InterHop

Notre Actu

Données de Santé / Health Data Hub

Sûreté des entreprises. « En matière de souveraineté, on marche sur la tête ! » 22 juillet

  • “Rappelons que le gouvernement français vient par exemple de prendre la décision d’héberger les informations de santé de millions de Français sur les serveurs de l’américain Microsoft. C’est édifiant ! On marche sur la tête !”
  • “Il faudrait d’abord définir ce qu’est une solution souveraine, c’est-à-dire que ses utilisateurs et les contenus qu’ils y déposent échappent au caractère extraterritorial du Cloud Act.”
  • “Sûreté des entreprises. « En matière de souveraineté, on marche sur la tête ! »”

Un arrêté autorise la collecte de données de santé en cas d’”alerte sanitaire” 17 juillet

  • “Dans une délibération sur le projet d’arrêté datée du 11 juin et publiée le 2 juillet au Journal officiel, la Commission nationale de l’informatique et des libertés (Cnil) estime que plusieurs de ces institutions “ne devraient pas figurer dans l’arrêté”. Elle vise les organismes et services de recherche, les DDCSPP, l’ANS, la PDS et l’ATIH, au motif qu’ils agissent en tant que sous-traitant ou destinataire des données au sens du règlement général sur la protection des données (RGPD).”

Health Data Hub et Covid-19 : la sécurité des données médicales en débat devant le Conseil d’État 12 juin

Les données de santé de la population française, collectées massivement, seront-elles vraiment protégées ? 11 juin

  • “La mutuelle Malakoff Médéric a aussi pu avoir accès à des données pour « mesurer et comprendre les restes à charge réels des patients »”
  • “Ainsi OPBI Santé, fondée par deux « consultants en organisation hospitalière », souhaite par exemple accéder aux données pour déterminer les durées de séjour qui seraient les plus efficientes pour chaque type de pathologie. « Des durées atteignables et pertinentes, mais nécessitant les meilleures pratiques organisationnelles », vante la start-up.”

Health Data Hub : des organisations dénoncent un passage en force du projet dans le contexte d’urgence sanitaire 11 juin

  • “Les requérants demandent au Conseil d’Etat de suspendre l’arrêté en date du 21 avril 2020 confiant les données de santé liées au Covid-19 au Health Data Hub”
  • “Les requêtes déposées au Conseil d’Etat portent sur deux aspects de la protection des données : d’un côté, le risque de voir un Etat tiers (les Etats-Unis en l’occurrence) accéder aux données de santé françaises et, de l’autre, l’absence d’information préalable à destination du public (prévue par le RGPD).”
  • “La plateforme sera alimentée au cas par cas, au fur et à mesure des projets, rappelle Stéphanie Combes. On y trouve pour l’heure les données du réseau “Oscour” (Organisation de la surveillance coordonnée des urgences) issues de Santé Publique France, permettant de suivre les passages aux urgences pendant l’épidémie.”

Health Data Hub : « Le choix de Microsoft est un contresens industriel ! » 10 juin

  • “Il s’agit d’un signal politique inquiétant et aussi d’un contresens industriel ! Le choix de la société Microsoft pour assurer l’hébergement du Health Data Hub a été effectué sans créer un appel d’offres spécifique et a été mis en avant pour des raisons de conformité avec les prérequis de ce projet. Ces prérequis doivent aujourd’hui être remis en question.”
  • “Mais Microsoft aura à cœur de se rendre indispensable ! En effet, si la réversibilité du choix de Microsoft a souvent été soulignée, il faut se rappeler que le « cœur de métier » des sociétés qui assurent l’hébergement et le traitement en masse des données est justement d’ajouter progressivement des fonctions « propriétaires » afin d’empêcher que leurs clients ne puissent migrer facilement vers d’autres plateformes.”
  • “En raison de la diversité et du volume des données qu’il devrait rassembler, le Health Data Hub constitue l’un des plus importants projets d’administration électronique jamais menés en France et certainement l’un des plus stratégiques pour les géants des technologies.”

