Données personnelles

Données de santé : Health Data Hub et Microsoft validés | 10 juillet 2020

Le Conseil d’Etat n’a pas fait droit aux partisans d’une souveraineté numérique française en validant le choix du Gouvernement de confier l’hébergement des données de santé « Covid 19 » à la société Microsoft. L’arrêté du 21 avril 2020 pris pour faire face à l’épidémie de covid-19 et qui a confié la collecte et le traitement de données de santé à la Plateforme Health Data Hub a été validé par le Conseil d’Etat. Ce dernier ne porte pas une atteinte manifestement illégale au droit au respect de la vie privée et au droit à la protection des données personnelles.

Hébergement Microsoft

Les conditions dans lesquelles l’offre de la société Microsoft a été retenue sont, en tout état de cause, sans incidence par elles-mêmes sur le droit à la protection des données personnelles, la circonstance que cette société relève du droit américain et puisse être amenée, pour les opérations d’administration de la solution technique qu’elle propose, à transférer des données aux Etats-Unis, en conformité avec la décision de la Commission du 12 juillet 2016, ne peut être regardée, comme portant une atteinte grave et manifestement illégale aux libertés fondamentales que le règlement général pour la protection des données a pour objet de protéger.

Question du transfert des données vers les États-Unis

La société Microsoft a été certifiée le 31 octobre 2018, pour une durée de trois ans,  » hébergeur de données de santé  » au sens des dispositions de l’article L. 1111-8 du code de la santé publique, au titre de l’activité d’administration et d’exploitation du système d’information contenant les données de santé, en particulier pour ses centres de données en France, en Irlande, aux Pays-Bas et pour les services proposés par Microsoft Azure Services en lien avec des données de santé. Le contrat conclu entre la Plateforme des données de santé et la société Microsoft prévoit la soumission  » aux exigences de la réglementation française en matière d’hébergement de données de santé « .

Sur le risque d’un transfert de données dans un Etat tiers, en application du contrat conclu entre la Plateforme des données de santé et la société Microsoft, choisie pour assurer, en tant que sous-traitant, l’hébergement des données de la plateforme, ces données sont actuellement hébergées dans des centres de données situés aux Pays-Bas et le seront prochainement dans des centres de données situés en France, les uns et les autres bénéficiant de la certification en tant qu’hébergeur de données de santé. Toutefois, en réponse, le 10 juin 2020, à une demande de conseil adressée par la Plateforme des données de santé, la CNIL a relevé que les documents contractuels relatifs à l’hébergement des données faisaient apparaître que si les données entreposées sur la plateforme le seraient  » au repos  » au sein de l’Union européenne et si la Plateforme des données de santé avait recours à une fonctionnalité lui offrant un certain niveau de contrôle sur les opérations d’administration de la plateforme réalisées par son sous-traitant, ces données pourraient faire l’objet de transferts hors de l’Union européenne dans le cadre du fonctionnement courant de la solution technique, notamment pour des opérations d’administration de cette dernière. Seules des données nécessaires aux opérations de maintenance ou de résolution d’incidents et non des données de santé sont concernées et des mesures de contrôle interdisent tout accès aux employés de Microsoft sans l’accord de la Plateforme des données de santé.

Les risques que comporterait un possible transfert de données vers les Etats-Unis en permettant aux autorités américaines, en vertu, d’une part, de l’article 702 du  » Foreign Intelligence Surveillance Act  » ou loi sur la surveillance en matière de renseignement extérieur et, d’autre part, de l’  » Executive Order 12333  » ou décret présidentiel n° 12333, d’accéder à des données de la Plateforme des données de santé à des fins de renseignement extérieur, ont été écartés par le Conseil d’Etat.

En premier lieu, par une décision d’exécution (UE) 2016/1250 du 12 juillet 2016, la Commission a considéré que les États-Unis assurent un niveau adéquat de protection des données à caractère personnel transférées depuis l’Union vers des organisations établies aux États-Unis dans le cadre du bouclier de protection des données UE-États-Unis (la  société Microsoft figure sur la liste des organisations adhérant au  » bouclier de protection des données « ).

