Plateforme des données de santé

La Plateforme des données de santé (PDS), également appelée « Health Data Hub » (HDH), a été créée par arrêté du 29 novembre 2019 pour faciliter le partage des données de santé pour la recherche. Elle répondrait au défi de l’usage des traitements algorithmiques d’intelligence artificielle dans le domaine de la santé en suivant les préconisations du rapport du député Cédric Villani.

Ses missions sont énumérées dans l’article L. 1462-1 du Code de la santé publique  :

• Réunir, organiser et mettre à disposition des données, issues notamment du système national des données de santé (SNDS) et promouvoir l’innovation dans l’utilisation des données de santé ;
• Informer les patients, promouvoir et faciliter l’exercice de leurs droits ;
• Contribuer à l’élaboration des référentiels de la CNIL ;
• Faciliter la mise à disposition de jeux de données de santé présentant un faible risque d’impact sur la vie privée ;
• Contribuer à diffuser les normes de standardisation pour l’échange et l’exploitation des données de santé ;
• Accompagner, notamment financièrement, les porteurs de projets sélectionnés dans le cadre d’appels à projets lancés à son initiative et les producteurs de données associés aux projets retenus.

Les projets de recherche exploitant cette plateforme doivent soit faire l’objet de conformité à une méthodologie de référence, soit obtenir l’autorisation de la CNIL.

Les recommandations de la CNIL

La centralisation de données au sein du « catalogue » de la Plateforme, qui constitue un entrepôt de données, devra être soumise à autorisation préalable de la CNIL, en application des dispositions des articles 44-3° et 66 de la loi Informatique et Libertés.

La CNIL affirme que la sécurité des données mises à disposition par la Plateforme est assurée, sous réserve de la mise en œuvre des mesures prévues dans le plan d’action défini dans l’homologation de la Plateforme. Les mesures devront être régulièrement réévaluées en fonction des évolutions de la plateforme.

La CNIL recommande une vigilance particulière pour garantir l’anonymat effectif des exports de données.

Malheureusement, nous semble-t-il, la CNIL estime que les données pourront être transférées hors de l’Union Européenne, « dans le cadre du fonctionnement courant de la solution technique, notamment pour gérer et assurer le bon fonctionnement du système informatique. » Doit-on conclure à l’incapacité de l’UE à gérer et assurer le bon fonctionnement d’un système informatique en son sein ?

Ces transferts seront certes encadrés par les clauses contractuelles type.

Mais comme le reconnaît elle-même la CNIL, on a de quoi s’inquiéter sur l’attitude des États-Unis, l’article 702 de leur loi FISA – Foreign Intelligence Surveillance Act et l’ordre exécutif 12 333 leur fournissant toute latitude pour abuser des données personnelles des personnes étrangères.

Le bilan de l’Union Européenne sur la protection des données personnelles et de la vie privée de ses citoyens contre les abus américains est exécrable, et a mis fin à l’illusion de la sphère de sécurité.

Le bilan du bouclier de protection des données UE-États-Unis élaboré en toute hâte en juillet 2016 pour remplacer la sphère de sécurité invalidée par la Cour de Justice de l’Union Européenne, est pour le moins mitigé. L’UE n’a ainsi pas obtenu  que la directive présidentielle 28, qui prévoyait des mesures de protection de la vie privée pour les ressortissants non américains dans le cadre de la sécurité et du renseignement, soit intégrée à la section 702 du FISA, lorsqu’elle fut à nouveau autorisée.

La CNIL souhaite que l’hébergement et les services liés à la gestion de la PDS puissent être réservés à des entités relevant exclusivement des juridictions de l’Union européenne. Il nous semble que cette condition devrait être une condition sine qua non à l’existence même de la plateforme.