L’état d’urgence sanitaire prolongé a permis au gouvernement de passer en force son Health Data Hub. Au nom de cet état d’urgence, par un arrêté du 21 avril dernier, le déploiement de la plate-forme a été anticipé. Cette base de données inédite vise à centraliser l’ensemble de nos données de santé et sera hébergée par Microsoft, révèle Médiapart. Inquiète, la Commission nationale de l’informatique et des libertés (Cnil) a pointé le risque de leur transfert potentiel aux États-Unis.
Une base de données de santé inédite
Ce décret autorise le Health Data Hub et la Caisse nationale de l’assurance-maladie (Cnam), à collecter, « aux seules fins de faciliter l’utilisation des données de santé pour les besoins de la gestion de l’urgence sanitaire et de l’amélioration des connaissances sur le virus Covid-19 », un nombre considérable d’informations. Autrement dit, ce nouveau Hub sanitaire élargit l’actuel Système national des données de santé (SNDS), qui regroupe les principales bases de données de santé publique.
Désormais, cette plate-forme va être agrémentée des « données de pharmacie », des « données de prise en charge en ville telles que des diagnostics ou des données déclaratives de symptômes issues d’applications mobiles de santé et d’outils de télésuivi, télésurveillance ou télémédecine », de celles des services d’urgence, mais aussi « des enquêtes réalisées auprès des personnes pour évaluer leur vécu » et des données du SI-VIC, le système de suivi des victimes lors de catastrophes sanitaires.
Faire parler les données de santé
Le Health Data Hub intégrera aussi les données des deux super fichiers actés par la loi de prolongation de l’état d’urgence sanitaire : le SI-DEP (système d’information national de dépistage populationnel) qui regroupe les données des laboratoires et le Contact-Covid qui rassemble les enquêtes épidémiologiques réalisées par les brigades sanitaires.
Comme l’explique un document du ministère de la Santé et des Solidarités que Mediapart a pu consulter, l’un des buts du SI-DEP sera en effet de « permettre une réutilisation des données homogènes et de qualité pour la recherche ». « Dans le cadre du Health Data Hub », cette réutilisation se fera « avec un chaînage avec les autres données du SNDS ». L’ampleur du volume de données et des croisements potentiels donnent le tournis.
Ces dispositifs permettront de faire parler les données de santé pour lutter plus efficacement contre la pandémie.
« Les outils numériques peuvent être une aide à la gestion de cette crise sanitaire », assure Stéphanie Combes, cheffe de projet du Health Data Hub à Médiapart. « On pourra […] plus facilement évaluer l’efficacité des traitements grâce à ce qu’on appelle des “essais virtuels”, les “données de vie réelle” qui, croisées avec les données pathologiques, permettront de comprendre dans quels cas le virus se développe et donc de mieux suivre les patients à risque », détaille-t-elle encore au site d’investigation.
Un avis mitigé de la Cnil
Si la pandémie accélère le mouvement, le principe de Health Data Hub reste inchangé… et les critiques restent les mêmes. Instaurée par la loi santé du 24 juillet 2019, la plate-forme a pour vocation de remplacer totalement le SNDS. Dans un avis rendu à la suite de cette loi santé, la Cnil soulignait :
« Au-delà d’un simple élargissement, cette évolution change la dimension même du SNDS, qui viserait à contenir ainsi l’ensemble des données médicales donnant lieu à remboursement ».
Géré par un groupement d’intérêt public (GIP) chargé d’administrer l’ouverture des données à des acteurs extérieurs, le Health Data Hub permet également aux entreprises privées d’avoir accès aux données pour un « motif d’intérêt public ». En 2019, cela inquiétait déjà la Cnil, d’autant plus que l’hébergement de la plate-forme a été attribué sans appel d’offres à Microsoft, au mois de mars dernier.
Microsoft comme cheval de Troie ?
Prise de court, la Cnil a durci le ton. Jeudi 23 avril, le gendarme des données personnelles a publié un avis [PDF] qui met l’accent sur de nombreuses inquiétudes.
Au premier rang desquelles : le contrat qui lit le Health Data Hub à Microsoft. S’il est bien précisé que la localisation des données est prévue par défaut au sein de l’UE, elle « ne s’applique qu’aux données “au repos”, alors même que le contrat mentionne l’existence de transferts de données en dehors de l’Union européenne dans le cadre du fonctionnement courant de la plate-forme, notamment pour les opérations de maintenance ou de résolution d’incident ».
Or, les autorités étasuniennes peuvent contraindre les entreprises nationales comme Microsoft à leur fournir les données qu’elle hébergent. C’est pourquoi la Cnil s’alarme de « […] l’accès par les autorités des États-Unis aux données transférées aux États-Unis, plus particulièrement la collecte et l’accès aux données personnelles à des fins de sécurité nationale », en vertu du Foreign Intelligence Surveillance Act de 1978 et du Cloud Act de 2018. La Commission rappelle néanmoins que cette question fait d’ailleurs l’objet actuellement d’une procédure « soumise à la Cour de justice de l’Union européenne » et qu’« un arrêt de la Cour dans cette affaire est attendu dans les mois qui viennent ».
Données stockées jusqu’au 10 juillet
De son côté, le gouvernement se veut rassurant. Toujours interrogée par Médiapart, Stéphanie Combes regrette que ces informations du contrat aient été « détournées » et assure que les données resteront sur le territoire français. La cheffe de projet du Health Data Hub explique également que le déploiement été de toute façon prévu pour le mois de juin, et qu’il ne s’agit que de « quelques semaines d’avance ».
Cependant, le Health Data Hub et la Cnil sont d’accord sur un point : la durée de conservation des données. Elles ne pourront être gardées que pendant la période de l’état d’urgence sanitaire -seulement jusqu’au 10 juillet 2020. Après cela, elles seront détruites. Mais, la liste des points d’achoppement pointés par la Cnil est longue : le chiffrement des données qui ne serait pas garanti, le manque d’encadrement des procédures d’accès des administrateurs de la plate-forme ou encore l’effectivité du blocage de toute possibilité d’exportation des données.
Le poids des résistances
La Cnil n’est pas la seule préoccupée. À la suite du décret, le collectif Interhop a lancé une pétition pour alerter sur ce qu’ils jugent être un « abandon » de nos données chez Microsoft. Les rangs de l’opposition à ce projet s’étoffent et le gouvernement aurait tort de sous-estimer le poids de ces résistances.
« Il y a le texte et il y a ce qu’en font les acteurs. Penser qu’un arrêté peut changer les pratiques du monde médical, c’est ignorer à quel point celui-ci est structuré par des élites, voire des baronnies, locales ou thématiques, avec une culture très forte de l’opposition. C’est un corps qui ne se laisse pas facilement dicter ce qu’il doit faire », explique Catherine Bourgain, chercheuse en génétique humaine et sociologie des sciences à l’Institut national de la santé et de la recherche médicale (Inserm) dans les colonnes de Médiapart.
Source : Médiapart