Par ailleurs, le Clarifying Lawful Overseas Use of Data Act ou  » Cloud Act  » prévoit que les sociétés soumises au droit américain peuvent être tenues de fournir des données qu’elles contrôlent, quel que soit le lieu de leur hébergement, lorsque cette fourniture est autorisée par un juge pour les besoins d’une enquête criminelle. Si ces dispositions peuvent s’appliquer à la société Microsoft, comme d’ailleurs aux sociétés françaises qui ont une activité aux Etats-Unis, aucun élément n’était apporté confortant la thèse que les données de santé, pseudonymisées, seraient susceptibles de faire l’objet de demandes d’accès sur ce fondement.

Contexte de l’affaire

L’arrêté du 21 avril 2020 a autorisé le groupement d’intérêt public  » Plateforme des données de santé, afin de faciliter l’utilisation des données de santé pour les besoins de la gestion de l’urgence sanitaire et de l’amélioration des connaissances sur la covid-19, à recevoir les catégories de données à caractère personnel suivantes : les données issues du système national des données de santé mentionné à l’article L. 1461-1 du code de la santé publique, des données de pharmacie, des données de prise en charge en ville telles que des diagnostics ou des données déclaratives de symptômes issues d’applications mobiles de santé et d’outils de télésuivi, télésurveillance ou télémédecine, des résultats d’examens biologiques réalisés par les laboratoires hospitaliers et les laboratoires de biologie médicale de ville, des données relatives aux urgences collectées par l’Agence nationale de santé publique dans le cadre du réseau de surveillance coordonnée des urgences, des données relatives aux appels recueillis au niveau des services d’aide médicale urgente et des services concourant à l’aide médicale urgente, des données relatives à l’activité et à la consommation de soins dans les établissements ou services médico-sociaux, notamment dans les établissements d’hébergement pour personnes âgées dépendantes, des enquêtes réalisées auprès des personnes pour évaluer leur vécu, des données non directement identifiantes issues du système d’identification unique des victimes, des données cliniques telles que d’imagerie, de pharmacie, de biologie, de virologie, de comptes rendus médicaux de cohortes de patients pris en charge dans des centres de santé en vue de leur agrégation.

La Plateforme des données de santé et la Caisse nationale de l’assurance maladie ne peuvent collecter que les données nécessaires à la poursuite d’une finalité d’intérêt public en lien avec l’épidémie actuelle de covid-19. Elles sont autorisées à croiser ces données. Elles sont responsables du stockage et de la mise à disposition des données, la Caisse nationale de l’assurance maladie étant responsable des opérations de pseudonymisation dans le cadre du croisement des données et pouvant traiter le numéro d’inscription au répertoire national d’identification des personnes physiques à cette fin. Seuls des responsables de traitement autorisés par la Commission nationale de l’informatique et des libertés, l’Etat, la Caisse nationale de l’assurance maladie et certains organismes ou les services chargés d’une mission de service public peuvent traiter les données ainsi rassemblées par le groupement d’intérêt public. Les données ne peuvent être traitées que pour des projets poursuivant une finalité d’intérêt public en lien avec l’actuelle épidémie de covid-19 et pour la durée de l’état d’urgence sanitaire. Elles ne peuvent être traitées que sur la plateforme technologique de la Plateforme des données de santé et sur la plateforme de la Caisse nationale de l’assurance maladie, et ne peuvent pas en être extraites. Au sein de ces plateformes, les données ne peuvent contenir ni les noms et prénoms des personnes, ni leur numéro d’inscription au répertoire national d’identification des personnes physiques, ni leur adresse. La Plateforme des données de santé établit et met à disposition sur son site internet un répertoire public qui recense la liste et les caractéristiques de tous les projets portant sur ces données.

Il est prévu d’héberger sur la plateforme, en recourant aux solutions techniques proposées par la société Microsoft avec laquelle un contrat de sous-traitance a été conclu dans ce but à la fin de l’année 2019, les bases de données de santé utiles à la conduite des projets autorisés, en vue de leur mise à disposition des porteurs de ces projets puis, le cas échéant, d’autres projets qui pourraient être ultérieurement autorisés. A ce jour, un projet est en cours, conduit par la direction de la recherche, des études, de l’évaluation et des statistiques du ministère des solidarités et de la santé, exploitant les données de passages aux urgences pour l’analyse du recours aux soins et le suivi de la crise sanitaire liée au covid-19, qui a conduit à l’hébergement sur la plateforme d’une copie de la base  » Organisation de la surveillance coordonnée des urgences  » de Santé publique France.

