Recevez chaque jour toute l'actualité du numérique

x

Malgré les polémiques, le Conseil d'Etat valide le Health Data Hub

Le Conseil d'Etat valide le Health Data Hub, cette base de données qui a pour vocation de rassembler toutes les données de santé des Français. Son hébergement par l'entreprise américaine Microsoft ne pose pas de problème, d'après le juge administratif. La bonne sécurisation des données doit cependant être prouvée à la Cnil dans un délai de cinq jours.
Twitter Facebook Linkedin Flipboard Email
×

Malgré les polémiques, le Conseil d'Etat valide le Health Data Hub
Malgré les polémiques, le Conseil d'Etat valide le Health Data Hub © Health Data Hub

Le Conseil d'Etat donne son feu vert au Health Data Hub dans une ordonnance publiée le 19 juin 2020. Une quinzaine d'organisations et de personnalités avaient déposé un recours devant le juge administratif estimant que cette base de données de santé géante portait "une atteinte grave et sûrement irréversible aux droits de 67 millions d’habitants de disposer de la protection de leur vie privée".

C'est faux, d'après le Conseil d'Etat qui demande tout de même au ministère des Solidarités et de la Santé d'apporter quelques précisions sur des points techniques à la Commission nationale de l'informatique et des libertés (Cnil).

Validation de l'hébergement par Microsoft 
Les requérants accusaient le gouvernement d'avoir choisi Microsoft pour héberger les données du Health Data Hub. Ils craignaient notamment que les autorités américaines puissent mettre leur nez dans les données médicales françaises en vertu du "Cloud Act". Le Conseil d'Etat note que le contrat conclu entre la plateforme et l'entreprise américaine prévoit "la soumission aux exigences de la réglementation française en matière d'hébergement de données de santé". Actuellement, les données sont hébergées dans des data centers situés aux Pays-Bas et "le seront prochainement dans des data centers situés en France".

Toutefois, le juge administratif reprend les conclusions de la Cnil qui affirmaient que "les dispositions contractuelles de sous-traitance (…) stipulent que les données traitées peuvent être transférées vers les États-Unis pour y être stockées et traitées". Mais pour le Conseil d'Etat, cette clause du contrat ne porte pas "une atteinte grave et manifestement illégale aux libertés fondamentales". En effet, les requérants n'ont pas précisé en quoi les autorités américaines seraient intéressées par des données médicales françaises.

Les autres doléances sont également balayées d'un revers de la main par la juridiction administrative… A l'exception de l'argument sur la sécurisation des données de santé. Les requérants soutenaient que le droit au respect de la vie privée impliquait que les données de santé fassent l'objet d'une anonymisation avant d'être traitées. C'est faux, d'après le Conseil d'Etat qui note qu'en en prévoyant "trois pseudonymisations successives, le Health Data Hub et la Caisse nationale de l’assurance maladie ont fait le choix d’un type de mesure qui n’apparaît pas manifestement inapproprié au regard des exigences du règlement général sur la protection des données".

Le juge administratif s'en remet à la Cnil
Toutefois, le juge administratif  manque d'informations pour affirmer que la sécurité des données est suffisante. "Le juge des référés ne dispose pas de pouvoirs d’instruction lui permettant de vérifier le caractère suffisant des mesures concrètes adoptées par la Plateforme des données de santé." A ce titre, le Health Data Hub doit apporter à la Cnil "tous éléments relatifs aux procédés de pseudonymisation utilisés, propres à permettre à celle-ci de vérifier que les mesures prises assurent une protection suffisante des données de santé". La plateforme a cinq jours à compter de la notification de cette décision.

Le Conseil d'Etat s'en remet donc à l'autorité protectrice de la vie privée pour trancher ce point technique estimant qu'en tant que juge des référés, il n'a pas le pouvoir de mener cette enquête. Or si la Cnil estime que la pseudonymisation des données n'est pas suffisante, que se passerait-il ? Une décision dans ce sens pourrait remettre en cause d'autres facettes du Health Data Hub. Le juge administratif note lui-même "le caractère essentiel" de la sécurisation "compte tenu de la sensibilité des données traitées, des incertitudes existant sur la possibilité de transferts de données hors de l’Union européenne".

Réagir

* Les commentaires postés sur L’Usine Digitale font l’objet d’une modération par l’équipe éditoriale.

 
media