Considérant que la capacité à mobiliser les données de santé est un axe essentiel de la lutte contre l’épidémie de covid-19, le Health Data Hub (HDH) et la Caisse nationale de l’assurance maladie (CNAM) ont été autorisés par arrêté du 21 avril 2020 à collecter des données de santé relatives au virus (arrêté complétant l’arrêté du 23 mars 2020 prescrivant les mesures d’organisation et de fonctionnement du système de santé nécessaires pour faire face à l’épidémie de covid-19 dans le cadre de l’état d’urgence sanitaire ; https://kos-avocats.fr/2020/05/11/le-health-data-hub-et-la-cnam-autorises-a-collecter-des-donnees-de-sante-relatives-au-covid-19/).
Mais 3 semaines plus tard, ce projet d’envergure connaît un premier « désenchantement » avec l’émergence de critiques vives de la part de la CNIL qui, dans une publication du 11/06/2020, estime que « des données [du Health Data Hub] pourront être transférées hors de l’Union européenne dans le cadre du fonctionnement courant de la solution technique, notamment pour gérer et assurer le bon fonctionnement du système informatique » et qu’à cet égard, elles ne seront plus en sécurité.
En effet, le HDH a choisi comme hébergeur de données de santé Microsoft (solution cloud Azure). Or, il résulte du contrat de prestation d’hébergement avec Microsoft que seules les données « au repos » (données inactives stockées à un endroit physique déterminé, contrairement aux données en cours d’utilisation ou aux données en transit) sont hébergées au sein de l’Union européenne. En revanche, dans le cadre du fonctionnement courant de la plateforme, notamment pour les opérations de maintenance ou de résolution d’incident, le contrat prévoit que les données traitées peuvent être transférées aux Etats-Unis pour y être stockées et traitées, ou dans tout autre Etat dans lequel le sous-traitant ou ses sous-traitants ultérieurs sont implantés.
Or, les Etats-Unis -pour ne citer qu’eux- confèrent à leurs autorités des prérogatives particulières de collecte et d’accès aux données personnelles à des fins de sécurité nationale. Ce droit d’accès résulte du « Cloud Act » qui va largement à l’encontre du RGPD.
C’est pourquoi la CNIL souhaiterait, eu égard à la sensibilité des données en cause, que l’hébergement et les services liés à la gestion du HDH puissent être réservés à des entités relevant exclusivement des juridictions de l’Union européenne.
En outre, la CNIL a rappelé la nécessité de prévoir la réversibilité des données, et donc la possibilité de récupérer ses données si le HDH venait à changer de prestataire.
Enfin, la problématique de la menace du HDH pour nos données de santé est d’autant plus d’actualité qu’avec la crise du Covid-19, le développement de la Plateforme a été accéléré et depuis l’arrêté du 21/04/2020, les hôpitaux, pharmacies, médecins de ville, services d’urgence, et applications ou autres outils numériques liés à la santé, sont en pratique contraints d’envoyer les données de santé à la firme américaine Microsoft, via l’envoi de ces données au HDH (https://kos-avocats.fr/2020/05/11/le-health-data-hub-et-la-cnam-autorises-a-collecter-des-donnees-de-sante-relatives-au-covid-19/).
Il faudrait donc songer, comme la CNIL le recommande, à transférer l’hébergement des donnés du HDH en France ou au minimum dans l’Union européenne (il existe des fournisseurs de Cloud français, à l’instar d’OVH, qui pourraient succéder à Microsoft. NB : Cependant, pour l’instant, peu d’opérateurs français ont obtenu la certification d’hébergeur de données de santé afin de faire jouer une réelle concurrence au niveau de la réponse aux appels d’offres…).
Car nul doute qu’avec le Covid-19, le projet du HDH doit être conservé car il est d’autant plus important pour procéder à des identifications et cartographies indispensables à la gestion de la crise sanitaire.
En tout état de cause, le Conseil d’Etat est sur le point de rendre une décision très attendue sur la légalité du choix de Microsoft pour l’hébergement des données de santé…
