Mesdames les directrices, Messieurs les directeurs d’hôpitaux,
Chers collègues, chères collègues de la santé,

Un arrêté1 publié le 21 avril incite les hôpitaux et centres de recherche à intensifier l’envoi des données de santé des patients dans le “Health Data Hub” (HDH), hébergé actuellement par la société Microsoft2.

Au-delà des questions d’opportunité du choix de la société Microsoft3, notamment en matière de protection des données personnelles, l’application de cet arrêté pourrait vous placer dans une situation juridique délicate au titre du deuxième alinéa de l’article 40 du Code de procédure pénale4.

En effet, il n’apparaît pas aujourd’hui que le “Health Data Hub” dispose de la certification “activité 5” nécessaire à la gestion de ces données5. Il ne figure d’ailleurs pas dans la liste des hébergeurs certifiés pour les données de santé6, pas plus que son sous-traitant “Open”.

Notamment, les articles L 1115-17 et L 1115-28 du Code de la santé punissent l’hébergement de données de santé à caractère personnel (DSCP) sans agrément ou certification de :

  • de trois ans d’emprisonnement et 45 000 euros d’amende
  • d’interdiction pour une durée de 5 ans ou plus d’exercer directement ou indirectement une ou plusieurs activités professionnelles ou sociales
  • de placement, pour une durée de 5 ans ou plus, sous surveillance juridique
  • de fermeture définitive ou pour une durée de cinq ans au plus des établissements ou de l’un ou de plusieurs des établissements de l’entreprise ayant servi à commettre les faits incriminés
  • d’exclusion des marchés publics à titre définitif ou pour une durée de cinq ans au plus
  • d’affichage de la décision prononcée ou la diffusion de celle-ci soit par la presse écrite, soit par tout moyen de communication au public par voie électronique

En envoyant des données de santé au HDH, il faut se poser la question de ce risque.

Nous sommes conscients du fait que la société Microsoft, sur laquelle s’appuie la HDH, dispose bien de la certification “activité 5”. Mais celle-ci ne protège pas juridiquement car ce n’est pas Microsoft qui administre et exploite le système d’information contenant les données de santé du HDH, mais bien le HDH lui-même ou son sous-traitant “Open”. Le niveau de certification dont peut légalement se prévaloir le HDH en utilisant la plate-forme technique Microsoft est l’“activité 4”, insuffisant dans le cas présent puisqu’il ne concerne que les infrastructures techniques.

Pour s’en convaincre, il faut lire le “Point d’actualité sur la certification hébergeur de données de santé”9 du 6 mai 2019 publié par l’Association Pour la Sécurité des Systèmes d’Information de Santé (APSSIS). Cette note juridique s’appuie sur les FAQ10 publiées en 2018 et 2019 par le MES.

Il existe pourtant de nombreuses autres solutions techniques permettant d’avancer.

Dans un cadre seulement destiné à la recherche, la certification n’est pas obligatoire. Des plateformes d’intelligence artificielle telles que Teralab - déjà gérée par l’Etat (Institut Mines Télécom), celle de l’APHP ou de nombreuses autres peuvent être utilisées. Il existe de grands logiciels libres11, notamment issus de l’INRIA, permettant de mener à bien nos travaux dans de bonnes conditions.

Si des données de santé sont utilisées dans un cadre qui nécessite une certification “activité 5”, il existe de nombreuses sociétés en France disposant déjà d’une certification. L’AFHADS12, Association Française des Hébergeurs Agréés de Données de Santé, recense ces sociétés dans un annuaire.

Amicalement

Le collectif interhop.org