L’actualité numérique des industries de santé

    L’actualité numérique des industries de santé

    Politique

    La Cnil formule de nombreuses critiques sur le projet de décret encadrant le Health Data Hub

    PARIS (TICpharma) - La Commission nationale de l'informatique et des libertés (Cnil) formule de nombreuses critiques sur le projet de décret encadrant le Health Data Hub (HDH), dans un projet de délibération daté du 29 octobre et dont TICpharma a obtenu copie.

    Ce projet de décret d'application de la loi du 24 juillet 2019 relative à l'organisation et à la transformation du système de santé, dite "Ma santé 2022", confie au HDH et à la Caisse nationale de l'assurance maladie (Cnam) la mise en œuvre du système national des données de santé (SNDS), et détaille les données qui y seront accessibles, rappelle-t-on.

    Dans un projet de délibération long de 16 pages, la Cnil émet de nombreuses critiques et demande plusieurs modifications du texte.

    "A titre liminaire", elle "regrette vivement, au regard de l’enjeu essentiel s’attachant à la protection de données de santé de millions de Français, le manque de lisibilité et de clarté des dispositions encadrant le SNDS qui réservent son éventuelle compréhension - et les enjeux importants qui y sont attachés - aux seuls experts du domaine" et souligne "l'insécurité juridique ainsi créée".

    Elle "estime que le projet de décret ne répond que partiellement aux objectifs qui lui sont fixés" par la loi, "qu’il ne remplit pas suffisamment clairement l'objectif de fixer 'la liste des catégories de données réunies au sein du système national des données de santé' ainsi que 'les catégories de responsables des traitements du SNDS et les responsables de traitement, et fixer leurs rôles respectifs'".

    "Surtout, la Commission estime indispensable que la garantie prévue par l'arrêté du 9 octobre 2020 au bénéfice des données de l’entrepôt 'Covid' soit étendue à l’ensemble des données composant le SNDS."

    Cet arrêté interdit explicitement au Health Data Hub (ou Plateforme des données de santé -PDS) de transférer des données de santé hors de l'Union européenne, une interdiction déjà prévue par le règlement général sur la protection des données (RGPD) et le contrat d'hébergement du Hub par Microsoft, rappelle-t-on.

    Un texte peu clair

    La Cnil tance à plusieurs reprises le manque de clarté du projet de décret, notamment sur le périmètre du "SNDS élargi", "ce qui nuit à la bonne compréhension du dispositif prévu par le projet de décret".

    La Cnil définit le "SNDS élargi" comme la combinaison du "SNDS historique", composé "des données issues des bases médico-administratives hébergées ou susceptibles d’être hébergées par la Cnam" (notamment PMSI et Sniiram), et des nouvelles catégories de données ajoutées par la loi du 24 juillet 2019 et qui ont vocation à enrichir la base principale, issues entre autres des actes remboursés par l'assurance maladie.

    Cet ensemble forme ce que le HDH appelle la base principale, et que la Cnil appelle le "SNDS centralisé", car il a vocation à être centralisé par le HDH.

    Concernant les nouvelles catégories de données, la Commission "regrette" que le projet de décret renvoie à un arrêté du ministre chargé de la santé le soin d'apporter ces précisions, en particulier concernant la définition des enquêtes et cohortes.

    Elle considère que l'arrêté doit inscrire les bases au catalogue "et non recenser les bases déjà intégrées à celui-ci", et "demande que le projet de décret soit modifié sur ce point".

    Elle demande également au ministère "de clarifier le régime juridique applicable à la réutilisation [des données issues des dossiers médicaux et des entrepôts hospitaliers] et en particulier la notion de 'mise à disposition'" aux organismes souhaitant les utiliser.

    Elle s'étonne que le texte "renvoie le soin à la PDS de vérifier la conformité des bases […] au regard du RGPD et de la loi 'informatique et libertés'" et "s'interroge sur la légitimité de la PDS à réaliser cette vérification", celle-ci relevant "au premier chef du champ de compétence de la Commission". Elle demande que le texte soit modifié sur ce point.

    De plus, elle souhaite que l'arrêté relatif aux bases de données et ses mises à jour "puissent faire l’objet d’un avis préalable" de sa part, et demande à être consultée et pas seulement informée avant l'inscription de bases de données au catalogue.