Le Health Data Hub attaqué devant le Conseil d’Etat 9 juin

  • “Une quinzaine de personnalités et d’organisationsont déposé un référé-liberté contre le déploiement,accéléré au nom de l’état d’urgence sanitaire, dela nouvelle plateforme de santé devant centraliserl’intégralité de nos données de santé et dontl’hébergement a été confié à Microsoft.”
  • “Ils ont cette fois été rejoints par le collectif InterHop,composé de professionnels du secteur de la santé etde l’informatique médicale, mobilisé depuis près d’unan contre le projet mais également par le médecinDidier Sicard, ancien président du Comité nationalconsultatif d’éthique, le professeur Bernard Fallery,spécialiste des systèmes d’information, le Syndicatnational des journalistes (SNJ), le Syndicat de lamédecine générale (SMG), l’Union française pour unemédecine libre (UFML), la représentante des usagersdu conseil de surveillance de l’APHP, l’Observatoirede la transparence dans les politiques de médicaments,l’Union générale des ingénieurs, cadres et techniciensCGT (UGICT-CGT) et l’Union fédérale médecins,ingénieurs, cadres, techniciens CGT Santé et Actionsociale (UFMICT-CGT Santé et Action sociale).”
  • “Health Data Hub « porte une atteinte grave et sûrementirréversible aux droits de 67 millions d’habitantsde disposer de la protection de leur vie privéenotamment celle de leurs données parmi les plusintimes, protégées de façon absolue par le secretmédical : leurs données de santé »”

La France mise 500 millions pour protéger ses start-up de l’appétit des Gafa 5 juin

  • “Bruno Le Maire et Cédric O vont présenter un plan destiné à préserver la souveraineté nationale dans le numérique, dont le montant total s’élève à 1,2 milliard d’euros.”
  • “Or, dans certains domaines, la France, pays aux 13.000 start-up, disposent de pépites qui sont autant de «proies», pouvant être rachetées par des géants du numériques extra-territoriaux, essentiellement américains”

L’Etat choisit Microsoft pour les données de santé et crée la polémique 5 juin

  • “Le gouvernement français a pris la décision d’héberger les informations de santé de millions de Français sur les serveurs de l’américain Microsoft, au détriment d’OVH, une société française.”
  • “La polémique ne pouvait pas éclater à un pire moment. Quelques jours avant de lancer avec l’Allemagne le projet d’informatique en ligne européenne Gaia-X pour la protection des données dans le « cloud computing », le gouvernement français doit défendre sa décision d’héberger les informations de santé de millions de Français sur les serveurs de l’américain Microsoft…”
  • “« Il faut être rapide parce que le Health Data Hub sauve des vies »”

Opinion Le Health Data Hub, un outil à la pointe de l’innovation numérique publique 5 juin

« La politique publique des données de santé est à réinventer » 4 juin

  • “Il faut donc remettre à plat le sujet, avec des orientations claires : rétablir la confiance et définir une stratégie ; couvrir l’ensemble du champ sanitaire et médico-social ; simplifier l’accès pour permettre d’aller vite ; développer l’utilisation des données en temps réel pour repérer les problèmes émergents ; ancrer l’architecture technique dans un écosystème décentralisé, respectueux des acteurs et propice à une maîtrise « souveraine » de l’hébergement des données ; garantir le respect du secret médical et du droit à la vie privée ; favoriser l’émergence de nouvelles technologies dans le respect d’une éthique et d’une déontologie exigeantes”

Pour une souveraineté européenne de la santé 27 mai

  • “Peut-on compter sur la pseudonymisation quand les attributs de chaque individu se comptent par milliers ?”
  • “Le comité (CESREES) en charge de se prononcer sur le caractère d’intérêt public des projets n’exercera son filtre que sporadiquement : seule une requête du ministre de la Santé, de la CNIL ou du CESREES lui-même provoquera l’examen. La CNIL avait pourtant recommandé une étude systématique.”

Données de santé : l’arbre StopCovid qui cache la forêt Health Data Hub 25 mai

  • “C’est une question de politique nationale, déjà soulevée dans The Conversation France, puisqu’il s’agit de faire gérer un bien public par un acteur privé, et sans espoir de réversibilité. Mais aussi une question politique de souveraineté numérique européenne puisque cet acteur étasunien se trouve soumis au Cloud Act, loi de 2018 qui permet aux juges américains de demander l’accès aux données sur des serveurs situés en dehors des États-Unis.”

