Vous êtes nouveau sur Developpez.com ? Créez votre compte ou connectez-vous afin de pouvoir participer !

Vous devez avoir un compte Developpez.com et être connecté pour pouvoir participer aux discussions.

Vous n'avez pas encore de compte Developpez.com ? Créez-en un en quelques instants, c'est entièrement gratuit !

Si vous disposez déjà d'un compte et qu'il est bien activé, connectez-vous à l'aide du formulaire ci-dessous.

Identifiez-vous
Identifiant
Mot de passe
Mot de passe oublié ?
Créer un compte

L'inscription est gratuite et ne vous prendra que quelques instants !

Je m'inscris !

France : le gouvernement accélère la mise en place du Health Data Hub qui vise à centraliser des données de santé
Mais la CNIL s'inquiète d'un possible transfert des données aux États-Unis

Le , par Stéphane le calme

506PARTAGES

20  0 
La CNIL a été saisie le 15 avril 2020 pour avis d’un projet d'arrêté complétant l’arrêté du 23 mars 2020 prescrivant les mesures d’organisation et de fonctionnement du système de santé nécessaires pour faire face à l’épidémie de covid-19 dans le cadre de l’état d’urgence sanitaire.

Le projet d’arrêté a pour objet, dans le contexte d’urgence lié à la gestion de la crise sanitaire actuelle :
  • une « remontée hebdomadaire » des données du programme de médicalisation des systèmes d’information (PMSI), qui comptabilise les actes médicaux facturés par les hôpitaux dans un but de gestion économique et administrative des établissements. Il comprend des codes qui permettent de déterminer chaque acte médical, et donc par exemple de savoir si le patient a été en réanimation. Croisées aux données de l’Assurance-maladie, elles permettront par exemple d’évaluer la comorbidité ou les facteurs de risque ;
  • d’organiser le regroupement de certaines données à caractère personnel, comprenant des données de santé, afin de permettre leur utilisation en vue de suivre et projeter les évolutions de l’épidémie, de prévenir, de diagnostiquer et de traiter au mieux la pathologie en plus d’organiser le système de santé pour combattre l’épidémie et en atténuer les impacts. Il prévoit pour ce faire l’ajout dans l’arrêté du 23 mars 2020 d’un chapitre relatif aux mesures concernant le traitement des données à caractère personnel du système de santé.

Ainsi, le projet prévoit, à titre temporaire et dans le cadre spécifique de la gestion de l’urgence sanitaire la centralisation au sein du groupement d’intérêt public dénommé Plateforme des données de santé, prévu par l’article L. 1462-1 du code de la santé publique (également dénommé « Health Data Hub ») de données provenant de différentes sources en vue de leur mise à disposition afin de faciliter l'utilisation des données de santé pour les besoins de la gestion de l’urgence sanitaire et de l’amélioration des connaissances sur le COVID-19.

En clair, au nom de l’état d’urgence, le gouvernement français a accéléré la mise en place du Health Data Hub, une plateforme devant centraliser des données de santé. Alors que le projet était encore en cours de déploiement, et que tous les textes d’applications ne sont pas encore prêts, le gouvernement a pris le 21 avril dernier, au nom de l’état d’urgence sanitaire, un arrêté modifiant celui du 23 mars sur l’organisation du système de santé durant l’épidémie. Il autorise le Health Data Hub, ainsi que la Caisse nationale de l’assurance-maladie (Cnam), à collecter, « aux seules fins de faciliter l’utilisation des données de santé pour les besoins de la gestion de l’urgence sanitaire et de l’amélioration des connaissances sur le virus Covid-19 », un nombre considérable de données


Tout en reconnaissant la légitimité des objectifs poursuivis par le projet, la CNIL a tenu à rappeler, au vu de l’urgence, que, quel que soit le contexte, des garanties suffisantes au regard du respect des principes fondamentaux du droit à la protection des données à caractère personnel doivent être mises en œuvre. Ainsi, elle estime que des mesures juridiques et techniques adaptées devront être prévues afin d’assurer un haut niveau de protection des données.