    Par ailleurs, "la PDS disposera d’une copie de la base principale, actuellement hébergée par la Cnam", et "la base catalogue sera uniquement hébergée par la PDS", est-il précisé.

    La Cnil s'en inquiète, cette base "comportant, par nature, des données sensibles couvrant l’ensemble de la population".

    Si elle ne revient pas sur le choix de Microsoft comme hébergeur du Hub, auquel elle s'est opposée, elle souligne que "la PDS ne dispose pas - contrairement à la Cnam - de ses propres centres de données et fait appel à un prestataire dans un centre de données mutualisé avec plusieurs clients".

    "Ces différentes opérations augmentent mécaniquement la surface d'attaque et les risques de violations sur ces données", met-elle en garde.

    Vigilance sur l'information et le droit des personnes

    La Commission "accueille favorablement" la mise en place du "portail de transparence", disponible sur le site du HDH, "centralisant […] les informations relatives à l’ensemble des projets menés" sur les données.

    "Malgré l'ampleur du traitement, tant en termes de sensibilité que de volume des données, le projet de décret ne prévoit pas d’information individuelle des personnes concernées", déplore-t-elle.

    Elle demande au ministère "de réfléchir à des modalités d’information supplémentaires alternatives" pour les personnes n'ayant pas accès aux supports d'information numériques, y compris "une information individuelle par voie postale", et "insiste sur la nécessité que l'information délivrée aux personnes concernées soit, quel que soit le support utilisé, claire, aisément accessible et conforme aux dispositions" du RGPD.

    Un "droit d’effacement des données" doit être prévu dans le décret, selon la Cnil.

    Elle déplore que les personnes souhaitant exercer leur droit d'opposition soient contraintes de s'adresser à la PDS ou à la Cnam selon la base de données concernée, demande que les personnes puissent s'adresser indifféremment à l'une ou l'autre et que, "dans cette hypothèse, il sera considéré que la personne concernée s’est opposée à toute mise à disposition de ses données".

    La Cnil s'étonne que, lorsque la demande est adressée à la PDS, celle-ci lève le pseudonymat dérivé du NIR (numéro d'inscription au répertoire ou numéro de sécurité sociale) du demandeur afin d'identifier ses données.

    "Un des principes fondamentaux de la sécurité du SNDS repose sur la pseudonymisation de ses données et un strict cloisonnement entre les données identifiantes et les données pseudonymisées, excluant par principe qu'une même entité ait accès simultanément aux NIR et aux données du SNDS", argue-t-elle. Elle demande que le décret soit modifié sur ce point.

    "Dans l’hypothèse où un téléservice spécifique serait mis en place pour simplifier l’exercice des droits", la Cnil "recommande très fortement que le projet lui soit soumis préalablement à sa mise en œuvre".

    Elle prévient également qu'elle sera "extrêmement vigilante" sur "la robustesse de la pseudonymisation", et souhaite avoir la possibilité de rendre un avis sur la prochaine version du référentiel de sécurité, attendu début 2021, avant que ne débutent les opérations de pseudonymisation sur la plateforme technique du HDH.

    Flou autour des responsabilités des acteurs

    La Cnil demande que "figurent expressément" dans le décret "la répartition des responsabilités" respectives de la Cnam et de la PDS, notamment le fait que ceux-ci sont responsables conjoints de traitement du SNDS, ou lorsque des données sont mises à disposition.

    "Un organisme responsable de traitement d’une base [de données] alimentant [le Health Data Hub] pourra continuer à mettre à disposition les données de la base source auprès d’autres responsables de traitement", relève par ailleurs la Commission, citant à titre d'exemple "l'ATIH [Agence technique de l'information sur l'hospitalisation] pour les données du PMSI ou une entreprise spécialisée dans l'intelligence artificielle pour les données d’un entrepôt hospitalier".

    Elle s'étonne aussi que le texte puisse "laisser entendre que la Cnam intervient au même titre que la PDS en qualité de 'guichet unique', dans le cadre du traitement des dossiers de demande d'autorisation", et indique que "le ministère a précisé faire référence à l'étape d'expression des besoins du demandeur pour l'accès effectif aux données du SNDS, quelle que soit la formalité effectuée en amont".