Health Data Hub : pourquoi cette plateforme inquiète tant ? 18 mai

  • “Le rassemblement de ces données sera complété par deux fichiers récents liés au Covid-19, le SIDEP qui regroupe les données de Laboratoire et le Contact Covid où sont inscrites les personnes potentiellement contaminées au Covid-19. Autrement dit un nombre considérable de données de santé seront stockées via ce nouveau système.”
  • “L’objectif affiché de Health Data Hub serait de rendre le système de santé plus efficace et d’aider à la gestion de la crise sanitaire que nous traversons actuellement. À terme, toutes les données enregistrées sur le site de la sécurité sociale seront automatiquement intégrées au fichier.”

Health Data Hub: pourquoi le fichier national qui abritera nos données de santé suscite des craintes 17 mai

Health Data Hub : nos données de santé vont-elles être livrées aux Américains ? 14 mai

  • “le gouvernement passe en force son projet de plate-forme sanitaire géante au nom de l’état d’urgence. Problème : les données seraient hébergées par Microsoft qui pourrait sur seul ordre des États-Unis… les transférer outre-Atlantique”

Thomas Gomart (IFRI) : « Le Covid-19 accélère le changement de mains de pans entiers de l’activité économique au profit des plateformes numériques » 13 mai

  • “les données des consommateurs européens ont été exploitées par les plateformes américaines bien au-delà de ce que les utilisateurs pouvaient savoir. L’affaire Snowden, en 2013, a révélé au grand jour certains mécanismes.”
  • “Les plateformes américaines sont parties prenantes du complexe militaro-numérique. Tout en étant des entreprises privées versant peu de dividendes mais investissant beaucoup, elles sont des vecteurs de la puissance américaine. En peu de temps, elles ont inventé et offert des services auxquels les Européens ne veulent pas renoncer. Le danger, c’est de se focaliser sur le service sans vouloir voir l’architecture de puissance.”
  • “L’enjeu fondamental pour les Européens est d’être en mesure de conserver leur autonomie de pensée.”

Données de santé : pourquoi (et comment) vont-elles être hébergées sur des serveurs de Microsoft ? 11 mai

  • “un flicage éhonté de vos informations de santé”

La Cnil s’inquiète d’un possible transfert de nos données de santé aux Etats-Unis 8 mai

  • “La Cnil aurait-elle alors mal lu le contrat ? « Je ne dis pas ça. Mais je trouve que les faits sont un peu détournés. En tout cas, nous avons bien indiqué que les données ne pourront pas être transférées. Je peux même vous dire que c’est à la page 11 du contrat.»”

Le Health Data Hub ou le risque d’une santé marchandisée

  • “Il semble qu’ici se loge une fois de plus la contradiction de fond entre la logique du soin inconditionnel propre au secteur public ainsi qu’au serment d’Hippocrate et les exigences d’efficacité et de rentabilité aujourd’hui dénoncées par les personnels médicaux et hospitaliers à travers leurs mouvements de grève et leurs réactions à la crise du Covid-19”

Données de santé: l’Etat accusé de favoritisme au profit de Microsoft

  • “Le non-respect des principes d’égalité et de transparence dans le choix de Microsoft Azure”

Pour des données de santé au service des patients

  • “Selon un récent sondage, l’hôpital est même l’institution en laquelle les Français ont le plus confiance. Quel serait l’impact d’une perte de confiance si des fuites de données massives étaient avérées ?”

«Health Data Hub»: le méga fichier qui veut rentabiliser nos données de santé

  • “Le gouvernement est-il en train de mettre en place un « big brother médical » et d’offrir nos données de santé aux géants du numérique ?”

Opinion | Soignons nos données de santé

  • “Une fois brisée, la confiance ne se reforme plus”

Données de santé & intelligence artificielle : rencontre avec Emmanuel Bacry

  • “J’aurais tendance à penser qu’il faut ouvrir totalement les données dans un endroit totalement sécurisé, et ensuite on contrôle ce qui se passe.”

Comment les GAFAM et Capgemini s’invitent dans la mine d’or des données médicales

Marché public / appel d’offre

INFO OBS. Comment Microsoft a obtenu les données de santé des Français 31 juillet

  • “Plutôt qu’une publication du cahier des charges et du budget, ce projet en gestation depuis juin 2018 est passé par une procédure accélérée, discrète et sans mise en concurrence, par le biais de l’Union des Groupements d’Achats publics (Ugap), la centrale d’achat de l’Etat.”
  • “une aubaine pour Microsoft dont la candidature à l’hébergement du « Hub » était gérée par son directeur technique, Bernard Ourghanlian, [est] membre du Syntec. Et depuis, Guy Mamou-Mani ne cesse de vanter le choix de Microsoft.”

