Les données de santé sont considérées comme des données à caractère personnel, car elles révèlent des informations sur l’état de santé d’une personne. La CNIL précise qu’elles « sont relatives à la santé physique ou mentale, passée, présente ou future, d’une personne physique (y compris la prestation de services de soins de santé) qui révèlent des informations sur l’état de santé de cette personne. »
Trois catégories de données entrent dans cette définition :
- Les données de nature sanitaire (antécédents médicaux, maladies, soins réalisés,
résultats d’examens…) - Les données qui suite à un croisement deviennent des données de santé, car elles révèlent une information sanitaire.
- Les données à destination d’une utilisation médicale.
Leur hébergement dans le cloud est donc un sujet très sensible et délicat. La création en novembre 2019 du PDS (également appelée « Health Data Hub » (HDH)), a déclenché une bataille juridique menée par différentes associations françaises. Cette plateforme a pour objet de veiller à la qualité des données de santé et aux conditions générales de leur mise à disposition, garantissant leur sécurité et facilitant leur utilisation dans le respect de la protection des données personnelles sur l’ensemble du territoire.
Le PDS peut être considéré comme une bibliothèque renfermant de nombreuses bases de données (1) partagées et accessibles à des centres de recherche publics et des acteurs privés dès lors que leur projet est d’intérêt général et qu’ils y ont été autorisés par la CNIL.
Mais un collectif regroupant des médecins, des citoyens, des informaticiens et des journalistes estime que les missions (favoriser l’accès aux données, soutenir la collecte et consolider les données, accompagner la valorisation des données de santé…) de cette
plateforme nécessitent qu’elle soit hébergée chez un prestataire français.
Derrière ses différentes missions, il y a des considérations de recherche scientifique, de prestige et de souveraineté économiques. « Les avancées de l’IA en santé dépendent de nos capacités à croiser des quantités massives de données pour mettre en évidence des corrélations, qui ensuite font l’objet de recherches médicales », peut-on lire dans le rapport du député et mathématicien Cédric Villani sur l’intelligence artificielle et qui est à l’origine de la réflexion sur la création du PDS.
L’origine de la polémique est la décision du gouvernement français de faire héberger toutes ces données dans un datacenter de Microsoft aux Pays-Bas. Ce centre de données est donc soumis au RGPD qui n’autorise pas le transfert de données en-dehors de l’Union européenne. Ce n’est pas la sécurité informatique et physique de ce datacenter qui est en cause mais la confidentialité des données qu’il héberge.
Recours devant le Conseil d’État
Microsoft étant une entreprise américaine, elle est soumise au Cloud Act (Clarifying Lawful Overseas Use of Data Act). Votée en mars 2018, cette loi permet aux États-Unis d’accéder plus facilement aux données stockées sur des serveurs situés hors des États-Unis. Dans le cadre d’une enquête pénale, si elles ont un mandat ou par simple ordonnance d’un tribunal habilité, les forces de l’ordre américaines peuvent avoir accès à des données hébergées à l’étranger.
C’est la raison pour laquelle, un collectif de 18 organisations et personnalités avait déposé un recours devant le Conseil d’État. Mais le 21 septembre, celui-ci a rejeté ce recours. Dès le lendemain, les opposants à cet hébergement chez Microsoft ont écrit que la même requête sera déposée dans le cadre d’une procédure standard.
Cette nouvelle action risquant de prendre des années, ils réclament l’instauration d’un moratoire, « tant qu’il ne peut pas être assuré qu’aucune donnée de santé ne sera transférée aux États-Unis, en dehors de toute protection ou garantie adéquate pour les citoyens français ».
Cette bataille juridique est d’autant plus surprenante que la France est l’un des très rares pays à avoir mis en place une certification pour « Hébergeur de données de santé ». La HDS a été mise en place pour que les hôpitaux protègent mieux les données de leurs patients. Or, le diable se cache dans les détails de certains contrats.
Ainsi, les offres d’abonnement à Microsoft 365, mais aussi ceux concernant le stockage des données ne bénéficient pas de cette certification. Les établissements de santé qui souhaitent utiliser les solutions de cet éditeur américain doivent exiger les versions certifiées HDS.
Certification HDS
Or, l’éditeur se garde bien de préciser cette différence dans ses différentes communications. Il se contente d’indiquer que « les clients éligibles doivent contacter leur point de contact de licence Microsoft pour conclure les présentes conditions contractuelles spécifiques avant d’héberger des données personnelles de santé sur les services en ligne Microsoft ».
Pas simple pour les établissements de santé, d’autant que la réglementation est assez subtile. D’un côté, les hébergeurs de données de santé sur support numérique (en dehors des services d’archivage électronique) doivent être certifiés (HDS-Hébergeurs de données de santé). Cette certification remplace, depuis fin 2019, l’agrément.
D’un autre côté, un établissement de santé, qui décide de stocker en interne ses données, n’est pas tenu d’être certifié HDS, selon le décret du 26 février 2018. Ce qui n’exclut pas de respecter une obligation de sécurité de telles données (article 32 du RGPD).
Pourtant faire appel à un tiers certifié « Hébergeur de Données de Santé » (HDS) offre plus de garanties : chiffrement des données et des flux, traçabilité, réversibilité…
Toute la « chaîne » (de l’envoi ou la consultation d’un fichier à son stockage) doit être certifiée HDS.
Si ce n’est pas le cas, le traitement des données de santé ne respecte pas la réglementation. Et c’est l’établissement qui en serait tenu pour responsable en cas de fuite de données par exemple. Faire appel à un tiers certifié HDS apparaît comme une « assurance » pour un hôpital.
« C’est en effet ce sous-traitant qui prend en charge la sécurité des données, qui sont ainsi placées sous sa responsabilité. Étant certifiée HDS, notre structure recouvre la totalité des activités pour lesquelles un hébergeur peut être certifié, allant de la mise à disposition et au maintien en condition opérationnelle des sites physiques permettant d’héberger l’infrastructure matérielle du système d’information utilisé pour le traitement des données de santé, jusqu’à la sauvegarde de données de santé », explique Bertrand Servary, Directeur général de NetExplorer, une entreprise toulousaine spécialisée dans le cloud depuis 2007.
(1) Selon l’INSERM, il existe environ 260 bases de données publiques et 500 bases de données médico-économiques.
Dans l'actualité
- Anonymisation des données, une nécessité à l’ère du RGPD
- CCPA : La Californie aura bientôt son RGPD version light
- RGPD : une mise en conformité loin d’être généralisée
- Le RGPD : bientôt un « standard » mondial ?
- Agriculture numérique : la protection des données en question
- La protection des données personnelles est renforcée en Californie
- Dans la course à l’informatique quantique, l’Europe risque de prendre trop de retard
- Piratage des hôpitaux : l’arbre qui cache la forêt
- Datacenters : des bâtiments ultrasécurisés où le risque zéro n’existe pas
- CyberScore : des codes couleurs pour connaître le niveau de sécurité des sites
Dans les ressources documentaires