    La Cnil tacle le flou autour de l'accès permanent au SNDS, dont la liste des bénéficiaires est "allongée considérablement" par le texte, et demande que celui-ci précise que cet accès permanent ne concerne que la base principale et non pas la base catalogue.

    "Le bénéfice d’un accès permanent doit être justifié", rappelle-t-elle.

    "Une note a été transmise par la plupart de ces organismes à l’appui de leur demande" d'accès permanent, mais la Cnil "s'étonne de l'incomplétude de certaines des fiches".

    "Plusieurs des nouveaux organismes souhaitant bénéficier d’un accès permanent n'ont jamais déposé de demande d’autorisation auprès de la Commission", dont l'Inria ou le CNRS "qui sollicitent pourtant un accès à la profondeur historique maximale (19 ans plus l’année en cours)", ainsi que l'Agence centrale des organismes de sécurité sociale (Acoss).

    "La sollicitation d’un accès à une telle profondeur historique n’est pas suffisamment justifiée par ces organismes dans les notes qui ont été transmises", déplore la Cnil.

    "S'agissant des organismes qui disposaient déjà d’un accès permanent, la Commission relève que la profondeur historique d’accès ainsi que la typologie des données concernées a été substantiellement modifiée afin d’accroître considérablement cet accès, sans pour autant que des justifications particulières aient été fournies pour faire évoluer le périmètre de leurs accès."

    Sont cités "l’Institut de recherche et documentation en économie de la santé [Irdes] et des centres de lutte contre le cancer (CLCC), qui n’ont pas fourni de fiche à l'appui de leurs demandes".

    "D’autres organismes n’ont pas suffisamment justifié scientifiquement l’évolution du périmètre de l'accès aux données: la Caisse nationale de solidarité pour l'autonomie (CNSA), l’Institut national d’études démographiques (Ined), la Caisse centrale de mutualité sociale agricole (CCMSA), l'Observatoire français des drogues et toxicomanies (OFDT) ainsi que les équipes de recherche et de formation de l'École des hautes études en santé publique (EHESP)", ajoute-t-elle.

    Enfin, "plusieurs organismes ont omis de préciser le nombre d'utilisateurs concernés et/ou de décrire les modalités de gestion de leurs habilitations", dont le CNRS, qui "ne mentionne pas de politique pour la gestion de ses 250 utilisateurs".

    "Plus de la moitié des organismes qui disposaient déjà d’un accès permanent n’a pas transmis de rapport ou de liste des études et des caractéristiques des traitements alors qu'il s’agit pourtant d’une obligation réglementaire", gronde la Commission.

    Elle demande que "l’absence de transmission d'un rapport complet [soit] assortie d’une sanction", par exemple le non-renouvellement de l’accès permanent ou la suspension des accès par la Cnam et la PDS, et que "la pertinence des accès permanents accordés" soit réévaluée par le ministère à l'expiration du délai de rendu de rapport, qui est de 3 ans.

    LĂ©o Caravagna
    leo.caravagna@apmnews.com

    À suivre

    Un fonds de dotation, des partenaires et une plateforme d'IA: Amgen veut transformer l'essai digital

    https://info.kaliop.com/webinars/application-mobile-sante?utm_campaign=Webinar%20App%20Compagnon&utm_source=unknowns&utm_medium=unknowns

    Acteurs

    Le Health Data Hub précise les responsabilités des producteurs et utilisateurs de données

    PARIS (TICpharma) - Le Health Data Hub a mis en ligne le 28 février sa "charte responsables de données", qui précise les rôles et responsabilités respectifs du hub, des producteurs de données et des utilisateurs de la plateforme.

    0 812

    Acteurs

    Le gendarme européen de la protection des données s'inquiète du rachat de Fitbit par Google

    BRUXELLES (TICpharma) - Dans un avis publié le 21 février, le comité européen de la protection des données (CEPD) a fait part de ses inquiétudes concernant le traitement et l'utilisation des données personnelles des utilisateurs des montres et bracelets connectés de Fitbit après le rachat de la société américaine par le géant Google.

    0 921

    Vos réactions

    Anti-spam : Veuillez saisir le résultat de ce calcul S.V.P
    8 + 5 =