L’actualité numérique des industries de santé

    L’actualité numérique des industries de santé

    Acteurs

    Health Data Hub: le Conseil d'Etat rejette l'essentiel d'une requête s'opposant à la collecte de données Covid-19

    PARIS (TICpharma) - Le Conseil d'Etat a rejeté le 19 juin l'essentiel d'une requête visant à annuler la collecte et le traitement de données Covid-19 par le Health Data Hub.

    Un arrêté publié au Journal officiel le 22 avril a autorisé le Health Data Hub et la Caisse nationale de l'assurance maladie (Cnam) à collecter et traiter un large éventail de données afin de lutter contre l'épidémie de Covid-19. Attendue pour juin, la plateforme technologique qui permet d'accéder aux données du Hub a été mise en production début mai pour répondre à des besoins liés à l'épidémie de Covid-19.

    La requête déposée auprès du Conseil d'Etat visait à enjoindre au ministre des solidarités et de la santé de "faire cesser les atteintes graves et manifestement illégales portées au droit au respect de la vie privée et au droit à la protection des données" en suspendant l'exécution de cet arrêté.

    Elle était portée par plusieurs entreprises et associations de défense du logiciel libre dont le Conseil national du logiciel libre, ainsi que le Syndicat de la médecine générale (SMG), non représentatif, l’Union française pour une médecine libre (UFML), le collectif de médecins et informaticiens Interhop.

    Le Conseil d'Etat a rejeté l'essentiel de la requête, estimant qu'"il n’apparaît pas, en l’état de l’instruction, que la mise en oeuvre de l’arrêté [...], en ce qu’il confie la collecte et le traitement de données de santé à la Plateforme des données de santé, qu'il porte une atteinte grave et manifestement illégale au droit au respect de la vie privée et au droit à la protection des données personnelles".

    Suspendre l'exécution de cet arrêté aurait mis un coup d'arrêt à la Plateforme des données de santé (PDS ou Health Data Hub) car les textes lui permettant de réaliser cette collecte de données Covid-19 sont applicables jusqu'à la fin de l'état d'urgence sanitaire. Un décret, attendu cet été, doit autoriser de manière pérenne sa mise en production.

    Le Conseil d'Etat a cependant ordonné au Hub, dans un délai de 5 jours, de fournir à la Commission nationale de l'informatique et des libertés (Cnil) les "éléments relatifs aux procédés de pseudonymisation utilisés" afin de lui permettre de "vérifier que les mesures prises assurent une protection suffisante des données de santé".

    Dans son avis sur le projet d'arrêté en question, la Cnil indiquait ne pas être en mesure de se prononcer "compte tenu des délais particulièrement brefs de sa saisine" sur le recours à la pseudonymisation.

    "Le droit au respect de la vie privée n’implique pas que des données, même aussi sensibles que les données de santé, fassent dans tous les cas l’objet d’une anonymisation avant d’être traitées à des fins d’évaluation ou de recherche" mais "seulement […] que des garanties appropriées soient prévues, qui peuvent comprendre la pseudonymisation, lorsque l’anonymisation ne permettrait pas de poursuivre les travaux de recherche nécessaires", ce qui est le cas ici, a estimé le Conseil d'Etat.

    Concernant la sécurité technique des données, il a constaté qu'"il ne résulte pas de l’instruction qu’une carence en la matière pourrait être reprochée à la Plateforme des données de santé, qui constituerait une atteinte grave et manifestement illégale au droit au respect de la vie privée".

    Le Hub devra également "compléter les informations figurant sur son site internet relatives au projet portant sur l’exploitation des données de passages aux urgences pour l’analyse du recours aux soins et le suivi de la crise sanitaire du Covid-19" dans le même délai.

    "Si l’arrêté ne prévoit pas les informations que le responsable du traitement doit fournir aux personnes concernées, cette seule circonstance, qui ne fait pas obstacle à ce que les informations requises soient fournies par la Plateforme des données de santé, n’est pas de nature à faire apparaître une atteinte grave et manifestement illégale à une liberté fondamentale", a-t-il jugé.

