Health Data Hub : le sombre diagnostic du Dr CNIL

Health Data Hub : le sombre diagnostic du Dr CNIL

Et Mr Hyde

Avatar de l'auteur
Marc Rees

Publié dans

Droit

04/11/2020
15

Health Data Hub : le sombre diagnostic du Dr CNIL

La plateforme des données de santé, hébergée par Microsoft, fut mise en œuvre de façon anticipée en avril 2020, urgence sanitaire oblige. Sa consécration dans le droit commun peine : sur la rampe de la CNIL, un avis très sec sur le futur texte d’application préparé par Olivier Véran. Next INpact révèle ces deux documents encore confidentiels.

Le système national des données de santé prend la forme d'« un entrepôt de données médico-administratives pseudonymisées couvrant l'ensemble de la population française et contenant l'ensemble des soins présentés au remboursement ».

Dans cet espace gigantesque, on trouve cinq bases :

  • les données de l'assurance maladie
  • les données des hôpitaux
  • les causes médicales de décès
  • les données relatives au handicap
  • et certaines données des organismes complémentaires.

À l’heure du Big Data, l'enjeu est d'aiguiser l'information sur la santé et l'offre de soins, mais aussi d'évaluer les politiques de santé, informer les professionnels, ou encore améliorer la recherche, les études, l'évaluation et l'innovation.

Un stock pour le moins imposant puisque « l'ensemble de ces données permet la reconstruction des parcours de santé de 67 millions de personnes sur près de 12 années » relevait le Sénat dans ce rapport

Ce vivier est mis à disposition par le « Health Data Hub », lui-même hébergé dans le ventre du géant Microsoft.

Le groupement d'intérêt public, traduit en français « Plateforme des données de santé », a en effet pour mission « de réunir, organiser et mettre à disposition les données du système national des données de santé », dixit l’article 41 de la loi du 24 juillet 2019, si bien nommée loi « relative à l'organisation et à la transformation du système de santé ». 

Multiples infections

Ces rouages auraient pu être parfaitement pensés/pansés, soignés, désinfectés. En lieu et place, l'infection menace.

Mi-octobre, le Conseil d’État a reconnu que sur le plan technique, l’hébergeur Microsoft pouvait être amené à faire droit à une demande de communication des services du renseignement américain sur ces données sensibles.

La décision faisait suite aux « observations » de la CNIL produites quelques jours plus tôt, où l’autorité rejetait sans nuance ce choix made in Redmond. Des observations elles-mêmes rédigées dans le sillage de l’invalidation de l’accord « Privacy Shield ». Ce 16 juillet dernier, la justice européenne épinglait les tentacules de la NSA et des autres services « US » sur les données personnelles des Européens.

Enfin, le 9 octobre un arrêté a interdit les transferts outre-Atlantique et le 23, le secrétaire d’État au numérique Cédric O de révéler que le gouvernement avait pris la décision de rapatrier le Health Data Hub « vers une plateforme européenne ». 

Un projet de décret, un projet d'avis de la CNIL

Plus près de nous, jeudi dernier, la CNIL a donc examiné le projet de décret relatif au « système national des données de santé ». Attendu de longue date, ce futur texte entend donner une entière base légale à ce projet de centralisation et traitement des données. 

Covid oblige, ce dispositif controversé a en effet fait l’objet d’une mise en œuvre « dérogatoire », profitant des prérogatives spécifiques du gouvernement pour faire face à la crise sanitaire.

C’est encore la loi du 24 juillet 2019 qui a programmé ce texte d’application (dont une version avait déjà été obtenue en septembre dernier par TIC Pharma).

Gouvernance, désignation des responsables de traitement, droits de personnes concernées… Il faut dire que les problématiques sont denses, d'autant que le RGPD classe ces données dans la catégorie « sensible ».

L’enjeu est d’autant plus important que cette même loi a modifié le périmètre de ce qu’on appelle le « système national des données de santé élargie » (ou SDNS élargie). En plus des cinq bases précitées, y sont ajoutées notamment les données recueillies à l'occasion d'activités de prévention, de diagnostic, de soins ou de suivi médico-social.

