L’actualité numérique des industries de santé

    L’actualité numérique des industries de santé

    Politique

    Health Data Hub: le Conseil d'Etat rejette un nouveau référé s'opposant à la collecte de données Covid-19

    PARIS (TICpharma) - Le Conseil d'Etat a rejeté le 21 septembre, sur la forme, un référé visant à suspendre la collecte et le traitement de données Covid-19 par le Health Data Hub.

    Cette requête demandait au juge des référés "d'ordonner la suspension de la centralisation et du traitement des données en lien avec l'épidémie de Covid-19" par le Hub, "ainsi que toutes mesures utiles pour garantir l'absence d'atteinte grave et manifestement illégale aux libertés fondamentales" du fait de l'utilisation de celles-ci.

    Elle était portée par plusieurs entreprises et associations de défense du logiciel libre dont le Conseil national du logiciel libre (CNLL), ainsi que le Syndicat de la médecine générale (SMG), non représentatif, l’Union française pour une médecine libre (UFML), le Syndicat national des jeunes médecins généralistes (SNJMG), le collectif de médecins et informaticiens Interhop et des associations de patients.

    Le même groupe avait déposé au printemps une requête similaire visant à annuler la collecte et le traitement de données Covid-19 par le Health Data Hub, qui avait été en grande partie rejetée par le Conseil d'Etat. Il s'oppose au choix de la solution cloud Azure de Microsoft comme prestataire d'hébergement du Hub, que la directrice de celui-ci, Stéphanie Combes, a défendu.

    La nouvelle requête, déposée la semaine dernière, a été rejetée sur la forme par le juge des référés.

    Elle a été soumise sur le fondement de l'article L521-4 du code de justice administrative, qui permet aux requérants de demander au juge de réexaminer et, le cas échéant, de modifier une précédente décision lorsqu'ils apportent de nouveaux éléments.

    Les requérants ont ainsi fait valoir que la Cour de justice de l'Union Européenne (CJUE) avait invalidé en juillet le bouclier de protection des données Union Européenne-Etats-Unis, ou Privacy Shield.

    Cet accord, qui régissait les transferts de données entre l'Union et les Etats-Unis, était supposé garantir aux données personnelles des Européens une protection équivalente à celle du règlement général sur la protection des données (RGPD) lorsqu'elles sont traitées outre-Atlantique. La CJUE a estimé en juillet que ce n'était pas le cas.

    "Les requérant·e·s demandent par conséquent au Conseil d’Etat de suspendre le traitement et la centralisation des données au sein du Health Data Hub et, ce faisant, de s’aligner sur la toute récente jurisprudence européenne", expliquaient-ils dans un communiqué le 16 septembre.

    Dans la même décision, la CJUE a validé un mécanisme connexe: les clauses contractuelles types, des contrats standardisés qui permettent aux entreprises européennes de transférer des données personnelles vers des sous-traitants établis dans des pays tiers à condition que le niveau de protection y soit équivalent à celui de l'UE, sans préciser si les Etats-Unis faisaient partie ou non de ceux-ci.

    Les requérants ont estimé que "les clauses contractuelles types ne suffisent pas à assurer la protection des données personnelles".

    Le juge ne se prononce pas sur le fond

    Sans se prononcer sur ces nouveaux éléments, le juge des référés a estimé que la requête "ne tend pas à ce que les mesures prescrites par [la précédente décision] soient modifiées, qu'il y soit mis fin ou que leur exécution soit assurée, mais à ce que de nouvelles mesures soient prises, notamment la suspension de la centralisation et du traitement, par le biais de la Plateforme des données de santé", des données Covid-19.

    "Les mesures ainsi sollicitées excèdent celles que le juge des référés, saisi sur le fondement de l'article L521-4 du code de justice administrative, pourrait adopter", a-t-il conclu.

    "En l'absence de toute justification de l'urgence de l'affaire, la requête ne saurait, en tout état de cause, s'analyser utilement comme une nouvelle demande présentée au titre de l'article L521-2 du code de justice administrative", a-t-il ajouté.

    Cet article permet de saisir en urgence le juge des référés en cas d'"atteinte grave et manifestement illégale" à une liberté fondamentale par un organisme public ou chargé de la gestion de service public, précise-t-on.

