciaux de la plateforme, notamment techniques. « Le projet de loi ne comporte aucune description ni élément de cadrage de l’architecture technique de la plateforme technologique des données de santé, compte tenu des options restant actuellement en discussion », écrivait-elle. Ces points devaient être précisés dans un décret à venir. Or, la commission estimait « indispensable que le décret, pris après avis de la CNIL et auquel elle accordera une attention particulière, précise l’architecture globale et technique, dont le cadrage sera réalisé en collaboration avec l’Agence nationale de la sécurité des systèmes d’information (ANSSI) ».

Depuis, et en attendant la publication de ce décret, la mise en place du Health Data Hub devait se faire de manière progressive, sous le contrôle de la Cnil et de l’Anssi censés travailler main dans la main avec l’équipe en charge du Health Data Hub.

Mais, le 21 avril dernier en pleine épidémie de Covid-19, l’État a pris par surprise ses partenaires en publiant un arrêté accélérant au nom de l’état d’urgence sanitaire le déploiement de la plateforme. Il autorise le Health Data Hub, ainsi que la Caisse nationale de l’assurance-maladie (Cnam), à collecter, « aux seules fins de faciliter l’utilisation des données de santé pour les besoins de la gestion de l’urgence sanitaire et de l’amélioration des connaissances sur le virus Covid-19 », un nombre considérable de données.

Ont été intégrées à la plateforme les données du Système national des données de santé (SNDS) qui regroupe lui-même les principales bases de données de santé publique, les « données de pharmacie », les « données de prise en charge en ville telles que des diagnostics ou des données déclaratives de symptômes issues d’applications mobiles de santé et d’outils de télésuivi, télésurveillance ou télémédecine », les données des laboratoires, celles des services d’urgence, « des enquêtes réalisées auprès des personnes pour évaluer leur vécu » ou encore celles issues du pourtant contesté SI-VIC, le système de suivi des victimes lors de catastrophes sanitaires qui, au mois d’avril dernier, avait été utilisé pour ficher des gilets jaunes.

Le Health Data Hub a aussi récupéré des données issues des enquêtes épidémiologiques instaurées par la loi de prolongation de l’état d’urgence sanitaire, dont celles du Système d’information national de dépistage populationnel (SIDEP), un fichier spécialement créé pour centraliser les résultats d’analyses des laboratoires. Comme l’explique un document du ministère de la santé que Mediapart a pu consulter, l’un des buts du SIDEP sera en effet de « permettre une réutilisation des données homogènes et de qualité pour la recherche ».

Ce passage en force n’avait pas été du goût de la Cnil qui avait rendu public, le 23 avril, un avis particulièrement sévère. La mise en place du Health Data Hub faisait l’objet d’« un plan d’action conséquent de mise en œuvre de mesures de sécurité s’étalant sur une période de plusieurs mois », y rappelait la Commission qui s’interrogeait « donc sur les conditions de démarrage anticipé de la solution technique dans un contexte où la plateforme de données de santé a dû accomplir en quelques semaines des opérations, dont certaines structurantes, pour garantir la sécurité des données traitées, étaient prévues pour s’étaler sur plusieurs mois ».

Plus gênant, l’avis révélait que, contrairement à ce qui était jusqu’alors affirmé, des données confiées à Microsoft pourront bien être transférées aux États-Unis dans certains cas. Jusqu’à présent, les données devaient être stockées dans des serveurs gérés par le géant américain, mais localisés dans l’Union européenne. Selon la Cnil qui a pu consulter le contrat liant le Health Data Hub à Microsoft, celui-ci prévoit bien une localisation par défaut des données au sein de l’UE. En revanche, « cette localisation ne s’applique qu’aux données “au repos”, alors même que le contrat mentionne l’existence de transferts de données en dehors de l’Union européenne dans le cadre du fonctionnement courant de la plateforme, notamment pour les opérations de maintenance ou de résolution d’incident ».

Interrogée à l’époque par Mediapart, la directrice du Health Data Hub, Stéphanie Combes, avait démenti les affirmations de la Cnil. « Nous ne sommes pas alignés sur cette phrase de l’avis. Le contrat prévoit en effet que des données peuvent être transférées par l’hébergeur dans certains cas, sauf indication contraire. Or, nous avons bien spécifié que les données ne devaient pas sortir du territoire français », expliquait-elle.

La Cnil s’inquiétait par ailleurs également de la manière dont sont gérées les clefs de chiffrement, permettant de déchiffrer les données, dont une copie sera conservée « par l’hébergeur au sein d’un boîtier chiffrant, ce qui a pour conséquence de permettre techniquement à ce dernier d’accéder aux données », ainsi que d’un manque d’encadrement des procédures d’accès des administrateurs de la plateforme. Sur ces points également, Stéphanie Combes contestait les analyses de la Cnil.

Lancez-vous dans une nouvelle aventure avec DoingBuzz

Que vous cherchiez à avancer dans votre carrière ou à élargir vos horizons académiques, DoingBuzz est là pour vous. Découvrez une multitude d'offres d'emploi et de bourses d'études adaptées à votre parcours.

doingbuzz DIRECT
Mots-clés associés à l'article :

Cet article est réservé aux abonnés. Déjà abonné ?

Enquêtes, interviews, analyses…

Abonnez-vous et accédez à tous nos articles en illimité !