L’actualité numérique des industries de santé

    L’actualité numérique des industries de santé

    Politique

    Health Data Hub: le Conseil d'Etat rejette un nouveau référé s'opposant à la collecte de données Covid-19

    PARIS (TICpharma) - Le Conseil d'Etat a rejeté le 21 septembre, sur la forme, un référé visant à suspendre la collecte et le traitement de données Covid-19 par le Health Data Hub.

    Cette requĂȘte demandait au juge des rĂ©fĂ©rĂ©s "d'ordonner la suspension de la centralisation et du traitement des donnĂ©es en lien avec l'Ă©pidĂ©mie de Covid-19" par le Hub, "ainsi que toutes mesures utiles pour garantir l'absence d'atteinte grave et manifestement illĂ©gale aux libertĂ©s fondamentales" du fait de l'utilisation de celles-ci.

    Elle Ă©tait portĂ©e par plusieurs entreprises et associations de dĂ©fense du logiciel libre dont le Conseil national du logiciel libre (CNLL), ainsi que le Syndicat de la mĂ©decine gĂ©nĂ©rale (SMG), non reprĂ©sentatif, l’Union française pour une mĂ©decine libre (UFML), le Syndicat national des jeunes mĂ©decins gĂ©nĂ©ralistes (SNJMG), le collectif de mĂ©decins et informaticiens Interhop et des associations de patients.

    Le mĂȘme groupe avait dĂ©posĂ© au printemps une requĂȘte similaire visant Ă  annuler la collecte et le traitement de donnĂ©es Covid-19 par le Health Data Hub, qui avait Ă©tĂ© en grande partie rejetĂ©e par le Conseil d'Etat. Il s'oppose au choix de la solution cloud Azure de Microsoft comme prestataire d'hĂ©bergement du Hub, que la directrice de celui-ci, StĂ©phanie Combes, a dĂ©fendu.

    La nouvelle requĂȘte, dĂ©posĂ©e la semaine derniĂšre, a Ă©tĂ© rejetĂ©e sur la forme par le juge des rĂ©fĂ©rĂ©s.

    Elle a été soumise sur le fondement de l'article L521-4 du code de justice administrative, qui permet aux requérants de demander au juge de réexaminer et, le cas échéant, de modifier une précédente décision lorsqu'ils apportent de nouveaux éléments.

    Les requérants ont ainsi fait valoir que la Cour de justice de l'Union Européenne (CJUE) avait invalidé en juillet le bouclier de protection des données Union Européenne-Etats-Unis, ou Privacy Shield.

    Cet accord, qui régissait les transferts de données entre l'Union et les Etats-Unis, était supposé garantir aux données personnelles des Européens une protection équivalente à celle du rÚglement général sur la protection des données (RGPD) lorsqu'elles sont traitées outre-Atlantique. La CJUE a estimé en juillet que ce n'était pas le cas.

    "Les requĂ©rant·e·s demandent par consĂ©quent au Conseil d’Etat de suspendre le traitement et la centralisation des donnĂ©es au sein du Health Data Hub et, ce faisant, de s’aligner sur la toute rĂ©cente jurisprudence europĂ©enne", expliquaient-ils dans un communiquĂ© le 16 septembre.

    Dans la mĂȘme dĂ©cision, la CJUE a validĂ© un mĂ©canisme connexe: les clauses contractuelles types, des contrats standardisĂ©s qui permettent aux entreprises europĂ©ennes de transfĂ©rer des donnĂ©es personnelles vers des sous-traitants Ă©tablis dans des pays tiers Ă  condition que le niveau de protection y soit Ă©quivalent Ă  celui de l'UE, sans prĂ©ciser si les Etats-Unis faisaient partie ou non de ceux-ci.

    Les requérants ont estimé que "les clauses contractuelles types ne suffisent pas à assurer la protection des données personnelles".

    Le juge ne se prononce pas sur le fond

    Sans se prononcer sur ces nouveaux Ă©lĂ©ments, le juge des rĂ©fĂ©rĂ©s a estimĂ© que la requĂȘte "ne tend pas Ă  ce que les mesures prescrites par [la prĂ©cĂ©dente dĂ©cision] soient modifiĂ©es, qu'il y soit mis fin ou que leur exĂ©cution soit assurĂ©e, mais Ă  ce que de nouvelles mesures soient prises, notamment la suspension de la centralisation et du traitement, par le biais de la Plateforme des donnĂ©es de santĂ©", des donnĂ©es Covid-19.

    "Les mesures ainsi sollicitées excÚdent celles que le juge des référés, saisi sur le fondement de l'article L521-4 du code de justice administrative, pourrait adopter", a-t-il conclu.

    "En l'absence de toute justification de l'urgence de l'affaire, la requĂȘte ne saurait, en tout Ă©tat de cause, s'analyser utilement comme une nouvelle demande prĂ©sentĂ©e au titre de l'article L521-2 du code de justice administrative", a-t-il ajoutĂ©.

    Cet article permet de saisir en urgence le juge des référés en cas d'"atteinte grave et manifestement illégale" à une liberté fondamentale par un organisme public ou chargé de la gestion de service public, précise-t-on.

