Un collectif d’entreprises et d’associations défenseuses du logiciel libre1 ainsi que de patients et de médecins - dont Pr Didier Sicard - s’élève contre l’arrêté du Ministre des Solidarités et de la Santé du 21 avril 20202 prescrivant les mesures d’organisation et de fonctionnement du système de santé nécessaires pour faire face à l’épidémie de covid-19 dans le cadre de l’état d’urgence sanitaire.
Il est demandé au Ministre des Solidarités et de la Santé de suspendre cet arrêté en ce qu’il confie la collecte et le traitement de données de santé à la plateforme Health Data Hub HDH, hébergée chez l’offre Cloud de Microsoft.
Il doit être mis fin aux atteintes graves et manifestement illégales au droit au respect de la vie privée et au droit à la protection des données.
Le caractère sensible de la données de santé, la non minimisation de la collecte et le transfert irréversible des données en dehors de notre juridiction européenne sont pointés.
Compte-rendu
Concernant le choix de Microsoft
Microsoft, prestataire technique du Health Data Hub, est certifié hébergeur de données de santé, et notamment pour l’activité 53 soit l’infogérance qui prévoit “l’administration et l’exploitation du système d’information contenant les données de santé”4.
Le HDH reconnait ne pas être certifié pour l’infogérence. Cependant la manipulation, transfert, et gestion des données sera réalisée par les équipes du HDH.
Le HDH, étant soumis au référentiel du SNDS5, se considère comme étant d’un niveau de sécurité plus important. Cette homologation aurait été réalisée en présence de la CNIL et de l’ANSSI. Il s’agit d’une auto-homologation prononcée par la direction du HDH.
Comme indiqué dans le rapport de la CNIL sur l’arrêté du 21 avril 20202, Microsoft garantit la localisation des données au repos, à savoir les sauvegardes. On apprend que les données au repos sont localisées aux Pays-Bas. Par opposition, Microsoft ne garantit pas la localisation des données dites de transit, c’est à dire les données en cours d’analyse.
Concernant la réversibilité et la portabilité de la plateforme
Les échanges récents avec OVH, par tweet interposés sont rappelés6 7 8. Une étude concluerait à un différentiel net entre Microsoft et OVH, en particulier sur la capacité à déployer des plateformes à la volée.
Les développements ont été réalisés avec l’outil Terraform qui permettrait d’utiliser simplement divers clouders9.
La directrice du HDH évoque des discussions très récentes avec le clouder Scaleway qui auraient fait des éloges sur plateforme HDH.
La directrice du Health Data Hub rappelle qu’une quarantaine de services Azure sont utilisés par le HDH, en accord avec l’ANSSI.
Bases de données actives sur le HDH
- les données du réseau “Oscour” (Organisation de la surveillance coordonnée des urgences) issues de Santé Publique France, permettant de suivre les passages aux urgences pendant l’épidémie10
- SIVIC : fichier établit suite aux attaques du Bataclan; réutilisé lors de la crise des gilets jaunes
- PMSI dit “Fast Track”11
Concernant la pseudonymisation
Les données issues de la Caisse Nationale d’Assurance Maladie sont pseudonymisées via la méthodologie “Fonction d’Occultation des Identifiants Nominatifs” FOIN1/FOIN212. Un 3ième niveau de pseudonymisation est appliqué par le HDH13, qui permet d’avoir des pseudonymes différents dans chacun des projets au sein du HDH. Il a été rappelé que les données pseudonymisées sont des données personelles et qu’elles restent parmi les données les plus sensibles.
Concernant le RGPD et le CloudAct
Maître JB. Soufron, avocat des requérants, est revenu sur le respect du RGPD, en particulier :
- le risque de transfert des données en vertu du Cloud Act
- l’information du transfert en vertu des articles 13 et 14 du RGPD
Concernant l’état d’urgence et la pérénité des données
Le HDH n’aura plus d’existence légale à la fin de l’état d’urgence sanitaire. C’est d’ailleurs ce qui a justifié la publication de l’arrêté du 21 Avril2. Un projet de décret d’application de la loi de juillet 201914 visant à inscrire le fonctionnement de cette plateforme dans le droit commun et précisant la répartition des responsabilités est en attente.
Le HDH indique qu’à l’issue de l’état d’urgence les données ne seront pas effacées, mais archivées.
Le HDH rappelle qu’il est constitué comme un entrepôt de données. En particulier que l’approche consiste donc à amasser les données puis de poser des questions. Cela s’oppose à l’approche partimonieuse où l’on définit des problématiques de recherche, puis on rassemble les données nécessaires.
-
Arrêté du 21 avril 2020 complétant l’arrêté du 23 mars 2020 prescrivant les mesures d’organisation et de fonctionnement du système de santé nécessaires pour faire face à l’épidémie de covid-19 dans le cadre de l’état d’urgence sanitaire ↩ ↩2 ↩3
-
Point d’actualité sur la certification hébergeur de données de santé ↩
-
https://twitter.com/olesovhcom/status/1266419803247595520?s=19 ↩
-
Health Data Hub : des organisations dénoncent un passage en force du projet dans le contexte d’urgence sanitaire ↩
-
SNDS : la CNIL tousse sur la sécurité du grand fichier de santé ↩
-
Mesures d’organisation et de fonctionnement du système de santé nécessaires pour faire face à l’épidémie de covid-19 dans le cadre de l’état d’urgence sanitaire ↩
-
Naissance HealthDataHub : LOI n° 2019-774 du 24 juillet 2019 relative à l’organisation et à la transformation du système de santé ↩