Déclaration commune sur les enjeux du numérique en santé 12 mai

  • “Une dizaine d’organisations représentant les usagers de la santé, les médecins et les industriels affirme d’une seule voix les principes de construction d’un cadre national en matière de numérique en santé.”

Protection des données de santé : MORIN-DESAILLY Catherine 16 juillet

  • Réponse de Monsieur Olivier Véran : “Les donnees de sante doivent rester de securisation et de gestion francaise.” “Oui il aura un appel d’offre pour le fonctionnement au quotidien.”

https://www.economie.gouv.fr/direct-video-conference-presse-sur-application-stopcovid-23-juin# 23 juin

  • Monsieur Cédric O : “Il sera normal que dans les mois qui vienne, nous puissions lancer un appel d’offre pour avoir un choix plus large et des spécifications qui permettront à chacun de se positionner”

Extraterrorialité américaine / CloudAct - RGPD

Google, Apple, Facebook et Amazon sermonnés par les politiques américains 30 juilleti

  • “un ancien employé d’Amazon : « [Les chefs] nous disent juste : “ne vous servez pas dans les données.” Mais c’est un véritable magasin de bonbons, tout le monde a accès à tout ce qu’il veut. »”

L’annulation du Privacy Shield doit s’appliquer immédiatement, tranche la Cnil européenne 27 juillet

  • “Aucun délai de grâce ne sera accordé aux entreprises européennes qui transfèrent des données vers les Etats-Unis, rapporte le CEPD. L’organe de protection des données au niveau de l’Union européenne prévient que tous les transferts effectués sur la base du Privacy Shield, annulé par le juge européen, sont désormais illégaux.”
  • “A ce stade, tout transfert vers les Etats-Unis comporte un risque”

Frequently Asked Questions on the judgment of the Court of Justice of the European Union in Case C-311/18 -Data Protection Commissioner v Facebook Ireland Ltd and Maximillian Schrems 23 juillet

  • “La CJUE a estimé que les exigences du droit américain, et en particulier certains programmes permettant l’accès des autorités publiques américaines aux données personnelles transférées de l’UE vers les États-Unis à des fins de sécurité nationale, entraînent des limitations de la protection des données personnelles qui ne sont pas circonscrites de manière à satisfaire à des exigences essentiellement équivalentes à celles requises par le droit de l’UE, et que cette législation n’accorde pas aux personnes concernées des droits de recours devant les juridictions contre les autorités américaines. Du fait de l’ampleur de l’atteinte portée aux droits fondamentaux des personnes dont les données sont transférées vers ce pays tiers, la CJUE a déclaré la décision d’adéquation du Privacy Shield invalide. “
  • “Les transferts effectués sur la base de ce cadre juridique sont illégaux”

L’UE sabre le Privacy Shield, l’accord qui autorisait le transfert des données vers les Etats-Unis 16 juillet

  • “En premier lieu, le juge européen estime que les programmes de surveillance américains ne sont pas compatibles avec les principes du Règlement général sur la protection des données (RGPD)”
  • “En second lieu, la Cour affirme que “les citoyens européens n’ont pas de recours effectifs aux Etats-Unis” leur permettant de maîtriser pleinement leurs données personnelles.”

La Cour invalide la décision 2016/1250 relative à l’adéquation de la protection assurée par le bouclier de protection des données UE-États-Unis 16 juillet

  • “Selon la Cour, les limitations de la protection des données à caractère personnel qui découlent de la réglementation interne des États-Unis portant sur l’accès et l’utilisation, par les autorités publiques américaines, de telles données transférées depuis l’Union vers ce pays tiers, et que la Commission a évaluées dans la décision 2016/1250, ne sont pas encadrées d’une manière à répondre à des exigences substantiellement équivalentes à celles requises, en droit de l’Union,par le principe de proportionnalité, en ce que les programmes de surveillance fondés sur cette réglementation ne sont pas limités au strict nécessaire.”

