La Plateforme des données de santé (Health Data Hub)

11 juin 2020

La Plateforme des données de santé (PDS), infrastructure officiellement créée le 30 novembre 2019, est destinée à faciliter le partage des données de santé issues de sources très variées afin de favoriser la recherche. La CNIL, qui s’est prononcée sur les conditions de sa mise en œuvre, rappelle les enjeux pour les libertés individuelles et les règles à suivre pour les projets qui souhaiteraient en bénéficier.

Plateforme données de santé - Health data hub

Qu’est-ce que la Plateforme des données de santé (ou Health Data Hub) ?

La Plateforme des données de santé (PDS), également appelée « Health Data Hub » (HDH), a été créée par arrêté du 29 novembre 2019 pour faciliter le partage des données de santé, issues de sources très variées afin de favoriser la recherche.

Sa création a ainsi pour ambition de répondre au défi de l’usage des traitements algorithmiques (dits d’« intelligence artificielle ») dans le domaine de la santé et suit les préconisations du rapport du député Cédric Villani de mars 2018 intitulé « Donner un sens à l’intelligence artificielle : pour une stratégie nationale et européenne ». 

Les termes « Plateforme des données de santé » peuvent faire référence :

  • au groupement d’intérêt public (GIP) chargé de la mise en place et de l’administration de cette plateforme ; cette entité juridique a succédé à l’Institut des données de santé (INDS) ;
  • à la solution technique : une plateforme technologique permettant notamment le stockage et la mise à disposition de données.

Ses missions

Les missions de la Plateforme, qui sont prévues par l’article L. 1462-1 du Code de la santé publique, sont multiples. Elles consistent à :

  • réunir, organiser et mettre à disposition des données, issues notamment du système national des données de santé (SNDS) et promouvoir l'innovation dans l'utilisation des données de santé ;
  • informer les patients, promouvoir et faciliter l’exercice de leurs droits ;
  • contribuer à l'élaboration des référentiels de la CNIL ;
  • faciliter la mise à disposition de jeux de données de santé présentant un faible risque d'impact sur la vie privée ;
  • contribuer à diffuser les normes de standardisation pour l'échange et l'exploitation des données de santé ;
  • accompagner, notamment financièrement, les porteurs de projets sélectionnés dans le cadre d'appels à projets lancés à son initiative et les producteurs de données associés aux projets retenus.

Projets de recherche et formalités auprès de la CNIL

 

Dans le cadre de sa mission d’accompagnement des porteurs de projets, la Plateforme des données de santé a lancé fin janvier 2019 un appel à projets pour identifier les premières initiatives qui pourraient bénéficier de sa solution technique. Dix projets pilotes ont été sélectionnés. Un premier projet a été autorisé par la CNIL le 14 mai 2020.

Les projets de recherche qui seront menés sur la plateforme technologique doivent être autorisés par la CNIL lorsqu’ils ne peuvent faire l’objet d’une déclaration de conformité à une méthodologie de référence. Ils devront préalablement à cette autorisation avoir obtenu un avis :

  • d’un comité de protection des personnes (CPP) mentionné à l'article L. 1123-6 du Code de la santé publique pour les recherches impliquant la personne humaine ;
  • du comité éthique et scientifique pour les recherches, les études et les évaluations dans le domaine de la santé (CESREES), pour les recherches n'impliquant pas la personne humaine.

Lors de l’instruction de ces demandes d’autorisation, la CNIL vérifie que le traitement de données envisagé respecte l’ensemble des obligations prévues par le RGPD et la loi Informatique et Liberté, mais aussi par d’autres textes, tels que le code de la santé publique. Ces obligations portent aussi bien sur des aspects juridiques (proportionnalité, minimisation des données, droits des personnes) que techniques (sécurité des données, habilitations etc.).

Faire une déclaration de conformité à une méthodologie de référence (MR).

Déposer une demande d’autorisation recherche en santé auprès de la CNIL.

