La mainmise des données santé en France par Microsoft inquiète Edward Snowden
Edward Snowden ne cache pas son indignation en apprenant l’alliance entre la future plateforme de santé française (appelée “Health Data Hub”) et Microsoft, qui est devenu le premier acteur du Cloud public à recevoir la certification hébergeur de données de santé.
« Il semble que le gouvernement français capitulera face au cartel du Cloud et fournira les informations médicales du pays directement à Microsoft » a déclaré mardi soir (en français, s’il vous plaît !), le fugitif américain réfugié à Moscou sur son compte Twitter. « Pourquoi ? C’est plus simple », constate ironiquement le lanceur d’alerte.
Le projet controversé “Health Data Hub”, dont l’architecte, Jean-Marc Aubert, était parti rejoindre en décembre dernier la société Iqvia spécialisée dans l’exploitation des données de santé, a connu une accélération ces dernières semaines. Cette plateforme vise à mettre à disposition des données de santé aux entités tierces opérant notamment dans le domaine de la recherche médicale. Au travers de cette plateforme, les organismes et sociétés de recherche médicale pourront accéder aux données de santé anonymisées des citoyens.
Dans le cadre de l’état d’urgence sanitaire, le gouvernement a autorisé le déploiement anticipé du Health Data Hub. Un arrêté portant sur les mesures d’organisation et de fonctionnement du système de santé pour faire face à l’épidémie de Covid-19 prévoit en effet la centralisation au sein du groupement d’intérêt publié “Health Data Hub” de données provenant de différentes sources en vue de leur mise à disposition afin de faciliter l’utilisation des données de santé pour les besoins de la gestion de l’urgence sanitaire et de l’amélioration des connaissances sur la Covid-19.
Ce projet de plateforme est fermement combattu par de nombreux acteurs, comme le rapporte l’association interhop à l’initiative d’un appel appelant à lutter contre les risques de mainmise des données par les Gafam, rejoignant une tribune publiée du Monde signée par un collectif de professionnels du secteur de la santé et de l’informatique médicale.
L’Europe sur ses gardes
La Cnil a réagi à cette décision dans une délibération en date du 20 avril dernier. Au sortir de l’urgence, la commission prévient qu’elle produira une analyse au fond sur les aspects aussi bien juridiques que techniques de cette plateforme des données de santé. Elle rappelle que « des éléments essentiels » concernant le fonctionnement de la plateforme en dehors du contexte de l’état d’urgence sanitaire restent à préciser dans le décret en Conseil d’Etat.
En vertu du Cloud Act auquel Microsft est soumis aux Etats-Unis, la Cnil ne manque pas de relever que « les dispositions contractuelles de sous-traitance conclues entre la plateforme des données de santé et le prestataire chargé de l’hébergement des données, stipulent que les données traitées peuvent être transférées vers les Etats-Unis pour y être stockées et traitées, ainsi que dans tout autre pays dans lequel le sous-traitant ou ses sous-traitants ultérieurs sont implantés ».
Le Comité européen de la protection des données (CEPD) a également exprimé son inquiétude à de nombreuses reprises sur le transfert des données vers des pays tiers, d’autant plus que les traitements mis en œuvre par le sous-traitant sont soumis aux dispositions du RGPD.
La Cnil recommande donc que la plateforme des données de santé assure un hébergement et un traitement des données sur le territoire de l’Union européenne.
Dans le contexte d’urgence sanitaire en France, rappelons que le gouvernement a également provisoirement mis sur pied un système d’informations rassemblant des données sur les personnes atteintes de la Covid-19 et leur entourage. Encadré par la Cnil, qui veillera au grain au cours des prochaines semaines sur les avancements, ce dispositif devra respecter une portée limitée dans le temps, les données à caractère personnel collectées dans ces fichiers numériques ne pouvant être conservées à l’issue d’une durée de trois mois après leur collecte.