Pour rappel, en mars 2018, Emmanuel Macron a émis le souhait que la France ne se disperse pas et concentre ses forces dans les domaines où elle dispose déjà d'une grande quantité de données. Raison pour laquelle il a décidé de mettre l'accent sur la santé, où l'Hexagone possède, selon lui, un avantage lié à la centralisation de ses bases de données. L'Élysée a donc annoncé la création d'un « Health Data Hub » qui « pilotera l'enrichissement continu et la valorisation du système national des données de santé, pour y inclure à terme l'ensemble des données remboursées par l'assurance-maladie, les données cliniques des hôpitaux, des données de la médecine de ville...». Il était indiqué que ces données seraient ouvertes aux acteurs de l'IA dans un cadre sécurisé et garantissant la confidentialité pour, comme l'espère Emmanuel Macron, développer des « innovations majeures », comme l'amélioration du traitement des tumeurs cancéreuses, ou la détection des arythmies cardiaques ; et permettre à l'État de faire d'importantes économies.

Observations de la CNIL

Sur la constitution d’un entrepôt de données au sein de la plateforme des données de santé

La Commission relève que la centralisation des données au sein de la Plateforme des données de santé implique la création d’un entrepôt de données de santé en vue de leur mise à disposition auprès d’autres responsables de traitements.

Sur la responsabilité de traitement

La Commission prend acte de ce que la Plateforme des données de santé et la Caisse nationale d’assurance maladie (CNAM) seront conjointement responsables des traitements décrits dans le projet. À ce titre, le projet mentionne que la Plateforme des données de santé est responsable du stockage et de la mise à disposition des données et qu’elle est autorisée à opérer des croisements de données. Le projet mentionne par ailleurs que la CNAM est responsable des opérations de pseudonymisation dans le cadre du croisement des données et peut traiter le numéro d'inscription au répertoire national d'identification des personnes physiques à cette fin. La Commission relève cependant que le projet prévoit que les données peuvent être traitées dans la solution technique de la Plateforme des données de santé, ainsi que dans celle de la CNAM. Il en résulte que la CNAM pourrait également être amenée à stocker et à mettre à disposition des données dans le cadre du traitement envisagé.

Sur les données dont le traitement est envisagé

Le projet dresse la liste des catégories de données susceptibles d’être transmises à la Plateforme des données de santé en vue de leur mise à disposition. La Commission relève, au-delà du caractère très générique des catégories décrites, qu’il n’est fait mention ni de la profondeur historique des données ni de leur nature exacte, notamment au regard de l’intérêt que peut présenter leur analyse dans le cadre de l’épidémie de COVID-19. À titre d’exemple, le projet mentionne, sans plus de détail, la remontée possible de données issues du SNDS ou de « données de pharmacie ». Elle rappelle qu’en application du principe de minimisation des données prévu par l’article 5-1- c du RGPD, les données devront être adéquates, pertinentes et limitées à ce qui est nécessaire au vu de la finalité poursuivie, tant s’agissant des données figurant dans l’entrepôt au sein de la Plateforme des données de santé, que des données mises à disposition pour la réalisation de traitements ultérieurs.

Sur les modalités d’information des personnes et d’exercice des droits

La Commission relève qu’en dehors de la constitution, au sein de la Plateforme des données de santé, d’un répertoire public recensant la liste et les caractéristiques de tous les projets portant sur les données de l’entrepôt, le projet ne prévoit aucune modalité d’information ou d’exercice des droits particulière quant à la constitution de l’entrepôt ou aux traitements mis en œuvre ultérieurement.


Sur les transferts de données vers des pays tiers et les divulgations non autorisées par le droit de l’Union

La Commission relève que les contrats qui lui ont été fournis ne prévoient eux-mêmes ni la localisation des données ni l’ensemble des garanties relatives aux modalités d’accès aux données par les administrateurs de l’hébergeur. Le contrat permet cependant à la Plateforme, à travers les « Conditions des services en ligne » de choisir le lieu d’hébergement des données. En outre, les informations fournies par la Plateforme des données de santé mentionnent explicitement le recours à un hébergeur certifié « hébergeur de données de santé ». A cet égard, la Commission prend acte de ce que le ministère s’est engagé à ce que la Plateforme des données de santé exige de son hébergeur que les données « au repos » soient hébergées au sein de l’Union européenne.