Pour certains projets ne nécessitant qu’un accès aux données de l’échantillon généraliste des bénéficiaires (EGB) et/ou aux « datamarts » et tableaux de bord du SNIIRAM, composante du Système nationale des données de santé (SNDS), une procédure accélérée auprès de la PDS est prévue.

Les enjeux « Informatiques et Libertés » de la Plateforme

Au regard des enjeux « Informatiques et Libertés » que soulèvent la création de la Plateforme des données de santé, notamment s’agissant de la nature des données traitées et de leur volume, la CNIL a eu plusieurs occasions de se prononcer sur sa mise en œuvre.

Dans son avis sur le projet de loi d’organisation et de transformation du système de santé du 31 janvier 2019 portant création de la Plateforme, la CNIL a notamment attiré l’attention sur :

  • l’importance particulière, en ce domaine,  d’un  niveau  élevé  de  garantie  des  droits  des  personnes,  et  notamment de la parfaite information de celles-ci sur l’usage de leurs données personnelles. Conformément  aux  observations  de  la CNIL, les missions de la plateforme ont  été  complétées  par  une  mission  additionnelle   d’information   des   patients  et  de promotion  et de facilitation de leurs droits ;
  • le nécessaire respect des principes de limitation et de minimisation des données par ces nouveaux traitements de recherche, présentant un caractère extrêmement sensible, dans le contexte du développement des techniques d’intelligence artificielle en santé ;
  • les risques inhérents à la concentration éventuelle de données sensibles sur la plateforme technologique, qui nécessiteront la mise en place de mesures de sécurité appropriées.

La CNIL s’est par la suite prononcée sur sa mise en œuvre anticipée en avril 2020 pour les besoins de la gestion de l’urgence sanitaire et de l’amélioration des connaissances sur la COVID-19. Dans son avis, la CNIL a notamment attiré l’attention sur :

  • les risques liés aux conditions de démarrage anticipé de la solution technique dans un contexte où la Plateforme de données de  santé  a  dû  accomplir  en  quelques  semaines  des  opérations,  dont  certaines  structurantes, pour  garantir  la  sécurité des données traitées qui étaient prévues pour s’étaler sur plusieurs mois.
  • les éventuels risques matériels et juridiques en matière d’accès direct par les autorités de pays tiers.

En outre, la Plateforme des données de santé a interrogé la CNIL sur les conditions techniques de sa mise en œuvre au regard des obligations issues du Règlement général sur la protection des données (RGPD) et de la loi Informatique et Libertés dans le cadre d’une demande de conseil. À cette occasion, la sécurité globale de la Plateforme a été évaluée et la CNIL a réitéré sa position sur la question des transferts de données hors de l’Union européenne.

Principaux rappels et recommandations de la CNIL

Sur la constitution d’un entrepôt de données au sein de la Plateforme

La CNIL a relevé que la centralisation des données au sein de la Plateforme des données de santé implique la création d’un entrepôt de données de santé en vue de leur mise à disposition auprès d’autres responsables de traitements.

Elle a ainsi rappelé que :

  • la constitution  de  cette  base,  qui  s’inscrit  dans  un  contexte  particulier  d’urgence  et  de  gestion d’une crise sanitaire en cours, ne saurait être encadrée par l’arrêté précité que pour la période d'état d'urgence sanitaire déclaré à l'article 4 de la loi du 23 mars 2020. Au-delà, ce traitement ne disposerait plus de base légale ;
  • des   éléments   essentiels   concernant   le   fonctionnement   de   la   Plateforme en dehors du contexte de l’état d’urgence sanitaire seront précisés dans le décret en Conseil d’Etat prévu à l’article L. 1461-7 du code de la santé publique ;
  • la centralisation de données au sein du « catalogue » de la Plateforme, qui constitue un entrepôt  de  données,  devra être  soumise  à  autorisation  préalable  de  la  CNIL,  en  application  des  dispositions  des  articles  44-3°  et  66  de  la  loi  Informatique  et  Libertés.

