Dans le ventre du health data hub, des données de santé en lien avec Covid-19

Le 22 avril, le ministère de la Santé a publié un arrêté pour mettre en place un traitement automatisé de données de santé dans le cadre de la pandémie de Covid-19. 

La « Plateforme des données de santé » (ou health data hub) est un groupement d’intérêt public (GIP) rassemblant l'État, « des organismes assurant une représentation des malades et des usagers du système de santé, des producteurs de données de santé et des utilisateurs publics et privés de données de santé ». 

Ses missions consistent notamment à « réunir, organiser et mettre à disposition les données du système national des données de santé (…) et de promouvoir l'innovation dans l'utilisation des données de santé ». Le gouvernement entend l'utiliser pour remonter des données « du programme de médicalisation des systèmes d'information simplifiées et accélérées ». 

La loi du 23 mars 2020 d'urgence pour faire face à l'épidémie de covid-19 autorise en effet le ministre de la Santé à prescrire, par arrêté motivé, « toute mesure réglementaire relative à l'organisation et au fonctionnement du dispositif de santé visant à mettre fin à la catastrophe sanitaire ».

Le texte regroupe une masse de données de santé « afin de permettre leur utilisation en vue de suivre et projeter les évolutions de l’épidémie, de prévenir, de diagnostiquer et de traiter au mieux la pathologie et d’organiser le système de santé pour combattre l’épidémie et en atténuer les impacts » explique la CNIL, dans son avis. 

L’arrêté autorise la remontée d’une vaste vague d’informations entre les mains de l’entrepôt de données : celles issues de pharmacie, les diagnostics, déclarations de symptômes issues d'applications mobiles de santé et d'outils de télésuivi, des résultats d'examens biologiques... Toutes devront simplement être « en lien » avec l’épidémie pour justifier une telle remontée. On remarque en particulier dans la liste les données « déclaratives de symptômes issues d'applications mobiles de santé et d'outils de télésuivi ». On pense évidemment à l’application StopCovid.  

Les données aspirées par ce traitement en vigueur le temps de la déclaration d’urgence, pourront être « croisées » afin de permettre notamment des requêtes très fines. Les informations seront pseudonymisées. C’est la CNAM qui en sera chargée. Elles « ne peuvent contenir ni les noms et prénoms des personnes, ni leur numéro d'inscription au répertoire national d'identification des personnes physiques, ni leur adresse ». Le GIP devra par ailleurs recenser sur son site Internet l’ensemble des projets portant sur ces données.

La CNIL avait été saisie le 15 avril 2020. Le 20 avril, soit cinq petits jours plus tard, elle a rendu son avis. Elle y rappelle que « quel que soit le contexte, des garanties suffisantes au regard du respect des principes fondamentaux du droit à la protection des données à caractère personnel doivent être mises en œuvre ». Son avis n’est pour ainsi dire que temporaire d’autant que la constitution de la base autorisée que le temps de l’état d’urgence. Au-delà, il faudra une base légale sinon les données ne pourront être conservées.

Dans ses grandes lignes, l’avis relève la finalité très large de cet entrepôt de données, mais aussi « qu’il n’est fait mention [dans le projet d’arrêté examiné] ni de la profondeur historique des données, ni de leur nature exacte, notamment au regard de l’intérêt que peut présenter leur analyse dans le cadre de l’épidémie de Covid-19 ».

Le gouvernement s’est engagé à corriger le tir.  Toutefois, le texte ne prévoit pas de localisation de ces données, même si l’hébergeur devra être certifié « hébergeur de données de santé ». Des données pourront ainsi être localisées aux États-Unis, et donc sous l’égide de la loi FISA qui organise l’accès aux autorités américaines.