Health Data Hub et Covid-19 : la sécurité des données médicales en débat devant le Conseil d'État Abonné

Publié le 12/06/2020

Crédit photo : S.Toubon

C'est une audition aussi technique qu'importante qui a eu lieu ce mercredi 11 mai devant le Conseil d'État. En cause : l'arrêté du 21 avril 2020, qui confie la collecte et le traitement des données de santé à la plateforme « Health Data Hub » dans le cadre de la lutte contre l'épidémie de Covid-19. Cet arrêté est contesté par le Conseil national du logiciel libre et d'autres acteurs qui lui reprochent le recours, sans appel d’offres préalable, à Microsoft pour héberger les données et fournir les outils d'analyse. Ce choix est considéré comme dangereux pour la sécurité des données de santé des Français.

Ce groupement d’intérêt public est destiné à faciliter le partage des données de santé et a été déployé prématurément à l'occasion de l’épidémie actuelle de Covid-19. Elle concentre les données du PMSI, de Santé publique France relatives aux passages aux urgences, mais aussi celle de la base SI-VIC (SI VICtimes) développée à la suite des attentats de novembre 2015, consacrée aux événements générant de nombreux blessés et adaptée à la crise sanitaire actuelle. Pour l'instant, un seul projet a ainsi été validé par la commission nationale informatique et liberté (CNIL) : celui de la DREES visant à l'analyse de toutes les données d'hospitalisation française en lien avec le Covid-19.

En théorie, pour ce qui est du Covid-19, la plateforme n'aura plus d'existence légale à la fin de l'état d'urgence sanitaire, le 10 juillet prochain. La CNIL devrait être saisie prochainement pour avis sur un projet de décret visant à inscrire le fonctionnement de cette plateforme dans le droit commun, précisant la répartition des responsabilités entre la plateforme des données de santé et les porteurs de projets.

Des données à la merci de l’administration Trump

Le projet inquiète les défenseurs du logiciel libre, pour qui le choix de Microsoft met les données médicales françaises à la merci de l'administration américaine. En effet, si le contrat signé avec l'entreprise garantit que les données soient localisées en Europe quand elles sont « au repos », c’est-à-dire non exploitées, il n'y a en revanche « aucune certitude concernant l'endroit où ces données seront temporairement stockées lorsqu'elles seront analysées par les porteurs de projets », explique Jean-Paul Smet, P-DG de l'éditeur de logiciel libre Nexedit, membre du conseil national du logiciel libre et l'un des principaux requérants.

Les outils proposés par le géant de Redmond sont en effet dématérialisés. L'entreprise répartit les données en cours d'exploitation entre ses différents serveurs dispersés dans le monde, en fonction des capacités de calculs disponibles. Problème : si ces données transitent, ne serait-ce que quelques minutes, par un serveur localisé sur le territoire des États-Unis, elles ne sont plus protégées par la législation des États membres de l'Union européenne (le fameux RGPD), et peuvent être réquisitionnées par l'administration américaine via des dispositifs législatifs comme le « patriot act » ou le « CLOUD Act ».

Dans l'avis rendu par la CNIL sur l'élaboration de la plateforme Health Data Hub, le transfert de données à l'étranger figure parmi les points de vigilance. Elle précisait qu'elle « souhaiterait, eu égard à la sensibilité des données en cause, que son hébergement et les services liés à sa gestion puissent être réservés à des entités relevant exclusivement des juridictions de l’Union européenne ». La CNIL demandait aussi des garanties concernant l'indépendance de la gouvernance du Health Data Hub.

La pseudonymisation, une protection insuffisante ?

Lors de l'audience, la directrice du GIP « Plateforme des données de santé », Stéphanie Combes a mis en avant la pseudonymisation des données. Cette dernière n'est pas considérée comme une protection absolue par Jean-Paul Smet. « Il est possible de retrouver l'identité des patients en croisant ces informations avec d'autres bases de données », explique-t-il. Les pseudonymes sont générés en cryptant le numéro de sécurité sociale (NIR). Il est donc possible, à condition de détenir la clé de cryptage, de retrouver l'identité réelle des propriétaires des données. La CNIL avait reconnu ne pas être « en capacité d’appréhender pleinement les conséquences du recours à un tel pseudonyme ».

Des alternatives françaises à Microsoft étaient-elles possibles ?

Afin de justifier le choix de Microsoft comme prestataire de service, Stéphanie Combes argue du fait que « nous n'avons pas d'industriel français qui permet de répondre aux problématiques de gestion de données sensibles avec forte ségrégation des droits ». Cet avis est partagé par le responsable de l’équipe « SISTM : Statistics In Systems Biology and Translational Medicine » du centre INRIA Sud-Ouest à Bordeaux, et grands spécialiste du big data médical contacté par « Le Quotidien ». « Personne ne nous donne les moyens d'avancer comme le fait Microsoft depuis qu'il est hébergeur de données de santé, affirme-t-il. Il y a actuellement un effort majeur de l'État pour regrouper les données de santé, mais on est sur la phase de transition qui peut prendre 10 ans. »

« C'est complètement faux !, s’insurge Jean Paul Smet. À l'association des hébergeurs des données de santé, il y a au moins 20 ou 30 entreprises qui sauraient faire la même chose que Microsoft. Nexedi a, par exemple, une infrastructure équivalente à celle de Facebook, et le logiciel qui l'exploite a été entièrement développé en France. J'ai des clients comme Airbus, Toyota, Mitsubishi ou PSA… »

La juge des référés doit conclure l'instruction mardi 16 juin, sa décision est attendue dans les jours suivants.