Pêle-mêle, s'y trouvent les données de prises en charge médicale par la Sécu, mais aussi celles issues des visites médicales scolaires, des visites de santé au travail.

Selon l’étude d'impact associée au projet de loi, cet élargissement vise à multiplier « l'utilisation du SNDS aussi bien en recherche clinique qu'en termes de nouveaux usages notamment ceux liés au développement des méthodes d'intelligence artificielle ».

Malgré ces bonnes intentions pour la recherche, la délibération récente de la CNIL met en exergue les nombreuses failles et incomplétudes du projet. Qu'en retenir ? 

« Un manque de lisibilité et de clarté »

L'avis de la CNIL, encore au stade de projet, n’est pas d’une tendresse particulière. Dès ses observations liminaires, elle « regrette vivement, au regard de l’enjeu essentiel s’attachant à la protection des données de santé de millions de Français, le manque de lisibilité et de clarté ».

Les dispositions relatives à ce système national des données de santé vissé au Health Data Hub, « au-delà de l’insécurité juridique ainsi créée, réservent son éventuelle compréhension – et les enjeux importants qui y sont attachés – aux seuls experts du domaine ».

L’autorité administrative indépendante ne s’arrête pas là : alors que le Code de la santé publique exige que soit dressée la liste des catégories de données réunies au sein du SNDS et des modalités d’alimentation, outre les responsables de traitement, le projet de décret, considère-t-elle, « ne répond que partiellement » à ces objectifs.

Le risque de transfert hors UE

Surtout, insiste-t-elle, elle demande que la doctrine imposée par arrêté au seul Health Data Hub interdisant les transferts de données hors UE soit également imposée aux données du système national des données de santé.

Il importe en effet de poser une « interdiction à l’ensemble des données (…) de faire l’objet d’un transfert de données en dehors de l’Union Européenne ».

Rappelons qu’un colmatage de cette brèche ne règlera en rien la totalité des problèmes.

Une telle interdiction ne malmène en rien les programmes de surveillance américains si le prestataire choisi est Microsoft ou une autre structure d'origine US.

Dès lors qu’un fournisseur américain détient des renseignements relatifs à des personnes situées en dehors des États-Unis, les services y ont d'une manière ou d'une autre accès, tout simplement parce que les entreprises américaines restent soumises au droit national et à ses généreux effets extraterritoriaux.

Surface d'attaque et risques

Selon la Commission, le ministère de la Santé entend se diriger vers une base centralisée, alors que le régime était à l’origine décentralisé.

Un choix qui, rappelons-le, n’engage pas le même niveau de risque, d’autant que la base sera dupliquée. « Ces différentes opérations augmentent mécaniquement la surface d’attaque et les risques de violations sur ces données » réagit la CNIL au point 86 de son projet d'avis.

Au fil de l'analyse, elle relève d'ailleurs que le Health Data Hub sera chargé « de vérifier la conformité des bases ayant vocation à figurer au catalogue, au regard du RGPD et de la loi de 1978 ».

La Commission a tenu à rappeler son existence et son rôle : cette vérification relève « au premier chef, du champ de [sa] compétence ». L’arrêté qui précisera dans le détail cette réforme devra donc lui être soumis, non pour simple « information », mais pour avis.

L’information de millions de Français et ces 30 % sans compte Ameli

Le projet de décret est victime d’un autre oubli fâcheux. Des dizaines de millions de Français seront informés de ces traitements sur le site de la Caisse Nationale d’Assurance Maladie et leur compte Ameli.

Bien, mais un peu court : la Commission réclame des informations par voie d’affichage ou dans les médias.

Surtout, elle rappelle au ministère de la Santé que… « 30 % d’assurés » ne disposent pas d’un compte Ameli ! À l’attention de ces millions de citoyens, elle sollicite en conséquence une information individuelle délivrée par voie postale.

Ces informations devront en outre être enrichies par l’indication des bases de données alimentant le système national et les modalités d’exercice des droits, le tout en des termes clairs et aisément accessibles comme le veut le sacro-saint RGPD.