Mme Denis : CloudAct vs. RGPD

  • “S´agissant du Cloud-Act […] ce qui est certain est qu´il y a un conflit de loi sur l´article 48 du RGPD”

Évaluation du CCBE de la loi CLOUD Act des États-Unis

  • “En tant que destinataires d’un mandat en vertu du CLOUD Act, les entreprises technologiques se trouveront entre deux lois contradictoires sur les données. Étant donné que le RGPD limite strictement les circonstances dans lesquelles les données peuvent être légalement transférées à des pays tiers et prévoit de lourdes amendes en cas de violation (allant jusqu’à 4 % du chiffre d’affaires d’une entreprise), les entreprises sont prises entre le non-respect d’un mandat des États-Unis (pour violation d’une ordonnance du CLOUD Act) et le risque de sanctions monétaires voire pénales importantes (pour violation des dispositions du RGPD)”
  • “Le CLOUD Act menace de compromettre l’inviolabilité du conseil juridique sans offrir aux avocats ou à leurs clients aucune garantie procédurale pour protéger le secret professionnel accordé par le droit de l’UE.”

Rapport Gauvain (p28-30)

  • “Les données à caractère personnel des personnes physiques, comme les données des personnes morales sont concernées”
  • “Au total, quoi qu’il en soit, le champ des infractions concernées est très vaste et comprend sans aucun doute l’ensemble des infractions de nature économique, commerciale et financière susceptibles d’affecter les entreprises françaises”

Rapport Longuet

  • “pour répondre à cette exigence [de maîtrise des données], mais aussi afin de réaliser, autant que possible, des économies d’acquisition, de gestion, de maintenance et de formation, plusieurs administrations ont fait le choix de développer leurs propres solutions informatiques, à partir de logiciels dont les codes sources sont publics. C’est, par exemple, le cas de la Gendarmerie qui, depuis 2009, a équipé les 80.000 postes informatiques de ses services de solutions informatiques libres qui lui ont permis de regagner son indépendance et sa souveraineté vis-à-vis des éditeurs privés. Il serait très utile de réaliser rapidement le bilan de cette expérience unique et d’évaluer les possibilités de son extension à d’autres ministères.”

Arnaud Coustillière, directeur général de la DGNUM

  • “On a besoin de partenaires de confiance”
    • “un cadre juridique sans extraterritorialité”
    • “une communauté de destin”

Microsoft devient le premier hébergeur de données de santé certifié en France

  • “Microsoft s’investit beaucoup dans le big data et le machine learning en santé en France”

Selon l’avocat général Saugmandsgaard Øe, la décision 2010/87/UE de la Commission relative aux clauses contractuelles types pour le transfert de données à caractère personnel vers des sous-traitants établis dans des pays tiers est valide

Le Cloud Act, la riposte américaine au RGPD européen

  • “Mais toutes ces bonnes intentions n’ont pas pesé lourd face à la logique d’extraterritorialité (judiciaire et numérique) que prône l’administration américaine, laquelle a ratifié, toute juste deux mois avant la mise en oeuvre du RGPD, son Cloud Act, en élargissant ainsi ses prérogatives au monde entier. Le RGPD est de facto piétiné par le Cloud Act : particulièrement dans son article 48, qui précise notamment que les demandes de données par un pays tiers doivent être effectuées dans le cadre d’un accord international… alors que la nouvelle loi américaine est parfaitement unilatérale.”

Importance de la santé pour les Gafam

How the “Big 4” Tech Companies Are Leading Healthcare Innovation

  • “Selon Business Insider, Google Venture investit environ un tiers de ses fonds dans des startups de la santé et des sciences de la vie.”

Owkin annonce une extension de sa série A et atteint 18 millions de dollars levés

  • “Owkin annonce l’extension de sa série A auprès de Google Venture”

Alternatives au HDH-Microsoft

Teralab

  • “DATA SCIENCE FOR EUROPE : Plateforme d’intelligence artificielle et de big data”

Elixir

  • “ELIXIR est une organisation intergouvernementale qui rassemble des ressources en sciences de la vie de toute l’Europe. Ces ressources comprennent des bases de données, des outils logiciels, du matériel de formation, du stockage en nuage et des superordinateurs. L’objectif d’ELIXIR est de coordonner ces ressources afin qu’elles forment une infrastructure unique. “

