L’actualité numérique des industries de santé

    L’actualité numérique des industries de santé

    Politique

    Health Data Hub: Olivier Véran promet un changement d'hébergeur d'ici 2 ans

    PARIS (TICpharma) - Le ministre des solidarités et de la santé, Olivier Véran, s'est engagé à "faire disparaître complétement" les risques que posent l'hébergement du Health Data Hub par Microsoft et à "adopter une nouvelle solution technique" d'ici deux ans, dans un courrier adressé à Marie-Laure Denis, la présidente de la Cnil, daté du 19 novembre.

    Le choix de Microsoft comme hébergeur a été critiqué à plusieurs reprises par la Commission nationale de l'informatique et des libertés (Cnil) mais validé par le Conseil d'Etat faute de mieux, rappelle-t-on.

    Dans le courrier adressé à la présidente de la Cnil, publié par Mediapart et dont TICpharma a également obtenu copie, Olivier Véran affirme "partager pleinement [les préoccupations de la Commission] relatives au risque de divulgation de données hébergées par la Plateforme des données de santé [PDS] aux autorités américaines avec le choix de l'entreprise Microsoft" et se dit "conscient de l'inquiétude grandissante que cette situation a fait naître parmi les Français".

    Il "souscrit pleinement" à "la nécessité que soit fixé l'objectif d'avoir adopté une nouvelle solution technique permettant de ne pas exposer les données hébergées par la PDS à d'éventuelles divulgations illégales aux autorités américaines […] dans un délai qui soit autant que possible compris en 12 et 18 mois et, en tout état de cause, ne dépasse pas deux ans" que la présidente de la Cnil lui a exposée dans un courrier le 14 novembre.

    Olivier Véran déplore qu'il "n'existe pas, à court terme, de solution optimale d'un point de vue technique".

    "Comme l'a annoncé le secrétaire d'État chargé de la transition numérique et des communications électroniques, Cédric O, des travaux ont été lancés pour faire émerger un cloud souverain qui pourrait héberger les données de la Plateforme des données de santé", ajoute-t-il en référence au projet européen Gaia-X, qui rassemble des entreprises du cloud européennes, mais aussi américaines et chinoises, sous un même code de conduite.

    "Afin de s'assurer de la qualité et de la pertinence de ces travaux, le Health Data Hub mène une étude de réversibilité complète pour identifier les fonctionnalités dont il a d'ores et déjà besoin et qui ne sont pas encore développées par des opérateurs européens et pour permettre le transfert d'une plateforme technologique à une autre. L'Etat […] veillera à ce que les travaux en ce sens se poursuivent au bon niveau de priorité."

    "Mon ministère utilisera ainsi tous les leviers qui sont à sa disposition afin de réduire au maximum les risques que présente l'hébergement de données par un opérateur américain et de les faire disparaître complétement d'ici deux ans", ajoute-t-il, sans toutefois s'engager à exclure complètement Microsoft ou une autre société de droit américain de l'hébergement du Hub.

    En premier lieu, "le projet de décret relatif au [système national de données de santé] que [la Cnil a] examiné le 29 octobre 2020 sera modifié afin d'empêcher tout transfert de données en dehors de l'Union européenne (UE)".

    "Je peux vous assurer que les modalités de mise à disposition des données du SNDS, auxquelles la PDS est soumise, sont strictement définies par un cadre juridique complet, qui s'appuie à la fois sur […] des dispositions du code de la santé publique et de la loi Informatique et libertés et sur le cadre juridique européen relatif à la protection des données."

    Dans un projet de délibération, la Cnil a formulé de nombreuses critiques sur le projet de décret relatif au Hub, regrettant particulièrement son manque de clarté juridique.

    En deuxième lieu, "mon ministère sera en première ligne au Conseil d'administration de la Plateforme et au comité stratégique du SNDS pour peser sur la gouvernance des données de santé", ajoute Olivier Véran sans plus de détails.

    En troisième lieu, il "s'engage à porter au plus haut niveau le souhait qu'une solution commune au niveau européen se dégage", "certains des enjeux dépassant le périmètre du ministère" de la santé.

    "Nous devons mobiliser ce levier pour accélérer la négociation d'une nouvelle décision d'adéquation avec les États-Unis, une hypothèse qui, depuis l'élection présidentielle américaine, paraît moins difficile à atteindre", indique-t-il en référence à l'invalidation du "Privacy Shield", le bouclier de protection des données UE-Etats-Unis, par la Cour de justice de l'UE (CJUE) en juillet.

    Trois avenants au contrat avec Microsoft

    Le Hub "a négocié successivement trois avenants au contrat conclu avec Microsoft afin de mieux encadrer les modalités selon lesquelles les données sont traitées par Microsoft et pourraient être transférées", indique-t-il.

    "Un premier avenant du 7 juillet 2020 a permis de poser le principe que les ingénieurs de Microsoft ne pourraient jamais accéder aux données pour des raisons de support ou de maintenance sans le demander préalablement à la plateforme des données de santé, et que toute demande serait automatiquement considérée comme rejetée en l'absence de réponse. Par ailleurs, la plateforme des données de santé s'est engagée à refuser systématiquement toute demande d'accès aux données qui surviendrait", détaille-t-il.

    Un deuxième avenant du 3 septembre "stipule que c'est la Plateforme des données de santé qui choisit la région au sein de laquelle les données sont stockées et que Microsoft s'engage à ne pas stocker ni traiter les données dans une autre zone géographique. Ainsi, que les données soient 'au repos' ou pas, elles restent localisées au sein de l'UE."

    Les données du Hub sont actuellement hébergées à Amsterdam, note-t-on.

    "En outre, Microsoft s'engage à ne pas tenter de contourner le chiffrement des données."

    Un troisième avenant conclu fin octobre "précise que la loi applicable est bien celle du droit de l'Union européenne ou du droit français et que tous les services qui traitent des données de santé le font au sein de l'Union européenne", conformément à une décision du Conseil d'Etat.

    Par ailleurs, la Direction interministérielle du numérique (Dinum) "a rendu le 10 novembre dernier un avis favorable sur le projet de [Hub] et les mesures de sécurité actuellement en vigueur", apprend-on dans ce courrier.

    "Ces mesures contractuelles, associées aux mesures techniques et organisationnelles déjà décrites à votre Commission, sont de nature à minimiser les risques autant que possible pendant la période transitoire qui s'ouvre", conclut le ministre.

    LĂ©o Caravagna
    leo.caravagna@apmnews.com

    À suivre

    La HAS détaille l'évaluation des dispositifs médicaux embarquant de l'IA

    Politique

    Le Sénat a adopté en première lecture le projet de loi de simplification de l'action publique

    PARIS (TICpharma) - Les sénateurs ont adopté le 6 mars en première lecture le projet de loi d’accélération et de simplification de l’action publique qui intègre plusieurs mesures dans le domaine de la santé.

    0 994

    Politique

    Plan deeptech: 380 millions € investis par Bpifrance pour faire émerger des start-up issues de la recherche scientifique

    PARIS (TICpharma) - Un an après le lancement du "Plan deeptech", destiné à faire émerger des start-up issues de la recherche scientifique, la banque publique d'investissement Bpifrance a annoncé avoir déjà investi 380 millions d’euros.

    0 1046

    Vos réactions

    Anti-spam : Veuillez saisir le résultat de ce calcul S.V.P
    7 + 4 =