L’actualité numérique des industries de santé

    L’actualité numérique des industries de santé

    Politique

    Health Data Hub: la Cnil s'inquiète de possibles transferts de données hors de l'Union européenne

    PARIS (TICpharma) - La Commission nationale de l'informatique et des libertés (Cnil) a estimé que "des données [du Health Data Hub] pourront être transférées hors de l’Union européenne dans le cadre du fonctionnement courant de la solution technique, notamment pour gérer et assurer le bon fonctionnement du système informatique", dans une publication consacrée à la plateforme mise en ligne le 11 juin.

    Attendue pour ce mois-ci, la Plateforme des données de santé (PDS) a été mise en production début mai, rappelle-t-on.

    Le Hub a choisi la solution cloud Azure de Microsoft comme prestataire d'hébergement afin "d'aller vite" dans le développement de la plateforme, avait expliqué en décembre 2019 sa directrice, Stéphanie Combes. Ce choix a été vivement critiqué, notamment par l'ancien président de l'Institut des données de santé, Christian Babusiaux, dans une tribune publiée dans Le Monde le 4 juin, note-t-on.

    La Cnil a détaillé ses inquiétudes dans un avis du 20 avril. Elle "relève que les contrats qui lui ont été fournis ne prévoient eux-mêmes ni la localisation des données ni l’ensemble des garanties relatives aux modalités d’accès aux données par les administrateurs de l’hébergeur [Microsoft]".

    La commission "prend acte de ce que le ministère [des solidarités et de la santé] s’est engagé à ce que la Plateforme des données de santé exige de son hébergeur que les données 'au repos' soient hébergées au sein de l’Union européenne", et "souligne toutefois que cette localisation ne s’applique qu’aux données 'au repos'".

    Les données au repos sont les données inactives stockées à un endroit physique déterminé, par opposition aux données en cours d'utilisation ou aux données en transit.

    En revanche, "le contrat mentionne l’existence de transferts de données en dehors de l’Union européenne dans le cadre du fonctionnement courant de la plateforme, notamment pour les opérations de maintenance ou de résolution d’incident", et stipule que "les données traitées peuvent être transférées vers les Etats-Unis pour y être stockées et traitées, ainsi que dans tout autre pays dans lequel le sous-traitant ou ses sous-traitants ultérieurs sont implantés", s'étonne la Cnil.

    Elle rappelle les "inquiétudes soulevées à plusieurs reprises" par le Comité européen de la protection des données (CEPD) concernant l’accès par les autorités américaines aux données transférées aux Etats-Unis, "plus particulièrement la collecte et l'accès aux données personnelles à des fins de sécurité nationale" en vertu de plusieurs lois américaines.

    La Cnil "souhaiterait, eu égard à la sensibilité des données en cause, que son hébergement et les services liés à sa gestion puissent être réservés à des entités relevant exclusivement des juridictions de l’Union européenne", a-t-elle résumé dans sa publication du 11 juin.

    Stéphanie Combes a assuré début mai à Mediapart que le Hub "a bien spécifié que les données ne devaient pas sortir du territoire français" et n'est "pas alignée sur cette phrase de l'avis".

    Une décision de la Cour de justice de l'Union européenne (CJUE) relative aux transferts des données hors de l'UE est attendue "dans les mois qui viennent", a indiqué la Cnil.

    Mises en garde de la Cnil

    La commission "s'interroge" également sur les "conditions de démarrage anticipé" du Health Data Hub, "dans un contexte où [celui-ci] a dû accomplir en quelques semaines des opérations, dont certaines structurantes, pour garantir la sécurité des données traitées étaient prévues pour s’étaler sur plusieurs mois".

    "La PDS devra s’assurer que cette mise en oeuvre anticipée n’engendre pas de risque supplémentaire pour les personnes concernées", a-t-elle mis en garde.

    Elle a fait part "de son souhait qu’une vigilance particulière soit accordée aux conditions de conservation et aux modalités d’accès aux données".

    Elle a également rappelé au Hub la nécessité de prévoir la réversibilité des données, c'est-à-dire la possibilité de récupérer ses données si le Hub choisit de changer de prestataire.

    Le Hub prévoit d'actualiser son étude de réversibilité en 2020 et à nouveau en 2021, selon son plan stratégique 2019-2022.

    Enfin, la Commission a considéré que "la sécurité des données mises à disposition par la Plateforme est assurée, sous réserve de la mise en oeuvre des mesures prévues dans le plan d’action défini dans l’homologation de la Plateforme".

    Délibération de la Cnil n°2020-044 du 20 avril 2020

    La Plateforme des données de santé (Health Data Hub) sur le site de la Cnil

    LĂ©o Caravagna
    leo.caravagna@apmnews.com

    À suivre

    Olivier Véran ouvrira la prochaine réunion du Conseil du numérique en santé

    https://www.eventbrite.fr/e/billets-hdi-day-2020-120031939763

    Politique

    Le Health Data Hub est né

    PARIS (TICpharma) - Un avenant à la convention constitutive du groupement d'intérêt public (GIP) "Institut national des données de santé" (INDS) a été publié au Journal officiel le 30 novembre, actant la création du GIP "Health Data Hub" au 1er décembre 2019.

    0 900

    Acteurs

    "Code de conduite RGPD" des essais cliniques: précisions de la Fédération européenne des CRO

    PARIS (TICpharma) - Le projet de "code de conduite transnational" visant à assurer la conformité des essais cliniques au règlement général européen relatif à la protection des données (RGPD) est une initiative de la Fédération européenne des sociétés de recherche clinique (Eucrof), a précisé l'Eucrof le 25 novembre à TICpharma.

    0 695

    Vos réactions

    Anti-spam : Veuillez saisir le résultat de ce calcul S.V.P
    3 + 4 =