GAIA-X

  • “GAIA-X: développer un écosystème européen dynamique”
  • “GAIA-X est un projet ambitieux et opportun qui créera une infrastructure de données européenne efficace, sécurisée, distribuée et souveraine dans le dialogue entre l’État, l’industrie et la recherche”
  • “Cependant, GAIA-X ne vise pas à construire le prochain fournisseur mondial de cloud, mais plutôt à permettre la participation des nombreux fournisseurs spécialisés à travers l’Europe et à les inclure dans une infrastructure de données distribuée et interconnectée”

Le CERN revient sur son projet Microsoft Alternatives (MALt) pour passer sur des solutions open source

  • “les conditions financières attractives qui avaient initialement attiré les responsables de services du CERN ont peu à peu disparu pour être remplacées par des systèmes basés sur des licences et des modèles commerciaux adaptés au secteur privé”

OVH-Outscale : le cloud souverain vraiment ressuscité ?

Health Data Hub : un collectif critique le choix Microsoft

  • “Le choix d’avoir recours à l’entreprise américaine Microsoft pour l’hébergement des données, sans qu’il n’y ait eu d’appel d’offre ou de mise en concurrence préalable interpellent les acteurs du logiciel libre français”

La France et l’Allemagne défendent un cloud souverain européen 5 juin

  • “Avec Gaia-X, la France et l’Allemagne parrainent un catalogue d’offres de stockage et de traitement de données porté par des acteurs transparents en matière de sécurité des données.”
  • “catalogue de services numériques portés par des hébergeurs et des éditeurs de logiciels qui se seront préalablement engagés sur des standards de nature à renforcer la confiance de leurs clients en matière de sécurité des données mais aussi de transparence des contrats”
  • “Il s’agit aussi de protéger les secrets industriels des entreprises contre les lois extraterritoriales qui autorisent, dans certains cas, la perquisition de données par des justices étrangères, américaines ou chinoises.”

Gaia-X : la France et l’Allemagne lancent leur Airbus européen du cloud 4 juin

Commission nationale de l’informatique et des libertés CNIL

Délibération no 2020-061 du 11 juin 2020 portant avis sur un projet d’arrêté fixant la liste des organismes ou services chargés d’une mission de service public pouvant mettre en œuvre des traitements de données à caractère personnel ayant pour finalité de répondre à une alerte sanitaire, dans les conditions définies à l’article 67 de la loi no 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés (demande d’avis no 20007810) 2 juillet

  • “[La CNIL] estime ainsi, compte tenu, d’une part, des missions attribuées à certains acteurs par les textes législatifs et réglementaires et, d’autre part, des informations transmises par le ministère, que certains organismes tels que les observatoires régionaux de santé ou encore les organismes et services chargés de la remontée des informations ou de la mise en œuvre des traitements de données (Agence du numérique en santé, Plateforme des données de santé, Agence technique de l’information sur l’hospitalisation) ne semblent pas agir en qualité de responsable de traitement. Ils ne devraient, dès lors, pas figurer dans l’arrêté.”
  • “La Commission considère que les traitements ne pourront être mis en oeuvre que dans le cadre d’une alerte sanitaire lancée par l’ANSP”
  • “Un certain nombre de projets récemment soumis pour autorisation et liés à la Covid-19, qui constitue un exemple d’alerte sanitaire, ne remplissent pas les critères énoncés”

Mesures d’organisation et de fonctionnement du système de santé nécessaires pour faire face à l’épidémie de covid-19 dans le cadre de l’état d’urgence sanitaire 20 avril

  • “Le contrat mentionne l’existence de transferts de données en dehors de l’Union européenne dans le cadre du fonctionnement courant de la plateforme”
  • “Les inquiétudes […] concernant l’accès par les autorités des États-Unis aux données transférées aux États-Unis, plus particulièrement la collecte et l’accès aux données personnelles à des fins de sécurité nationale”
  • “Avec des algorithmes à l’état de l’art à partir de clés générées par les responsables de la plateforme sur un boîtier chiffrant maîtrisé par la plateforme des données de santé […]. Elles seront conservées par l’hébergeur au sein d’un boîtier chiffrant, ce qui a pour conséquence de permettre techniquement à ce dernier d’accéder aux données”
  • “Eu égard à la sensibilité des données en cause, que son hébergement et les services liés à sa gestion puissent être réservés à des entités relevant exclusivement des juridictions de l’Union européenne”

Anonymisation vs. Pseudonymisation

Avis sur un projet de loi relatif à l’organisation et à la transformation du système de santé

