Faute de donnée le Health Data Hub change de stratégie : il lance un appel à projets AAP “à la constitution d’entrepôts de données de santé hospitaliers”. C’est un appel à données provenant des “établissements de santé publics et privés”.

Une centralisation à marche forcée !

Bloqué par son absence d’autorisation CNIL, la Plateforme Nationale des Données de Santé va ainsi débloquer 50 millions d’euros1 via la Banque Publique d’Investissement (BPI) pour la constitution d’entrepôts locaux ayant plus tard l’obligation de lui envoyer les données collectés.

Ainsi lit-on dans l’appel à projets que InterHop s’est procuré :

“Le premier versement des financements est conditionné à la signature de la convention de collaboration au réseau des EDS et de partage de données avec le Health Data Hub, et le dernier versement à l’exécution de cette convention.”

Le candidat doit aussi s’engager, dès sa sélection, à :

“Identification d’un périmètre de données ayant vocation à être partagé au niveau national par le biais du HDH et justification de sa pertinence (qualité, potentiel de réutilisation et croisement avec les données de la base principale du SNDS) ;”

En janvier 20222 l’association InterHop a révélé que la demande d’autorisation CNIL, pourtant obligatoire pour faire fonctionner tout “Entrepôt de Données de Santé”3, avait finalement été retirée à la demande du Ministère de la Santé lui-même. Cette autorisatiion est nécessaire pour ajouter toute nouvelle base de données au catalogue du HDH (fixé par arrêté).

En fin tacticien le gouvernement a jugé que la protection des données de santé était un sujet à risque politique. La demande d’autorisation a donc été enlevée, et cela sûrement jusqu’aux prochaines élections législatives. Cette autorisation est pourtant obligatoire au lancement du HDH4. Attendons-nous les résultats des législatives pour voir reprendre le fonctionnement du HDH ? Est-il légitime de bloquer la recherche pour des problématiques électorales ?

De quelle interopérabilité parlons-nous ?

L’appel à donner évoque la question de l’interopérabilité.

“Etre ou viser à être conforme aux standards d’interopérabilité de la recherche permettant la mise en commun de ces données avec d’autres EDS ou bases en fonction des opportunités d’ici la fin de l’accompagnement de l’AAP, pour passage à l’échelle vers la donnée de santé massive ; “

InterHop promeut ce sujet depuis plusieurs années. Nous ne pouvons que rejoindre le HDH qui lui réserve une place centrale. Mais le diable se cache dans les détails ! Dernièrement la Délégation du Numérique en Santé s’est prononcée en faveur de l’achat d’une terminologie nommée snomed5. Sa licence d’exploration est excessivement contraignante. Surtout sa gouvernance ne laisse pas voix au chapitre pour la France. Être prisonnier dans l’utilisation des termes médeciaux est un risque qu’il ne faut pas prendre. D’autre terminologies opensources doivent donc être promues. L’OMS (et donc la France) maintient l’ICD10 et l’ICD11 ; celles-ci doivent être priviligiées. Quels types d’interopérabilité seront donc mises en avant ?

On oublie la confiance dans le cloud

Enfin et surtout, dans son appel à projets, le HDH préconise de :

“Privilégier l’utilisation de solutions Cloud de confiance6 (nationales/européennes) lorsque disponibles et, à défaut, d’autres solutions Cloud”

Le cloud de confiance devait réunir le meilleur de deux mondes7. Il permettrait d’utiliser les technologies propriétaires américaines (étant faussement admisses comme toujours meilleures) mais sans les risques liés à l’hébergement des données de santé chez des acteurs dépendant des lois extra-territoriales américaines. Nous rappelons que ce risque est pointé conjointement pas la Cour de justice de l’Union européenne8 (CJUE), le Conseil d’Etat9, la CNIL10 et la CNAM11. Problème : le cloud de confiance n’a pour le moment aucun existence réelle, il reste du domaine de l’idée. La société Bleue devant naitre de l’union de Microsoft, Orange Business Services et Capgemini et devant permettre sa concrétisation, n’existe pas (pas même un simple site internet). Elle ne devrait pas voir le jour avant 2023. Pourtant le ministère de la santé s’est engagé devant la présidence de la CNIL a éliminer le risque extra-terriorial avant novembre 202212 !

La pression est d’autant plus forte qu’après la décision de la plus haute juridiction de l’union européenne (CJUE) d’annuler les transferts de données transatlantiques plusieurs états membres de l’union commencent l’application in concreto de cette jurisprudence. Sur cette base ont donc été condamné l’utilisation de Google Analytics13, Google Fonts14, Cloudflare15 et Mailchimp16.

Adjoindre à cet appel à projets, l’obligation de centralisation de l’ensemble des données de santé chez Microsoft Azure est donc particulièrement intentatoire au libertés fondamentales et contraire à la récente jurisprudence de l’Union Européenne.

Interhop alerte :

  • Tant que le HDH est hébergé chez Microsoft Azure, il est impossible de conditionner la validation des candidatures à la centralisation des données de santé au HDH (et de quelque façon que ce soit).
  • Il est impossible que les nouveaux entrepôts ainsi créés soient hébergés par des entités assujetties aux lois américaines. D’ailleurs ceci ne serait pas conforme aux dernières recommandations de la CNIL sur les entrepôts de donnée17.

  1. 50M d’euros pour la constitution d’entrepôts de données de santé hospitaliers 

  2. https://twitter.com/interchu/status/1479455213270585352 

  3. Traitements de données de santé : comment faire la distinction entre un entrepôt et une recherche et quelles conséquences ? 

  4. La Plateforme des données de santé (Health Data Hub) 

  5. Informatique de santé: la France adopte la terminologie Snomed CT (DNS) 

  6. Circulaire n° 6282-SG du 5 juillet 2021 relative à la doctrine d’utilisation de l’informatique en nuage par l’État 

  7. Vers un Cloud de Confiance ? 

  8. La Cour invalide la décision 2016/1250 relative à l’adéquation de la protection assurée par le bouclier de protection des données UE-États-Unis 

  9. Saisi en référé par le collectif SantéNathon, le Conseil d’Etat reconnait que le gouvernement américain peut accéder sans contrôle aux données de santé des Français hébergées par le Health Data Hub chez Microsoft 

  10. https://cnll.fr/documents/35/OBSERVATIONS_DE_LA_CNIL_8_OCTOBRE_2020.pdf 

  11. Avis du Conseil de la CNAM sur les travaux menés par la Commission mixte (COR et CSITN) sur les données de santé 

  12. La Plateforme des données de santé (Health Data Hub) 

  13. Utilisation de Google Analytics et transferts de données vers les États-Unis : la CNIL met en demeure un gestionnaire de site web 

  14. Un tribunal allemand condamne l’intégration de Google Fonts dans un site 

  15. Le sort des flux de données européennes vers les Etats-Unis est toujours en suspens  

  16. RGPD : Mailchimp retoqué par une CNIL allemande  

  17. La CNIL adopte un référentiel sur les entrepôts de données de santé