Un exercice des droits RGPD contrarié

Malgré ces multiples canaux, l’autorité craint l'évaporation des droits des personnes. Alors que le décret se dirige donc vers un système national centralisé lié à de multiples organismes, la cible des demandes variera « selon la base de données et le droit concerné ».

Exemple alchimique : le droit d’opposition sera inapplicable pour la base principale et la base « catalogue », mais « si une personne s’est opposée à la réutilisation de ses données dans une base source inscrite au catalogue », alors « ses données n’alimenteront pas le SNDS ».

Selon la CNIL, le droit d’opposition devrait effectivement empêcher la remontée des données dans le catalogue. Elle juge néanmoins nécessaire de prévoir aussi un droit à l’effacement au cas où ces données seraient remontées avant l’exercice du droit d’opposition. Alchimique, on vous dit.

Levée du pseudonymat à coup de numéro de sécurité sociale

La situation devient même ubuesque lorsqu’une demande sera effectuée auprès de la Plateforme des données de santé. Dans un tel cas, « cette dernière met en œuvre un circuit de traitement du numéro d’inscription au répertoire des personnes physiques », le NIR ou numéro de sécurité sociale.

S’ensuit alors… une levée du pseudonymat des données pour identifier les données se rapportant au demandeur.

L’hypothèse fait bondir la gardienne des données personnelles : « un des principaux fondamentaux de la sécurité du SNDS repose sur la pseudonymisation de ses données et un strict cloisonnement entre les données identifiantes et les données pseudonymisées, excluant par principe qu’une même entité ait accès simultanément au NIR et aux données du SNDS ».

Le gouvernement est donc prié de revoir profondément sa copie. Dit autrement, il devrait revenir à un tiers de confiance de détenir la clef de passage entre le « numéro de Sécu » et l’identifiant chiffré, mais sûrement pas à la plateforme du Health Data Hub.

Des droits impraticables et ineffectifs

Plus globalement, la Commission estime que les droits RGPD sont bien vains. Pour le droit d’accès et de rectification, s’adresser soit à la CNAM soit aux organismes responsables de chaque base de données alimentant le SNDS « n’est pas de nature à permettre un exercice effectif des droits » regrette-t-elle.

C’est d’autant plus vrai à ses yeux que le système programmé ne permettra pas à une personne physique « d’avoir connaissance des données consolidées et appariées qui lui sont attachées dans le catalogue centralisé sur la PDS », la Plateforme des données de santé.

Elle suggère faute de mieux la mise en place d’un guichet unique au niveau des gestionnaires du régime d’assurance maladie obligatoire.

Les difficultés s’amoncèlent s’agissant de l’organisme responsable de traitement. Selon le ministère, ce sera donc la CNAM et la PDS. Une « responsabilité conjointe ». Toutefois, la CNIL a réclamé que cette qualification soit expressément inscrite dans le décret à venir avec une ventilation des rôles respectifs, histoire « d’améliorer la lisibilité » du texte.

Des accès permanents, sans les justifications requises

L’avis en gestation de la CNIL se penche aussi sur les organismes qui auront accès à ces dizaines de millions de données.

Au passage, on découvre que des acteurs qui disposaient déjà d’un accès permanent n’avaient pas apporté les justifications nécessaires : certains n'ont même pas pensé à déposer une demande d'autorisation auprès de la CNIL.

En principe, pour bénéficier d’un tel accès permanent, il faut justifier de la nécessité de réaliser une grande volumétrie de traitement ou des traitements urgents de données du SNDS au regard des missions dévolues.

Déjà, en l’état, le texte allonge « considérablement la liste existante », passant de 25 à 32 organismes concernés. De nouveaux acteurs ont certes adressé des demandes d’accès, mais « la Commission s’étonne de l’incomplétude de certaines des fiches transmises ».

Sont cités l’Institut national d’études démographiques, l’Observatoire français des drogues et toxicomanies, la Caisse nationale de solidarité pour l’autonomie, etc. (point 66).

Les équipes de l'INRIA et du CNRS n'ont quant à elles déposé aucune demande d'autorisation alors qu'elles « sollicitent pourtant un accès à la profondeur historique maximale », soit 19 ans plus l'année en cours (point 65). 