La Commission souligne toutefois que cette localisation ne s’applique qu’aux données « au repos », alors même que le contrat mentionne l’existence de transferts de données en dehors de l’Union européenne dans le cadre du fonctionnement courant de la plateforme, notamment pour les opérations de maintenance ou de résolution d’incident.

À cet égard, les dispositions contractuelles de sous-traitance conclues entre la Plateforme des données de santé et le prestataire chargé de l’hébergement des données, stipulent que les données traitées peuvent être transférées vers les États-Unis pour y être stockées et traitées, ainsi que dans tout autre pays dans lequel le sous-traitant ou ses sous-traitants ultérieurs sont implantés. Ces transferts font l’objet d’un encadrement conformément au Chapitre V du RGPD, étant régis en l’espèce par des clauses contractuelles types, conformément à l’article 46-2-c de ce règlement.

La Commission rappelle, dans ce contexte, les inquiétudes soulevées à plusieurs reprises par le Comité européen de la protection des données (CEPD) concernant l’accès par les autorités des États-Unis aux données transférées aux États-Unis, plus particulièrement la collecte et l'accès aux données personnelles à des fins de sécurité nationale en vertu de l'article 702 de la loi américaine FISA et du décret (« Executive Order ») 12 333. Ces problématiques sont actuellement soumises à la Cour de justice de l’Union européenne dans le cadre d’une demande de décision préjudicielle formée par la High Court of Ireland concernant la validité de la décision 2010/87/UE, par laquelle la Commission européenne a établi des clauses contractuelles types pour certaines catégories de transferts. Un arrêt de la Cour dans cette affaire (C-311/18) est attendu dans les mois qui viennent.


La réaction de la directrice du Health Data Hub

Interrogée sur ce dernier point par Médiapart, Stéphanie Combes dément pourtant les affirmations de la CNIL. « Nous ne sommes pas alignés sur cette phrase de l’avis. Le contrat prévoit en effet que des données peuvent être transférées par l’hébergeur dans certains cas, sauf indication contraire. Or, nous avons bien spécifié que les données ne devaient pas sortir du territoire français », explique-t-elle. La CNIL aurait-elle alors mal lu le contrat ? « Je ne dis pas ça. Mais je trouve que les faits sont un peu détournés. En tout cas, nous avons bien indiqué que les données ne pourront pas être transférées. Je peux même vous dire que c’est à la page 11 du contrat ».

Peut-être encore plus inquiétant, la CNIL affirme que, même si les données stockées seront bien chiffrées « avec des algorithmes à l’état de l’art à partir de clés générées par les responsables de la plateforme sur un boîtier chiffrant maîtrisé par la plateforme des données de santé », les clefs de déchiffrement seront envoyées au prestataire. « Elles seront conservées par l’hébergeur au sein d’un boîtier chiffrant, ce qui a pour conséquence de permettre techniquement à ce dernier d’accéder aux données », pointe l’avis de la commission.

Elle s’inquiète également d’un manque d’encadrement des procédures d’accès des administrateurs de la plateforme. Dans l’étude d’impact du projet, « une fonctionnalité d’autorisation préalable des accès administrateurs » était bien prévue. Mais « la Commission relève que cette fonctionnalité ne semble pas mentionnée dans les contrats fournis. En outre, la Commission s’interroge sur l’effectivité de cette mesure qui ne semble pas couvrir la totalité des accès possibles ».

Sur ce point, Stéphanie Combes explique qu’en effet les clefs de chiffrements des données seront générées par un « HSM » (Hardware Security Module), un « coffre-fort numérique » et envoyées à la plateforme ainsi qu’au prestataire qui est Microsoft. Mais ces clefs « sont utilisées de manière automatique sans intervention humaine ».

Concernant les accès des administrateurs, la directrice du Health Data Hub explique « qu’il peut y avoir un accès des administrateurs à certaines conditions. Mais pas n’importe lesquelles. Nous contrôlons ces accès et nous nous sommes engagés à refuser toute demande qui ne serait pas légitime. Nous avons totalement sécurisé cet aspect-là », assure-t-elle.