    Ce projet, porté par la direction de la recherche, des études, de l’évaluation et des statistiques (Drees) du ministère des solidarités et de la santé, exploite les données de la base "Organisation de la surveillance coordonnée des urgences" (Oscour) de Santé publique France afin "d'analyser le recours aux soins et le suivi de la crise sanitaire".

    Le Conseil d'Etat a estimé qu'il "reste nécessaire et proportionné aux risques sanitaires encourus".

    A ce jour, seul ce projet est en cours, sept autres attendent une autorisation et cinq sont en préparation, apprend-on également dans l'ordonnance.

    "Seuls des responsables de traitement autorisés par la Cnil, l’Etat, la Cnam et certains organismes ou les services chargés d'une mission de service public peuvent traiter les données ainsi rassemblées", rappelle l'ordonnance.

    Le Conseil d'Etat rassurant sur les transferts de données hors de l'UE

    La juridiction revient également sur les inquiétudes de possibles transferts de données hors de l'Union européenne  (UE), nées du choix de Microsoft comme hébergeur du Hub.

    Les données sont actuellement hébergées aux Pays-Bas et seront "prochainement" hébergées en France, tous les centres de données concernés étant certifiés hébergeurs de données de santé (HDS), a constaté le Conseil d'Etat.

    Des données pourraient bien être transférées hors de l'UE "dans le cadre du fonctionnement courant de la solution technique, notamment pour des opérations d’administration de cette dernière", mais "seules des données nécessaires aux opérations de maintenance ou de résolution d’incidents et non des données de santé sont concernées" et "des mesures de contrôle interdisent tout accès aux employés de Microsoft sans l’accord" du Hub.

    Par ailleurs, Microsoft "figure sur la liste des organisations adhérant au 'bouclier de protection des données'", un ensemble de principes de protection des données liant l'UE et les Etats-Unis et prévu notamment dans le règlement général sur la protection des données (RGPD).

    Le Conseil d'Etat estime également que "les requérants n’apportent pas d’éléments dont il ressortirait que les données de santé, pseudonymisées, que [Microsoft] héberge pour le compte de la PDS seraient susceptibles de faire l’objet de demandes d’accès" sur le fondement du Cloud Act, une loi permettant à la justice américaine d'accéder aux données stockées sur des serveurs situés en dehors des Etats-Unis.

    Dans un tweet publié le 19 juin, le collectif Interhop a qualifié cette décision de "victoire", se réjouissant que "le Conseil d'Etat impose au Health Data Hub de retourner devant la Cnil et de se mettre en conformité sous cinq jours en publiant sur leur site que les données de santé qu’ils hébergent transitent par les USA".

    "L'ordonnance montre que l'ensemble de l'édifice juridique du Hub est solide et qu'il n'y a pas d'atteinte grave aux libertés", a réagi la directrice du Hub, Stéphanie Combes, auprès de TICpharma.

    Conseil d'Etat, ordonnance du 19 juin, n°440916

    Léo Caravagna
    leo.caravagna@apmnews.com

    À suivre

    L'Institut Montaigne formule 12 propositions "pour une transformation numérique du système de santé"

    Politique

    Un décret entérine la nouvelle procédure de certification des LAP/LAD

    PARIS (TICpharma) - La nouvelle procédure de certification des logiciels d'aide à la prescription et à la dispensation (LAP/LAD) a été définie dans un décret paru au Journal officiel le 22 août.

    0 904

    Acteurs

    Partager ses données, un "changement culturel majeur" pour la pharma (Emmanuelle Quilès)

    PARIS (TICpharma) - La présidente de Janssen France (groupe Johnson & Johnson -J&J), Emmanuelle Quilès, a souligné dans un entretien accordé à TICpharma le "changement culturel majeur" que constitue le partage de données entre laboratoires pharmaceutiques dans le cadre de projets exploitant les technologies d'intelligence artificielle (IA).

    0 1022

    Vos réactions

    Anti-spam : Veuillez saisir le résultat de ce calcul S.V.P
    3 + 3 =