L’autorité réclame lourdement que l’ensemble « mette en place une gouvernance formalisée des accès au SNDS ainsi qu’un programme permanent et renforcé de formation, de sensibilisation et d’accompagnement des utilisateurs habilités ».

Vos conditions sociales, habitudes de vie et le contexte socio-économique

Toujours sur cette même veine, au point 72 du projet d'’avis, on découvre que plus de la moitié des organismes qui disposaient déjà d’un accès permanent « n’a pas transmis de rapport ou de liste des études et des caractéristiques des traitements » envisagés.

C’est pourtant là encore « une obligation réglementaire » s’étonne l’autorité, qui se souvient qu’un tel accès permanent évite à l’organisme qui en bénéficie de respecter des formalités auprès de la commission, outre que le droit d’opposition devient… inapplicable (page 6 du projet de décret, au point III du 9° de l'article 1er).

Elle plaide d'ailleurs pour des sanctions contre les oublieux, toujours dans le projet de décret renvoyé au ministère. Au point 72, elle estime que « l'absence de transmission d'un rapport complet devrait être assortie d'une sanction ». Elle suggère également le non renouvellement de l'accès permanent, et la suspension des accès par la CNAM et la PDS. « La Commission demande que le projet de décret le prévoie expressément ».

Le texte en gestation entend enfin élargir la liste des catégories de données réunies au sein du SDS. 

Parmi elles, les informations relatives aux pathologies des personnes concernées et au contexte socio-économique, mais aussi celles révélant leurs « conditions sociales, environnementales, habitudes de vie ». Soit la vie de tous les Français, dans un « nuage » d'origine américaine.

15

Écrit par Marc Rees

Tiens, en parlant de ça :

Sommaire de l'article

Introduction

Multiples infections

Un projet de décret, un projet d'avis de la CNIL

« Un manque de lisibilité et de clarté »

Le risque de transfert hors UE

Surface d'attaque et risques

L’information de millions de Français et ces 30 % sans compte Ameli

Un exercice des droits RGPD contrarié

Levée du pseudonymat à coup de numéro de sécurité sociale

Des droits impraticables et ineffectifs

Des accès permanents, sans les justifications requises

Vos conditions sociales, habitudes de vie et le contexte socio-économique

Commentaires (15)


Soriatane Abonné
Le 04/11/2020 à 11h 22

0_o
“surtout ne nous n’énervons pas!!”



Il y a des grosses lacunes, signes d’une incompétence mais aussi le reflet d’une incompréhension de la loi Informatique et liberté et de son successeur le RGPD.


Le 04/11/2020 à 11h 43

m’intéresserais de savoir ce que les associations de patients pensent de tout ça


FAubriot Abonné
Le 04/11/2020 à 21h 09

elles ont rejoint pour certaines le collectif santenathon.org
fa


Le 04/11/2020 à 11h 52

Excellent article, merci Nxi pour ce scoop :smack:



Et bien, nous avons donc toutes les raisons de faire confiance à ce Health Data Hub :troll:
Qu’est-ce qui pourrait mal tourner après tout :mad2: ?


GhilDuRash Abonné
Le 04/11/2020 à 12h 27

Sachez qu’on peut signer une pétition (il faut france connect) Création d’une commission d’enquête sur la gestion des données de santé de la France à la société Microsoft … C’est ici : https://petitions.senat.fr/initiatives/i-455


TroudhuK Abonné
Le 04/11/2020 à 12h 56

“Hors UE” non mais hors France surtout ! On n’a pas à partager quoi que ce soit avec les Allemands ou les Lituaniens !


N.Master Abonné
Le 04/11/2020 à 15h 02

Que dire, à part que ça file la nausée ! :vomi2:


Vin Diesel Abonné
Le 04/11/2020 à 16h 01

Analyse implacable de la CNIL et article édifiant de NXI.
Chapeau Marc REES ! ! !
:yes:


Le 04/11/2020 à 16h 05

TroudhuK a dit:


“Hors UE” non mais hors France surtout ! On n’a pas à partager quoi que ce soit avec les Allemands ou les Lituaniens !