  • “Au-delà d’un simple élargissement, cette évolution change la dimension même du SNDS, qui viserait à contenir ainsi l’ensemble des données médicales donnant lieu à remboursement”

Agence nationale de la sécurité des systèmes d’information ANSSI

Sénat, audition de M. Guillaume Poupard, directeur général de l’ANSSI 12 mai

  • “Pour insister sur les notions de souveraineté : ça m’inquiète de voir les géants du numérique avancer sur ces sujets de santé. On sait très bien qu’ils connaissent beaucoup sur nous : ce qu’on lit, nos mails, ce qu’on achète, où on se trouve…

    Si demain on leur confie en plus notre santé, il y a des conflits d’intérêt majeurs que je vois se profiler. Que se passera t-il un jour quand une société comme Apple décidera de faire de l’assurance santé. Comme ils savent tout, ils font des capteurs, des montres et ont accès à différents paramètres de santé, si on est un peu parano et je suis payé pour l’être, ils auront l’idée de faire de l’assurance santé avec évidemment ce que rêve tout assureur, assurer des gens en bonne santé et de refuser des gens qui risquent de pas être en bonne santé et qui coutent cher. Et dans ce modèle la, tout modèle mutualiste explose. A moins d’être en bonne santé on ne sera plus assuré”

https://www.economie.gouv.fr/direct-video-conference-presse-sur-application-stopcovid-23-juin# 23 juin

  • “La santé publique n’est pas un sujet commercial”
  • “La portabilité reste une préoccupation”. “Dans une phase de lancement il est normal d’aller au plus simple, maintenant il faut enclencher la portabilité”
  • “En phase opérationnelle, une solution qualifiée par l’ANSSI et non soumise a des lois extraterritoriales non européenne sera de très bon goût”

Conseil National de l’Ordre Des Medecins CNOM

Medecins et patients dans le monde des data, des algorithmes et de l’intelligence artificielle

  • Recommandation #1 : “Une personne et une société libres et non asservies par les géants technologiques. Ce principe éthique fondamental doit être réaffirmé à l´heure où les dystopies et les utopies, les plus excessives, sont largement médiatisées”
  • Recommandation #33 : “Le Cnom alerte enfin sur le fait que les infrastructures de données, plateformes de collecte et d’exploitation, constituent un enjeu majeur sur les plans scientifique, économique, et en matière de cyber-sécurité. La localisation de ces infrastructures et plateformes, leur fonctionnement, leurs finalités, leur régulation représentent un enjeu majeur de souveraineté afin que, demain, la France et l’Europe ne soient pas vassalisées par des géants supranationaux du numérique”
  • “Le respect des secrets des personnes est la base même de la confiance qu’elles portent aux médecins. Il faut donc mettre cette exigence éthique dans le traitement massif des data lors de la construction des algorithmes”

Conseil d’Etat

Conseil d’État, 19 juin 2020, Plateforme Health Data Hub 19 juin

  • “Dès lors, il y a lieu de prévoir que la Plateforme des données de santé complétera, dans un délai de cinq jours, les informations ainsi diffusées, pour mentionner, d’une part, le possible transfert de données hors de l’Union européenne, compte tenu du contrat passé avec son sous-traitant, et, d’autre part, les informations adaptées relatives aux droits des personnes concernées, compte tenu, le cas échéant, de l’impossibilité d’identifier ces dernières et de la nécessité du traitement pour l’exécution d’une mission d’intérêt public, envisagées aux articles 11 et 21 du règlement général sur la protection des données.””
  • “La Plateforme des données de santé, d’une part, fournira à la Commission nationale de l’informatique et des libertés, dans un délai de cinq jours à compter de la notification de la présente décision, tous éléments relatifs aux procédés de pseudonymisation utilisés, propres à permettre à celle-ci de vérifier que les mesures prises assurent une protection suffisante des données de santé traitées”

Conseil National des Barreaux CNB

Motion portant sur la creation du GIP Plateforme des donnees de sante dit HealthDataHub

  • “MET EN GARDE contre les risques de violation du secret médical et d’atteinte au droit à la vie privée”

Comite consultatif National d’Ethique CCNE

Données massives et santé : une nouvelle approche des enjeux éthiques

  • “Face au défi technologique que posent, pour la souveraineté nationale et européenne, le stockage, le partage et le traitement des données massives dans le domaine de la santé, le CCNE préconise le développement de plateformes nationales mutualisées et interconnectées. Ouvertes selon des modalités qu’il faudra définir aux acteurs publics et privés, elles doivent permettre à notre pays et à l’Europe de préserver leur autono-mie stratégique et de ne pas perdre la maîtrise de la richesse que constituent les données, tout en privilégiant un partage contrôlé qui est indispensable à l’efficacité du soin et de la recherche médicale.”