Sur la sécurité globale de la Plateforme

La CNIL considère que la sécurité des données mises à disposition par la Plateforme est assurée, sous réserve de la mise en œuvre des mesures prévues dans le plan d’action défini dans l’homologation de la Plateforme. Cependant, comme pour tout traitement de données, les mesures de sécurité devront être réévaluées régulièrement pour prendre en compte les évolutions de la plateforme et des risques associés.

La CNIL recommande également :

  • sur les imports/exports de données, qu’une vigilance particulière soit de mise afin de garantir l’anonymat effectif des exports conformément aux exigences du référentiel de sécurité du système national des données de santé et à la position prise par la CNIL dans sa délibération n° 2020-044 du 20 avril 2020 portant avis sur un projet d'arrêté complétant l’arrêté du 23 mars 2020 ;
  • qu’une vision plus globale de la sécurité de la plateforme soit donnée aux responsables de traitement afin qu’ils soient parfaitement informés des conditions de sécurité dans lesquelles les données qu’ils lui confient seront traitées.

En outre, s’agissant des conditions de démarrage anticipé de la solution technique, la CNIL a indiqué que la Plateforme des données de santé devra s’assurer que cette mise en œuvre anticipée n’engendre pas de risque supplémentaire pour les personnes concernées.

Sur les transferts de données hors Union européenne

La CNIL a estimé que des données pourront être transférées hors de l’Union Européenne dans le cadre du fonctionnement courant de la solution technique, notamment pour gérer et assurer le bon fonctionnement du système informatique.

Elle a également pris acte de ce que ce transfert sera encadré par le biais de clauses contractuelles types, conformément au RGPD.

À ce titre, elle rappelle :

  • les inquiétudes soulevées à plusieurs reprises par le Comité européen de la protection des données (CEPD) concernant l’accès par les autorités nord-américaines aux données transférées aux États-Unis, plus particulièrement la collecte et l'accès aux données personnelles à des fins de sécurité nationale en vertu de l'article 702 de la loi américaine FISA et du décret (« Executive Order ») 12 333 ;
  • que les dispositions du RGPD interdisent toute demande d’accès d'une juridiction ou d'une autorité administrative d'un pays tiers, adressée à des entreprises dont les traitements sont soumis au RGPD, en dehors d’un accord international applicable ou, selon l’interprétation du CEPD, de l’application d’une dérogation relative à l’intérêt vital de la personne concernée ;
  • que les porteurs de projet recourant au service de la Plateforme doivent être informés de ce transfert.

Au vu de ce contexte et de la sensibilité et du volume des données ayant vocation à être hébergées au sein de la PDS, pour lesquelles le niveau de protection technique mais aussi juridique le plus élevé doivent être assurés, y compris en matière d’accès direct par les autorités de pays tiers, la CNIL a fait part de son souhait qu’une vigilance particulière soit accordée aux conditions de conservation et aux modalités d’accès aux données.

À plus long terme, elle a pris acte de ce qu’il lui a été indiqué que l’entrepôt appelé à être constitué au sein de la Plateforme des données de santé n’est pas lié aux services d’un unique prestataire. Elle souhaiterait, eu égard à la sensibilité des données en cause, que son hébergement et les services liés à sa gestion puissent être réservés à des entités relevant exclusivement des juridictions de l’Union européenne.

À venir

La CNIL devrait être saisie prochainement pour avis d’un projet de décret modifiant le décret n°2016-1871 du 26 décembre 2016 relatif au traitement de données personnelles dénommé « système national des données de santé ». Celui-ci devrait notamment venir préciser :

  • la répartition des responsabilités entre la Plateforme des données de santé et les porteurs de projets ;
  • les modalités d’information des personnes concernées par le SNDS  et d’exercice de leurs droits.
Texte reference

Pour plus d’informations sur les obligations qui incombent au responsable de traitement

Les mots clés associés à cet article