Prédation de nos données de santé : SantéNathon ne lâche pas l’affaire
Les conséquences des stratégies économiques et technologiques d’un État peuvent parfois prendre des tournures très concrètes. En matière de données de santé des citoyens, beaucoup pouvaient penser que l’humanisme des professionnels de santé pouvait suffire pour protéger les données de santé des citoyens, dans le respect du secret médical. Mais la pression concurrentielle et l’éthique font rarement bon ménage.
En novembre 2019, nous avions confié les colonnes de ce blog au collectif Interhop qui promeut l’usage des logiciels libres et de l’open source en santé. Il fait partie du collectif SantéNathon qui a lancé une démarche de recours à l’encontre du projet très discuté du Health Data Hub, une plateforme nationale de données de santé dont l’opérateur choisi par les autorités est l’entreprise Microsoft. À l’heure où le Privacy Shield est tombé, à l’heure du RGPD, à l’heure où la « souveraineté numérique » n’est plus seulement un sujet stratégique mais aussi sécuritaire, nous confions de nouveau ces colonnes pour un point d’étape sur les enjeux et les actions en cours.
Plateforme Nationale des Données de Santé
À l’occasion d’une audience prévue au Conseil d’État ce 08 octobre 2020, cette petite vidéo a été tournée devant les locaux d’une entreprise bien connue.
La genèse du projet Health Data Hub
Tout commence en janvier 2016 avec la loi de modernisation du système de santé. Le Système national des données de santé (SNDS) est créé. Initialement il est limité aux données médico-administratives et met à disposition des données individuelles de santé issues de 3 bases de données :
- Les données de la carte vitale,
- Les données de la tarification des établissements de santé,
- Les données statistiques relatives aux causes médicales de décès.
En juillet 2019, la loi élargit considérablement le SNDS et crée le Health Data Hub ou Plateforme des Données de Santé — PDS. La CNIL s’alarme du changement de paradigme engendré : « Au-delà d’un simple élargissement, cette évolution change la dimension même du SNDS, qui vise à contenir ainsi l’ensemble des données médicales donnant lieu à remboursement ».
En plus du SNDS historique voici à titre d’exemples les bases qui doivent être hébergées au sein de la PDS :
- la base OSCOUR : base de données relative aux passages aux urgences en France. Pour chaque patient admis aux urgences, elle recueille les éléments suivants : code postal de résidence, date de naissance, sexe, date et heure d’entrée et de sortie, durée de passage, mode d’entrée, provenance, mode de transport, classification de gravité, diagnostic principal et associés, mode de sortie, destination pour les patients mutés ou transférés.
- le Registre France Greffe de Moelle : données permettant d’étudier le parcours de soin entre l’annonce du don et le don de Moëlle.
- Base des 500 000 angioplasties : données permettant d’étudier l’impact des stents dans la vie réelle.
- la cohorte I-Share : données permettant d’analyser la santé des étudiants.
- SIVIC : données nationales de suivi de la prise en charge de patients hospitalisés COVID19 (depuis mars 2020).
- STOIC : bases de données de scanners thoraciques issus de plusieurs centres ainsi que des données cliniques.
- COVID TELE : formulaires d’orientation concernant la COVID19 issues d’application en santé et outils de télémédecine.
Cette liste est loin d’être exhaustive ; les données de cabinets de médecins généralistes, des hôpitaux, des laboratoires, d’imagerie doivent aussi remplir cette plateforme. Toutes ces bases seront centralisées et liées (on parle d’appariement) pour former le catalogue de données de la PDS.
Vives inquiétudes quant au choix de Microsoft Azure
Le 10 décembre 2019, l’alerte est lancée. Dans une tribune parue dans Le Monde, un collectif initié par des professionnels du secteur de santé et de l’informatique médicale s’inquiète. En effet, la PDS qui regroupe l’ensemble des données de santé de plus de 67 millions de personnes sera hébergée chez Microsoft Azure, le cloud du géant américain. Ces données constituent la part la plus sensible des données à caractère personnel car elles sont protégées par le secret médical.
Progressivement, ce collectif évolue. Il s’appelle maintenant SanteNathon.org. C’est une rencontre inédite de 18 personnes physiques et morales issues :
- de l’industrie du logiciel libre :
- Conseil National du Logiciel Libre (CNLL)
- Ploss Auvergne-Rhône-Alpes
- SoLibre
- NEXEDI
- des associations de patients et de volontaires :
- Association Constances
- Association les “Actupiennes”
- Association Française des Hémophiles
- Mme Marie Citrini, représentante des Usages des Hôpitaux de Paris
- des associations de professionnels de santé :
- Syndicat National des Jeunes Médecins Généralistes (SNJMG)
- Syndicat de la Médecine Générale (SMG)
- Union Française pour une Médecine Libre (UFML)
- M. Didier Sicard, médecin et professeur de médecine à l’Université Paris Descartes).
- d’ingénieurs :
- l’Union Fédérale Médecins, Ingénieurs, Cadres, Techniciens (UFMICT-CGT)
- l’Union Générale des Ingénieurs, Cadres et Techniciens (UGICT-CGT)
- l’Association interHop
- Monsieur Bernard Fallery, professeur émérite en systèmes d’information
- d’organisations de la société civile :
- L’Observatoire de la transparence dans les politiques du médicament
- Le Syndicat National des Journalistes (SNJ)
Ce collectif dénonce le choix de Microsoft essentiellement à cause de l’absence d’appel d’offre et des effets de l’extraterritorialité du droit américain. En effet Microsoft est soumis au CLOUD Act qui permet aux autorités américaines de mettre la main sur des données détenues par des entreprises américaines même si les données sont hébergées dans l’Union Européenne.
Pire encore la Cour de Justice de l’Union Européenne a récemment révélé que les renseignements américains n’ont aucune limitation quant à l’utilisation des données des Européen⋅ne⋅s. En ce sens, elle a invalidé l’accord facilitant le transfert des données entre les USA et l’Union Européenne, le “Privacy Shield” ou « Bouclier de Protection des Données ».
Menacée directement par les conséquences de cette décision qui rend illicites tous les transferts de données en dehors des frontières de l’Union, Facebook fait pression sur l’Union Européenne. Elle menace de stopper ses services d’ici la fin de l’année.
Le bras de fer entre les États-Unis et l’Union Européenne est engagé. Nos données de santé ne doivent pas être prises en otage. Le collectif SantéNathon se bat pour une recherche garante du secret médical et protectrice de nos données.
Les actions initiées par le collectif SantéNathon
Un premier recours a été déposé le 28 mai 2020 devant le Conseil d’Etat. La juge concluait à plusieurs irrégularités dans le traitement des données sur la plateforme et des risques majeurs pour les droits et libertés fondamentales. Cependant, le Conseil d’État considérait, qu’au moment du jugement, la société Microsoft intégrait la liste des organisations ayant adhéré au « Bouclier de protection des données ». Le transfert des données était donc licite. Ce n’est plus le cas aujourd’hui !
Les parties requérantes ont donc déposé un nouveau référé liberté. Elles demandent par conséquent au Conseil d’État de prendre la mesure de l’invalidation du “Privacy Shield” et des risques en matière de respect de la vie privée. En ce sens, elles sollicitent la suspension du traitement et la centralisation des données au sein du Health Data Hub.
Elles font également valoir que les engagements contractuels conclus entre la société Microsoft et le Health Data Hub sont insuffisants.
Une audience au Conseil d’État est donc prévue le 8 octobre 2020…
— Collectif SantéNathon
Image d’en-tête : Luis Jiménez Aranda — La sala del hospital en la visita del médico en jefe (1889). Wikipédia.