    Les requérants demandaient également "de renvoyer à la Commission nationale de l'informatique et des libertés [Cnil] la question de l'appréciation de la protection adéquate des données liées [au] Covid-19 centralisées et traitées au sein du Health Data Hub au regard du transfert de ces données vers les Etats-Unis", soulignant "une présomption d'ingérences des autorités américaines à l'égard des données à caractÚre personnel en vertu [des lois américaines CLOUD Act et FISA]".

    La Cnil s'est inquiétée de possibles transferts de données du Hub hors de l'Union européenne, et notamment aux Etats-Unis, dans un avis publié en avril.

    Les requĂ©rants ont Ă©mis les mĂȘmes inquiĂ©tudes dans leur prĂ©cĂ©dente requĂȘte. Le Conseil d'Etat s'Ă©tait alors montrĂ© rassurant.

    Les requĂ©rants annoncent une nouvelle requĂȘte

    Dans un communiquĂ© publiĂ© le 22 septembre, les requĂ©rants ont "regrettĂ©" que "le Conseil d'Etat [estime] que la requĂȘte du collectif ne prĂ©sentait pas de caractĂšre urgent et qu’il leur fallait agir par le biais d’une procĂ©dure normale" et qu'il "refuse ainsi de jouer son rĂŽle de gardien des libertĂ©s chĂšres Ă  notre RĂ©publique".

    Ils disent "prendre acte" de la dĂ©cision et annoncent leur intention de dĂ©poser "la mĂȘme requĂȘte, mais au fond".

    "Dans l’attente de cette dĂ©cision qui peut prendre plusieurs annĂ©es, les requĂ©rants demandent la mise en place immĂ©diate d’un moratoire sur le Health Data Hub" et "saisissent la Cnil quant au transfert illĂ©gal de nos donnĂ©es de santĂ© hĂ©bergĂ©es" sur le Hub, ajoutent-ils.

    "Les clauses contractuelles types garantissent le respect des données", a assuré Bernard Ourghanlian, directeur technique et sécurité de Microsoft France, le 22 septembre auprÚs de TICpharma. "Il n'y a pas de problÚme particulier [causé par l'invalidation du Privacy Shield] jusqu'ici, sauf avis contraire de la Cnil ou de la CJUE."

    "Il n'y a pas de données de santé qui partent aux Etats-Unis", a-t-il ajouté. "Ce sont des données d'administration, pour voir qui s'est connecté, qui a montré le mauvais mot de passe, etc."

    Il serait théoriquement possible de faire en sorte que toutes les données relatives au Hub restent dans l'UE, mais ce serait "trÚs compliqué".

    La surveillance des serveurs de Microsoft se fait Ă  l'Ă©chelle "globale afin d'ĂȘtre plus efficace et partiellement automatisĂ©e", a-t-il expliquĂ©.

    "On a l'obligation d'ĂȘtre trĂšs attentifs Ă  la sĂ©curitĂ©. Une plateforme de ce type attire beaucoup d'attaques, y compris de la part d'Etats."

    Contactée par TICpharma, la directrice du Health Data Hub, Stéphanie Combes, n'a pas souhaité réagir.

    Un arrĂȘtĂ© publiĂ© au Journal officiel le 22 avril autorise le Health Data Hub et la Caisse nationale de l'assurance maladie (Cnam) Ă  collecter et traiter un large Ă©ventail de donnĂ©es afin de lutter contre l'Ă©pidĂ©mie de Covid-19. Le dĂ©cret autorisant de maniĂšre pĂ©renne la mise en production du Hub est, lui, attendu pour fin octobre.

    Conseil d'Etat, ordonnance du 21 septembre, n°444514

    LĂ©o Caravagna
    leo.caravagna@apmnews.com

    À suivre

    Comment Microsoft et AstraZeneca accélÚrent ensemble dans l'IA en santé

    Politique

    Vers une prolongation de la certification des logiciels d'aide à la prescription (projet de décret)

    PARIS (TICpharma) - Un projet de décret d'application de la loi de financement de la sécurité sociale (LFSS) pour 2020, dont APMnews a eu connaissance, prévoit de prolonger la validité des certifications délivrées par la Haute autorité de santé (HAS) aux logiciels d'aide à la prescription (LAP) "jusqu'à la publication de nouveaux référentiels et au plus tard jusqu'au 1er juillet 2021".

    0 869

    Politique

    Publicité et vente en ligne de médicament: le droit européen ne s'oppose pas au droit national

    LUXEMBOURG (TICpharma) - L'avocat général de la Cour de justice de l'Union européenne (CJUE) a estimé fin février, en réponse à une question préjudicielle de la cour d'appel de Paris, que les textes européens ne s'opposent pas à la réglementation d'un Etat membre interdisant la publicité pour les services de vente en ligne de médicaments fournis par une pharmacie établie dans un autre Etat de l'Union.

    0 840

    Vos réactions

    Anti-spam : Veuillez saisir le résultat de ce calcul S.V.P
    9 + 8 =