Recevez chaque jour toute l'actualité du numérique

x

Les détails de la mise en œuvre du Health Data Hub ne conviennent pas à la Cnil

Vu ailleurs Appelée à rendre un avis sur le projet de décret entérinant le Health Data Hub, la Cnil enfonce un peu plus le clou. Dans une délibération, en attente de validation par un commissaire, elle soulève d'innombrables difficultés liées à la mise en œuvre de cette base de données de santé.  
Twitter Facebook Linkedin Flipboard Email
×

Les détails de la mise en œuvre du Health Data Hub ne conviennent pas à la Cnil
Les détails de la mise en œuvre du Health Data Hub ne conviennent pas à la Cnil © Pixabay/Rawpixel

Les déboires du Health Data Hub continuent. Dans une délibération, en attente de validation par un commissaire, la Commission nationale de l'informatique et des libertés (Cnil) a rendu le 29 octobre un avis très sévère sur le projet de décret relatif au "Système national des données de santé" (SNDS). Ce futur texte vient entériner la création du Health Data Hub. Next INpact a eu accès au projet de décret et à l'avis de la Cnil en exclusivité. 

Un guichet d’accès unique
Pour rappel, le Health Data Hub a pour objectif d'organiser et de mettre à disposition des données issues du Système national des données de santé, qui regroupe les données de l'assurance maladie, les données des hôpitaux, les causes médicales de décès, les données relatives au handicap et certaines données des organismes complémentaires.

L'accès à ces informations, pour des projets de recherche par exemple, est rendu possible grâce au Health Data Hub en tant que guichet unique. Sa mise en place été accélérée par la crise sanitaire liée au Covid-19 mais, depuis les couacs se sont enchaînés.

Un manque de lisibilité et de clarté
Dans son avis, la Cnil affirme tout d'abord que le projet de décret  "manque de lisibilité et de clarté". Elle indique également que la garantie prévue par l'arrêté du 9 octobre 2020, appliquée seulement au Health Data Hub, doit être étendue à l'ensemble des données du SNDS. En d'autres termes, l'autorité attend du ministère de la santé qu'il interdise explicitement que ces données fassent l'objet d'un transfert en dehors de l'Union européenne, les Etats-Unis étant particulièrement visées.

Pour rappel, l'hébergement par Microsoft du Health Data Hub a soulevé une vague d'inquiétudes. Après plusieurs recours rejetés par le Conseil d'Etat, le gouvernement a finalement décidé de lancer un appel d'offres. "Nous travaillons avec [le ministre de la Santé] Olivier Véran, après le coup de tonnerre de l’annulation du Privacy Shield, au transfert du Health Data Hub sur des plateformes françaises ou européennes", expliquait le secrétaire d'Etat au Numérique Cédric O.

Un changement d'architecture qui inquiète
Par ailleurs, contrairement à ce qui était initialement prévu, le ministère de la Santé se dirige vers une base centralisée, souligne la Commission. Elle ajoute que d'après le projet de décret, le Health Data Hub disposera d'une copie pour "répondre efficacement aux demandes et notamment à la réalisation d'appariements ad hoc entre la base principale et le catalogue". Cette architecture augmente "mécaniquement la surface d’attaque et les risques de violations sur ces données", alerte-t-elle.

Dans sa délibération, la Cnil s'alarme également des conditions de mise en œuvre de l'information à destination du public. En d'autres termes, comment les administrés seront-ils informés que certaines de leurs données sont traitées via le Health Data Hub ? Le projet de décret prévoit qu'ils seront informés sur le site de la Caisse Nationale d’Assurance Maladie (Cnam) et leur compte Ameli. Or, 30 % des assurés ne disposent pas d'un tel compte. "Une information individuelle" doit leur être délivrée par "voie postale", exige l'autorité protectrice de la vie privée.

De plus, la Commission rappelle qu'il appartiendra à chaque responsable de traitement souhaitant réaliser un traitement de données du SNDS de mettre en œuvre "des mesures appropriées" afin de rendre l'information "publiquement disponible". Cette information ne devra pas se limiter à l'inscription de son traitement au sein du portail du Health Data Hub.

Le ministère doit revoir sa copie sur le droit d'opposition
Elle s'inquiète également des modalités de recours offertes aux citoyens car "les organismes auprès desquels les demandes doivent être adressées varient selon la base et le droit concerné". Cet enchevêtrement d'acteurs complique ces recours.

Concernant le droit d'opposition par exemple, le projet indique que la personne concernée doit adresser sa demande auprès du directeur du Health Data Hub "lorsque celui-ci est responsable du traitement concerné" et/ou auprès du directeur de l'organisme gestionnaire du régime d'assurance maladie obligatoire "lorsque la Cnam est responsable du traitement concerné". A ce titre, la Commission demande que le décret soit modifié afin de préciser que les personnes concernées peuvent adresser leur demande indifféremment à l'un ou à l'autre de ces organismes.

La Cnil s'insurge contre la levée d'anonymat
Lorsque cette demande est effectuée auprès du Health Data Hub, ce dernier met en œuvre "un circuit de traitement du numéro d'inscription au répertoire des personnes physiques (NIR, numéro de sécurité sociale, ndlr)" afin de "lever le pseudonymat des données". Grosse erreur, s'insurge la Cnil.

En effet, "un des principaux fondamentaux de la sécurité du SNDS repose sur la pseudonymisation de ses données et un strict cloisonnement entre les données identifiantes et les données pseudonymisées, excluant par principe qu’une même entité ait accès simultanément au NIR et aux données du SNDS", déclare-t-elle. Le décret doit donc être modifié sur ce point.

La délibération de la Cnil doit encore être approuvée par un commissaire avant de devenir définitive mais elle n'inaugure rien de bon pour la suite. Le ministère de la Santé est donc appelé à revoir largement sa copie au risque d'être sanctionné par la Commission qui a déjà rendu un avis sur l'hébergement de cette base par Microsoft. En vertu de l'invalidation du Privacy Shield par le juge européen cet été, le choix d'un acteur américain doit être banni, concluait-elle. 

Réagir

* Les commentaires postés sur L’Usine Digitale font l’objet d’une modération par l’équipe éditoriale.

 
media