L’implication de la nouvelle Plateforme des données de santé (aussi appelée Health data hub) dans l’analyse de la crise du coronavirus pourrait être de courte durée. En effet, un référé-liberté contre la mise en oeuvre accélérée du système vient d’être déposé devant le Conseil d’Etat qui se prononcera le 11 juin.
D’après Mediapart qui a révélé l’information, plusieurs associations et personnalités, dont Didier Sicard, président d’honneur du Comité consultatif national d’éthique (CCNE), sont à l’origine de cette demande. Les auteurs du référé-liberté considèrent simplement que cette mise en place accélérée de la Plateforme des données de santé ferait peser un risque grave sur le droit au respect de la vie privée des individus dont les données de santé à caractère personnel, qui sont des données dites sensibles, vont être traitées.
Les données de santé traitées à marche forcée par la nouvelle plateforme
Si un arrêté a été pris pour confier à la plateforme des données de santé la mission de récolter les données liées au coronavirus, c’est parce que cette nouvelle plateforme est très récente. Elle remplace notamment l’ancien Institut national des données de santé (INDS) dans le rôle de guichet unique pour examiner les projets de recherches en santé. Surtout, cette plateforme a pour autre rôle essentiel de réunir et d’organiser la mise à disposition des données de santé. Elle est ainsi destinataire des données provenant en partie du Système national des données de santé (SNDS) qui, contrairement à ce qui peut être lu ça et là dans certains médias, n’est pas du tout remplacé par la Plateforme des données de santé et continue à être opérationnel.
L’arrêté pris le 21 avril 2020 permet ainsi à la nouvelle plateforme de recevoir de nouvelles informations malgré un avis peu enjoué de la CNIL. Cette dernière s’est effectivement interrogée sur l’accélération du calendrier, potentiellement compromettant pour la sécurité des données.
Mais ce qui semble surtout déranger les auteurs de la demande déposée auprès du Conseil d’Etat, c’est le choix qui s’est porté sur le service d’hébergement géré par Microsoft pour stocker les données récoltées. Là encore, la question de la sécurité des données de santé est remise en question par la CNIL qui rappelle dans son avis que les données de la Plateforme des données de santé pourraient être transférées de façon tout à fait légale aux Etats-Unis.
Cependant, la CNIL reconnaît que les autorités américaines ne devraient pas pouvoir accéder légalement à ces données, en principe. Malgré tout, la CNIL a fortement recommandé à la Caisse nationale d’assurance maladie, responsable du traitement, de veiller à ce que toutes les données soient hébergées sur le territoire de l’Union européenne.
Le choix de l’hébergeur américain Microsoft soulève aussi la question de la souveraineté française et européenne sur ses données. Le fondateur d’OVH (géant français de l’hébergement) a reconnu, dans un fil Twitter, qu’OVH n’était pas près au lancement du projet en novembre 2018. Cependant, des clarifications sur les services attendus et les caractéristiques du projet devraient être apportées publiquement.
Le développement du projet a démarré en mai 2019 et donc theoriquement il n’y avait plus de souci.
Mais on accepte le constat qu’en Nov 2018 on n’avait pas d’offre HDS avec du GPU et donc que le projet est parti sans nous. C’est la vie.
— Octave Klaba (@olesovhcom) June 1, 2020