C’est l’hébergement dont on parle et par définition a l’intérieur de l’UE on est RGPD friendly.


Le 04/11/2020 à 19h 06

merci de cet article bien documenté Marc.
Mais qui en France ou en Europe serait capable de faire comme Microsoft ?
That is THE question first!
Car si on avait su faire on n’en parlerait pas….CQFD
Second,
normalement c’est pour traiter au profit des français les données pseudonymisées => don’t panic!
il est vrai que l’executive order US permet aux Services de renseignement d’accéder à condition de le demander (pas directement…) mais l’intérêt de données pseudonymisées en renseignement … pour faire de l’intelligence éco?


Argonaute Abonné
Le 04/11/2020 à 23h 34

D’abord



1- ça ne justifie pas que ces données soient accéder par les services de renseignement US, hormis le fait que si les services de cloud européens sont moins ambitieux que MS ça ne veut pas dire qu’ils soient moins compétents ou performants.



2- l’intelligence économique (mais pas que…) comme tu dis ne se limitent pas uniquement à la sphère entrepreneuriale mais surtout à la sphère personnelle, de plus il est très pertinent de connaître les données de santé de la population d’un pays afin de les recouper avec des informations obtenues par ailleurs via d’autres systèmes n’ayant aucun rapports avec le systèmes des données de santé.



-


Le 05/11/2020 à 11h 15

Cyberwoman a dit:


merci de cet article bien documenté Marc. Mais qui en France ou en Europe serait capable de faire comme Microsoft ?




Il serait en effet intéressant de connaitre:




  1. Le cahier des charges pour ce type de service

  2. La “petite facture” de microsoft ensuite - à long terme, et y compris l’accès aux données (même anonymisées) des patients.



Dans ce domaine, on a quand même des pro des programmes très lourds qui coûtent cher et qui fonctionnent pas : ATOS (Quitte à ce que ça déconne autant que ça reste en France) :chinois:




Second, normalement c’est pour traiter au profit des français les données pseudonymisées => don’t panic! il est vrai que l’executive order US permet aux Services de renseignement d’accéder à condition de le demander (pas directement…) mais l’intérêt de données pseudonymisées en renseignement … pour faire de l’intelligence éco?




Pour moi si Microsoft est en charge des données, ça ne peux faire aucun doute que les services US en auront des copies systématiques & à jour. C’est obligé, et ce même si un texte ou un autre l’interdit : Les USA n’ont que faire des lois des autres, ils l’ont déjà démontré moulte fois par le passé. Et d’autre part la seule chose qui les retiens un tant soit peu c’est le fait qu’ils aient pas le droit d’espionner des américains. Mais c’est tout ! Les autres pays, même amis, même complices, c’est open-bar.



Le vrai souci pour moi est que les USA ne jouent jamais franc jeu (voir l’affaire Alsthom & Frederic Pierucci), et qu’il est tout a fait envisageable que les USA utilisent ce type de fichiers pour X ou Y raison ensuite : Pour faire pression sur un dirigeant, pour bloquer l’entrée sur le territoire à quelqu’un (par exemple : diabétique) , pour faire des recoupements ADN ou ethniques à tendance raciste (ce qui ne les gêne pas du tout, eux).



Enfin bon, encore des petits coups de canif à la liberté des peuples à s’auto-gérer.


Le 07/11/2020 à 15h 12

La seule issue souhaitable reste le vote. Un référendum ne serait pas de refus à ce sujet qui ne peut trouver d’autre issue.


Arkeen Abonné
Le 08/11/2020 à 11h 18

(quote:1835856:Idiogène)
La seule issue souhaitable reste le vote. Un référendum ne serait pas de refus à ce sujet qui ne peut trouver d’autre issue.




Le sujet est beaucoup trop pointu pour le grand public qui ne connait pas ce projet, qui ne sait pas ce qu’est le RGPD ni la CNIL, qui ne connait pas la problématique du Cloud Act, etc.


Le 10/11/2020 à 06h 01

J’ai pas dit demain…