Numérique et Santé : Quels enjeux éthiques pour quelles régulations ?

Article de loi / officiel

Arrêté du 10 juillet 2020 prescrivant les mesures générales nécessaires pour faire face à l’épidémie de covid-19 dans les territoires sortis de l’état d’urgence sanitaire et dans ceux où il a été prorogé 11 juillet

  • “Les données ne peuvent être traitées que pour des projets poursuivant une finalité d’intérêt public en lien avec l’épidémie actuelle de covid-19 et jusqu’à l’entrée en vigueur des dispositions prises en application de l’article 41 de la loi du 24 juillet 2019 susvisée et au plus tard le 30 octobre 2020.”

Création d’une commission d’enquête sur la protection des données de santé 26 juin

  • “Après avoir examiné les conditions de passation d’un accord confiant la gestion des données de santé française à la société Microsoft, la commission d’enquête s’attachera à élaborer des préconisations pour renforcer la souveraineté numérique française et pour assurer une gestion plus sûre des données de santé de notre système de santé et de nos concitoyens. “

Décret n° 2020-551 du 12 mai 2020 relatif aux systèmes d’information 12 mai

Arrêté : épidémie de covid-19 dans le cadre de l’état d’urgence sanitaire 21 avril

Article 48 - RGPD - “Transferts ou divulgations non autorisés par le droit de l’Union”

  • “Toute décision d’une juridiction ou d’une autorité administrative d’un pays tiers exigeant d’un responsable du traitement ou d’un sous-traitant qu’il transfère ou divulgue des données à caractère personnel ne peut être reconnue ou rendue exécutoire de quelque manière que ce soit qu’à la condition qu’elle soit fondée sur un accord international, tel qu’un traité d’entraide judiciaire, en vigueur entre le pays tiers demandeur et l’Union ou un État membre, sans préjudice d’autres motifs de transfert en vertu du présent chapitre.”

Health Data Hub mission de préfiguration

  • “Le patrimoine de données de santé est une richesse nationale et chacun en prend peu à peu conscience.[…] La souveraineté et l´indépendance de notre système de santé face aux intérêts étrangers, ainsi que la compétitivité de notre recherche et de notre industrie dépendront de la vitesse de la France à s´emparer du sujet.”

Confirmation de Microsoft au Sénat

Naissance HealthDataHub : LOI n° 2019-774 du 24 juillet 2019 relative à l’organisation et à la transformation du système de santé

Loi pour une République numérique

  • “veiller à préserver la maîtrise, la pérennité et l’indépendance de son système d’information”
  • “encourager l’utilisation des logiciels libres et des formats ouverts lors du développement, de l’achat ou de l’utilisation, de tout ou partie, de ce système d’information”

Articles scientifiques

Estimating the success of re-identifications in incomplete datasets using generative models

  • “nous constatons que 99,98% des Américains seraient correctement ré-identifiés dans n’importe quel ensemble de données en utilisant 15 attributs démographiques”

The Biggest Cybersecurity Threats Are Inside Your Company

  • “IBM a constaté que 60% de toutes les attaques étaient perpétrées par des initiés”

Doctolib

Sur Doctolib, le secret médical est soigné avec beaucoup trop de légèreté 16 juillet

  • “le Conseil national de l’Ordre des médecins considère qu’un rendez-vous est déjà une donnée de santé, à protéger comme il se doit”
  • “depuis l’an dernier, pour «sécuriser son business », comme le mentionne un document interne daté du 8 avril 2019, la licorne a recours aux data centers d’une société américaine bien connue : Amazon Web Services, la division cloud du géant.”

Mes réponses aux fausses accusations portées contre Doctolib dans l’article publié le 16 juillet 2020 par Télérama 16 juillet

  • “Aucun salarié de Doctolib ne peut avoir accès aux données, à l’exception de 10 ingénieurs chargés de l’administration de la base de données dans le cadre d’une procédure très stricte et encadrée.”

Voir Zotero →