Controverse autour du Health Data Hub : Qui hébergera nos données de santé ?

Publié par le dans , | Consulté 442 Fois

Qu’est-ce que le Health Data Hub ?

Issue d’un arrêté du 29 novembre 2019, la Plateforme des données de santé ou Health Data Hub a pour objet la mutualisation de plusieurs bases de données existantes, afin de créer une base de données unique regroupant l’ensemble des données de santé des 67 millions de français. Ce projet de plateforme a notamment émergé du rapport rédigé par le député Cédric Villani en mars 2018, intitulé « Donner un sens à l’intelligence artificielle : pour une stratégie nationale et européenne ». Le traitement algorithmique des données de santé regroupées sur la plateforme devrait ainsi permettre de faciliter la recherche scientifique, mais aussi de rendre celle-ci compétitive au plan international. 

Les données de santé font partie des données sensibles énoncées à l’article 9 du RGPD, dont le traitement est strictement interdit s’il ne répond pas aux exceptions citées par le texte, parmi lesquelles se trouvent les traitements nécessaires aux fins de médecine préventive, ou encore ceux qui sont nécessaires pour des motifs d’intérêt public dans le domaine de la santé publique. Le traitement des données regroupées sur la Plateformes des données de santé s’inscrirait donc dans le cadre de ces exceptions. Néanmoins, au vu de leur sensibilité et de leur volume, leur traitement doit être strictement encadré, sécurisé et finalisé. 

Un choix controversé : l’hébergement du Health Data Hub par Microsoft

L’hébergement de ces données sensibles a suscité de nombreuses inquiétudes. De fait, le choix du Gouvernement s’est presque instantanément porté vers le Cloud Azure de Microsoft, qui était alors certifié en tant « qu’hébergeur de données de santé » lors du lancement, contrairement à ses concurrents européens. Ces derniers avançaient alors que le Gouvernement n’avait pas mis en place d’appel d’offres européen au moment de l’attribution de l’hébergement. Ce choix a été d’autant plus discuté que Microsoft, société de droit états-unien, est soumise au Cloud Act voté par le Congrès en mars 2018. Celui-ci permet aux forces de l’ordre ou aux agences de renseignements américaines d’obtenir des informations stockées sur des serveurs, quand bien même ceux-ci se trouveraient hors du territoire américain. En d’autres termes, les données de santé des français stockées par Microsoft pourraient être rendues accessibles aux renseignements américains, sans consentement nécessaire. 

Le déploiement du Health Data Hub a par la suite été accéléré par un arrêté gouvernemental du 23 avril 2020, du fait de la crise sanitaire liée à la Covid-19. Cet arrêté a permis à la plateforme de récolter un grand nombre de données de santé supplémentaires, dans le but de faciliter la gestion de la crise sanitaire et d’améliorer les connaissances sur le virus. Cette accélération soudaine du processus a alors soulevé des interrogations sur la qualité du traitement des données, et sur la légitimité de Microsoft à héberger la plateforme. 

Face à ces problématiques, l’hébergement de la plateforme par Microsoft a fait l’objet de plusieurs référés-libertés déposés par différentes organisations devant le Conseil d’État. Ces organisations dénonçaient notamment « une atteinte grave et sûrement irréversible aux droits de 67 millions d’habitants de disposer de la protection de leur vie privée ». Le Conseil d’État, dans une ordonnance du 19 juin 2020, a néanmoins validé l’hébergement du Health Data Hub par Microsoft. Toutefois, s’agissant de l’efficacité de la solution en matière de sécurisation des données, le Conseil d’État estime ne pas pouvoir se prononcer, s’en remettant alors à l’expertise de la CNIL. Un recours similaire contre la plateforme avait de nouveau été rejeté par une ordonnance du 21 septembre 2020, en l’absence de toute urgence, malgré la récente invalidation du Privacy Shield par la CJUE, susceptible de remettre en cause la sécurité des données stockées.

Une attribution remise en cause par l’invalidation du Privacy Shield

Dans une décision du 16 juillet 2020, la CJUE est venue invalider le Privacy Shield. Il s’agissait d’un accord négocié entre l’Union européenne et les États-Unis, depuis 2015, qui permettait aux entreprise européennes de transférer leurs données vers les États-Unis, reconnaissant que le droit états-unien présentait les mêmes garanties que le droit européen en matière de protection des données. Or, la CJUE a estimé que les programmes de surveillance américains étaient incompatibles avec le RGPD, et que « les citoyens européens n’ont pas de recours effectifs aux Etats-Unis » afin de maîtriser leurs données personnelles. Cet accord n’est donc plus valide à ce jour, le transfert de données vers les États-Unis pouvant être considéré comme risqué. 

Suite à cette décision, le choix de Microsoft pour héberger les données de santé des français apparaît délicat et compromis, d’autant plus que l’Union européenne dispose d’hébergeurs performants et compétitifs, dont la voix commence à se faire entendre. En effet, le Secrétaire d’État au Numérique, Cédric O, a déclaré le 8 octobre dernier que le Gouvernement envisageait de lancer un appel d’offres pour l’hébergement du Health Data Hub, afin que la plateforme relève d’un prestataire français ou européen. En effet, si à l’époque de l’adoption du Health Data Hub Microsoft pouvait apparaître comme le choix le plus efficace, aujourd’hui, de nombreux acteurs du Cloud européen présentent les mêmes garanties, ayant l’avantage d’être soumis aux dispositions protectrices du RGPD, à l’image du projet franco-allemand GAIA-X. Dans la continuité de cette annonce, par un arrêté du 9 octobre, le Gouvernement annonce qu’« aucun transfert de données à caractère personnel ne peut être réalisé en dehors de l’Union européenne ». 

À cette même période, la CNIL a également pris position sur le Health Data Hub, estimant que Microsoft ne devait plus faire partie du projet, compte tenu de l’incompatibilité du droit états-unien avec le droit européen en matière de protection de la vie privée. Elle estime donc que les données de santé ne peuvent plus être confiées ni à Microsoft, ni à toute entreprise de droit états-unien. 

Malgré ces nombreuses réserves, le Conseil d’État a maintenu l’octroi de l’hébergement à Microsoft, par une ordonnance du 13 octobre 2020, en demandant à l’entreprise de s’interdire de transférer des données outre-Atlantique et de présenter des garanties suffisantes. En effet, s’il reconnaît l’existence d’un risque de transfert des données vers les États-Unis, le Conseil d’État estime que ce risque ne justifie pas l’interruption de la plateforme, au vu de son importance dans la gestion de la crise sanitaire. Il prend cependant acte de la volonté du Gouvernement de confier l’hébergement à un acteur européen. 

Toutefois, dans l’attente d’une nouvelle attribution de l’hébergement, Microsoft doit prendre des mesures en vue de minimiser les risques d’atteintes aux données de santé des français qu’il stocke. Reste alors à savoir quel prestataire sera choisi par le Gouvernement, et quand aura lieu cette bascule vers un hébergeur européen. 

 

Sources

    • Conseil d’État, ord. réf, 19 juin 2020, n°440916
    • Conseil d’État, ord. réf, 21 septembre 2020, n°444514