En outre, l’arrêté du 21 avril 2020 prévoit que les établissements de santé publics et privés ayant une activité en médecine, chirurgie, obstétrique et odontologie transmettent, selon une périodicité hebdomadaire, les données du programme de médicalisation des systèmes d’information, à savoir les fichiers de résumés de séjour, les fichiers de résumés standardisés de facturation, les fichiers de résumés anonymes et les résumés de parcours patient anonymisés, directement à l’Agence technique de l’information sur l’hospitalisation, qui traite les données et transmet sans délai à la Caisse nationale de l’assurance maladie les données ayant vocation à alimenter le système national des données de santé. Ces données peuvent être traitées pour des finalités de veille et de vigilance sanitaires ainsi que de recherche.

Sécurité suffisante

La CNIL a considéré, de façon générale, que la sécurité technique des données mises à disposition de la plateforme est assurée, sous réserve de la mise en oeuvre des mesures qui sont prévues dans le plan d’action défini dans l’homologation de la plateforme technologique et qui devront être réévaluées régulièrement pour prendre en considération les évolutions de la plateforme et des risques associés.

Pseudonymisation des données

Le RGDP prévoit que le traitement à des fins de recherche scientifique est soumis à des garanties appropriées pour les droits et libertés de la personne concernée. Ces garanties garantissent la mise en place de mesures techniques et organisationnelles, en particulier pour assurer le respect du principe de minimisation des données. Ces mesures peuvent comprendre la pseudonymisation, dans la mesure où ces finalités peuvent être atteintes de cette manière.

L’arrêté du 21 avril 2020 prévoit que les données de santé  collectées  » ne peuvent contenir ni les noms et prénoms des personnes, ni leur numéro d’inscription au répertoire national d’identification des personnes physiques, ni leur adresse « . Le texte prévoit la pseudonymisation des données, en précisant notamment que les identifiants individuels des personnes concernées ne peuvent être que des pseudonymes, qui sont obtenus par une opération cryptographique irréversible sur l’identifiant initial, ne sont pas signifiants et ne permettent pas d’identifier directement le bénéficiaire concerné. La convention conclue les 14 et 15 juin 2020 entre la Plateforme des données de santé et la Caisse nationale de l’assurance maladie, conformément à l’article 26 du règlement général sur la protection des données, applicable en cas de responsables conjoints d’un traitement, prévoit que la Caisse nationale de l’assurance maladie pseudonymise l’ensemble des données transférées à la Plateforme des données de santé et que celle-ci garantit que ces données sont stockées sous un identifiant non signifiant, différent de celui utilisé pour la transmission, et que les données mises à disposition pour les projets le sont également sous un identifiant non signifiant, distinct de celui utilisé pour le stockage et différent d’un projet à l’autre.

Droit au respect de la vie privée

Le droit au respect de la vie privée n’implique pas que des données, même aussi sensibles que les données de santé, fassent dans tous les cas l’objet d’une anonymisation avant d’être traitées à des fins d’évaluation ou de recherche mais seulement, ainsi que le prévoient les dispositions du règlement général sur la protection des données, que des garanties appropriées soient prévues, qui peuvent comprendre la pseudonymisation, lorsque l’anonymisation ne permettrait pas de poursuivre les travaux de recherche nécessaires.

Or il résulte de l’instruction que l’anonymisation des données considérées conduirait soit à un appauvrissement, soit à une agrégation des données disponibles, affectant ainsi la pertinence des travaux d’évaluation ou de recherche conduits. Dans ces conditions, en prévoyant trois pseudonymisations successives, la Plateforme des données de santé et la Caisse nationale de l’assurance maladie ont fait le choix d’un type de mesure qui n’apparaît pas manifestement inapproprié au regard des exigences du règlement général sur la protection des données. Télécharger la décision

Haut
error: Content is protected !!