Depuis la publication de l’arrêté, le collectif Interhop, composé de professionnels du secteur de la santé et de l’informatique médicale, a publié un nouvel appel. « Contrairement à l’avis de nombreux acteurs – Commission nationale informatique et des libertés, Ordre national des médecins, Conseil national des barreaux, hôpitaux –, le gouvernement français s’appuie sur le géant américain Microsoft pour stocker l’ensemble des données de santé, affirme-t-il. Nous appelons à la constitution d’un écosystème universitaire, médiatique, juridique, associatif et politique pour réaffirmer les valeurs d’autonomie et des “communs” et, pour faire naître un large débat de société. »

Sources : Mediapart, rapport de la CNIL

Et vous ?

Qu'en pensez-vous ? Les craintes de la CNIL vous semblent-elles justifiées ? Dans quelle mesure ?

Une erreur dans cette actualité ? Signalez-le nous !

Avatar de scandinave
Membre confirmé https://www.developpez.com
Le 09/05/2020 à 11:15
Je pense que la dame confond sécurité juridique et sécurité numérique. Bien sûr seul la première l'intéresse pour sauver ses fesses quand ça partira en sucette. Dans la première on se satisfait d'une promesse ( Contrat ) dans la seconde on demande la preuve. Cela fait une énorme différence.

Dans la première, Microsoft à la les clés. Promis on les utilisera pas. Microsoft à les serveurs. Promis, les données bougeront pas de France. ( Promesse )
Dans la deuxième. Les serveurs sont en France, gérés par l'état et avec des clés de chiffrement détenues exclusivement par l'état ( Preuve )

Surtout quand on sait que Microsoft est une boite américaine, donc soumis au règle extra-territoriale des USA, autant partir du principe que les données sont accessible au gouvernement américain ainsi qu'aux grosses boites US.
16  0 
Avatar de defZero
Membre extrêmement actif https://www.developpez.com
Le 09/05/2020 à 17:39
Qu'en pensez-vous ? Les craintes de la CNIL vous semblent-elles justifiées ? Dans quelle mesure ?

J'en pense qu'en effet, les craintes de la CNIL sont parfaitement justifié, dans la mesure ou aucune information technique n'est évoqué clairement.
Concrètement, ils fixent des objectifs complétement hors sol comme à leurs habitudes.
A charge, ensuite aux exécutants de trouver des solutions et en cas de pépins (technique et juridique) ils seront qui aller voir .

Ils feraient mieux de demander à tous les Ingénieurs Informatique Fonctionnaire d’État et dont c'est le boulot :
"Comment pouvons nous mettre en place un Cloud National pour le traitement des données de santés en toute sécurité ?".
De là ils pourrait ensuite légiféré sans demander des trucs impossibles à réaliser ou complétement ubuesque.
Bref une belle bande de br**leurs qui font les choses à l’envers, comme d'hab .



@scandinave, +1 Autant faire directement payer les boites US pour l'usage de nos donnés de santé, ça ira plus vite et aux moins ça nous rapportera quelque chose .

... Le vrai problème est la compétence des personnes mettant en place le système.
Bref un non sujet
@redcurve
Du coup si, il y a un très gros sujet justement.
Comment ce fait il qu'un PAYS soit dit en développé, n'est pas ça propre infrastructure de Cloud National en 2020 ?
D'autant que j'ai déjà lu pas mal d'articles faisant la réclame pour des dépenses faramineuses d'argent public qui devaient justement nous d’ôter d'un tel système.
Alors, où est partit l'argent, puisque visiblement l'infra n'est pas là et où sont les compétences, puisque l'on doit faire appel à des boites étrangères pour tout ou partit des traitements ?
Oh mais attendez, ne serait-ce pas une preuve de plus que l'on nous prend pour des c*** et que nous sommes dirigée par des personnes hautement qualifiées ?

P.S. : Désoler, mais c'est énervant qu'à chaque fois que je lise un article sur les décisions du gouvernement, ils fassent systématiquement du grand n'importe quoi et qu'ils n'est jamais eu à subir aucunes conséquences de leurs choix / actes.
Dans le monde pro, si nous étions à leur niveau, aucun projet n’aboutirait jamais et les gens passerait leur temps à se faire viré.
Prendre des décisions législatives avant même d'avoir l'avale de la technique, sur ce type de projet, c'est complétement absurde.
6  0 
Avatar de defZero
Membre extrêmement actif https://www.developpez.com
Le 10/05/2020 à 0:36
@stardeath, +1