    Les requérants demandaient également "de renvoyer à la Commission nationale de l'informatique et des libertés [Cnil] la question de l'appréciation de la protection adéquate des données liées [au] Covid-19 centralisées et traitées au sein du Health Data Hub au regard du transfert de ces données vers les Etats-Unis", soulignant "une présomption d'ingérences des autorités américaines à l'égard des données à caractère personnel en vertu [des lois américaines CLOUD Act et FISA]".

    La Cnil s'est inquiétée de possibles transferts de données du Hub hors de l'Union européenne, et notamment aux Etats-Unis, dans un avis publié en avril.

    Les requérants ont émis les mêmes inquiétudes dans leur précédente requête. Le Conseil d'Etat s'était alors montré rassurant.

    Les requérants annoncent une nouvelle requête

    Dans un communiqué publié le 22 septembre, les requérants ont "regretté" que "le Conseil d'Etat [estime] que la requête du collectif ne présentait pas de caractère urgent et qu’il leur fallait agir par le biais d’une procédure normale" et qu'il "refuse ainsi de jouer son rôle de gardien des libertés chères à notre République".

    Ils disent "prendre acte" de la décision et annoncent leur intention de déposer "la même requête, mais au fond".

    "Dans l’attente de cette décision qui peut prendre plusieurs années, les requérants demandent la mise en place immédiate d’un moratoire sur le Health Data Hub" et "saisissent la Cnil quant au transfert illégal de nos données de santé hébergées" sur le Hub, ajoutent-ils.

    "Les clauses contractuelles types garantissent le respect des données", a assuré Bernard Ourghanlian, directeur technique et sécurité de Microsoft France, le 22 septembre auprès de TICpharma. "Il n'y a pas de problème particulier [causé par l'invalidation du Privacy Shield] jusqu'ici, sauf avis contraire de la Cnil ou de la CJUE."

    "Il n'y a pas de données de santé qui partent aux Etats-Unis", a-t-il ajouté. "Ce sont des données d'administration, pour voir qui s'est connecté, qui a montré le mauvais mot de passe, etc."

    Il serait théoriquement possible de faire en sorte que toutes les données relatives au Hub restent dans l'UE, mais ce serait "très compliqué".

    La surveillance des serveurs de Microsoft se fait à l'échelle "globale afin d'être plus efficace et partiellement automatisée", a-t-il expliqué.

    "On a l'obligation d'être très attentifs à la sécurité. Une plateforme de ce type attire beaucoup d'attaques, y compris de la part d'Etats."

    Contactée par TICpharma, la directrice du Health Data Hub, Stéphanie Combes, n'a pas souhaité réagir.

    Un arrêté publié au Journal officiel le 22 avril autorise le Health Data Hub et la Caisse nationale de l'assurance maladie (Cnam) à collecter et traiter un large éventail de données afin de lutter contre l'épidémie de Covid-19. Le décret autorisant de manière pérenne la mise en production du Hub est, lui, attendu pour fin octobre.

    Conseil d'Etat, ordonnance du 21 septembre, n°444514

    LĂ©o Caravagna
    leo.caravagna@apmnews.com

    À suivre

    Comment Microsoft et AstraZeneca accélèrent ensemble dans l'IA en santé

    https://www.eventbrite.fr/e/billets-hdi-day-2020-120031939763

    Politique

    Vers une prolongation de la certification des logiciels d'aide à la prescription (projet de décret)

    PARIS (TICpharma) - Un projet de décret d'application de la loi de financement de la sécurité sociale (LFSS) pour 2020, dont APMnews a eu connaissance, prévoit de prolonger la validité des certifications délivrées par la Haute autorité de santé (HAS) aux logiciels d'aide à la prescription (LAP) "jusqu'à la publication de nouveaux référentiels et au plus tard jusqu'au 1er juillet 2021".

    0 777

    Politique

    Publicité et vente en ligne de médicament: le droit européen ne s'oppose pas au droit national

    LUXEMBOURG (TICpharma) - L'avocat général de la Cour de justice de l'Union européenne (CJUE) a estimé fin février, en réponse à une question préjudicielle de la cour d'appel de Paris, que les textes européens ne s'opposent pas à la réglementation d'un Etat membre interdisant la publicité pour les services de vente en ligne de médicaments fournis par une pharmacie établie dans un autre Etat de l'Union.

    0 747

    Vos réactions

    Anti-spam : Veuillez saisir le résultat de ce calcul S.V.P
    4 + 4 =