... ps: j'ai pas vérifié le contenu de l'article, mais il semble qu'il n'y a pas que le gouvernement à revoir, mais aussi l'ensemble de nos "champions" nationaux ...
@stardeath
Justement, l’État devrait arrêter de tout vouloir sous-traiter et recommencer à prendre les choses en mains.
Sinon que l'on m'explique pourquoi ils ont besoin d'embaucher autant d' Informaticiens si c'est pour systématiquement sous-traité aux moins cher ?
S'ils comptent sur les "champions nationaux" qui n'en n'ont que le nom, ça risque pas d'aboutir à grand chose en effet .
5  0 
Avatar de darklinux
Membre éclairé https://www.developpez.com
Le 13/06/2020 à 14:57
Que pensez-vous de l’appel de la CNIL à choisir un prestataire européen ?

Cela aurait du être fait des l ' établissement du cahier des charges et oui il aurait du être français

Que pensez-vous de la polémique concernant le choix de Microsoft ? Les craintes exprimées vous semblent-elles justifiées ?

Oui , cela ne remet pas en cause le leadership de Microsoft , mais une société extra communautaire n ' aurais même pas du être approchée
4  0 
Avatar de stardeath
Membre expert https://www.developpez.com
Le 09/05/2020 à 20:55
Citation Envoyé par defZero Voir le message
Comment ce fait il qu'un PAYS soit dit en développé, n'est pas ça propre infrastructure de Cloud National en 2020 ?
parce qu'on est tout simplement incapable d'en mettre un en place? https://www.lesechos.fr/tech-medias/...ancais-1118112

ps: j'ai pas vérifié le contenu de l'article, mais il semble qu'il n'y a pas que le gouvernement à revoir, mais aussi l'ensemble de nos "champions" nationaux ...
3  0 
Avatar de xp-op
Futur Membre du Club https://www.developpez.com
Le 16/05/2020 à 17:30
Confier les données à Microsoft représente un triple danger :
1/ C'est une boîte américaine et donc soumise à tout un tas de lois américaines pas vraiment protectrice pour les non-américains
2/ Microsoft a des velléités dans le domaine de la santé, donc il ne va pas se gêner pour exploiter nos données
3/ La sécurité a toujours été son point faible. Il n'y a qu'à voir les 500 Go de données privées qui viennent d'être piratées sur Github !
3  0 
Avatar de J_P_P
Nouveau membre du Club https://www.developpez.com
Le 17/05/2020 à 14:53
Confier des données sensibles à Microsoft ? Cela semble une plaisanterie !
3  0 
Avatar de grigric
Membre habitué https://www.developpez.com
Le 11/06/2020 à 11:30
un datacenter en france ne veux pas dire qu'il ne synchronise pas la totalité des données aux état unis pour backup, mais aussi pour audit des agences de sécurités (NSA, etc.)
2  0 
Avatar de DevTroglodyte
Membre extrêmement actif https://www.developpez.com
Le 11/06/2020 à 11:50
Citation Envoyé par grigric Voir le message
un datacenter en france ne veux pas dire qu'il ne synchronise pas la totalité des données aux état unis pour backup, mais aussi pour audit des agences de sécurités (NSA, etc.)
Une donnée sur un datacenter possédé par une entreprise américaine ou filiale d'une entreprise américaine est concernée par le cloud act. Donc peu importe si ton datacenter est en France ou qu'il ne soit pas backupé aux US.

Pour avoir un stockage Azure non concerné par le cloud act, il faudrait qu'il soit déployé sur un datacenter n'appartenant pas à MS ni à une de ses filiales.
2  0 
Avatar de stardeath
Membre expert https://www.developpez.com
Le 13/06/2020 à 14:22
Citation Envoyé par Stan Adkens Voir le message
Que pensez-vous de l’appel de la CNIL à choisir un prestataire européen ?
ça devrait être même un prestataire français, vu la qualité de nos relations européennes.
mais ...

Citation Envoyé par Stan Adkens Voir le message
Que pensez-vous de la polémique concernant le choix de Microsoft ? Les craintes exprimées vous semblent-elles justifiées ?
... on est visiblement incapable, on ne compte plus le nombre de gabegies, que ça soit en france ou en europe, de proposer un concurrent à de nombreuses boites américaines.
par exemple, le fameux cloud français.
2  0