La Plateforme des données de santé (Health Data Hub)
La Plateforme des données de santé (PDS), infrastructure officiellement créée le 30 novembre 2019, est destinée à faciliter le partage des données de santé issues de sources très variées afin de favoriser la recherche. La CNIL, qui s’est prononcée sur les conditions de sa mise en œuvre, rappelle les enjeux pour les libertés individuelles et les règles à suivre pour les projets qui souhaiteraient en bénéficier.

Qu’est-ce que la Plateforme des données de santé (ou Health Data Hub) ?
La Plateforme des données de santé (PDS), également appelée « Health Data Hub » (HDH), a été créée par arrêté du 29 novembre 2019 pour faciliter le partage des données de santé, issues de sources très variées afin de favoriser la recherche.
Sa création a ainsi pour ambition de répondre au défi de l’usage des traitements algorithmiques (dits d’« intelligence artificielle ») dans le domaine de la santé et suit les préconisations du rapport du député Cédric Villani de mars 2018 intitulé « Donner un sens à l’intelligence artificielle : pour une stratégie nationale et européenne ».
Les termes « Plateforme des données de santé » peuvent faire référence :
- au groupement d’intérêt public (GIP) chargé de la mise en place et de l’administration de cette plateforme ; cette entité juridique a succédé à l’Institut des données de santé (INDS) ;
- à la solution technique : une plateforme technologique permettant notamment le stockage et la mise à disposition de données.
Ses missions
Les missions de la Plateforme, qui sont prévues par l’article L. 1462-1 du Code de la santé publique, sont multiples. Elles consistent à :
- réunir, organiser et mettre à disposition des données, issues notamment du système national des données de santé (SNDS) et promouvoir l'innovation dans l'utilisation des données de santé ;
- informer les patients, promouvoir et faciliter l’exercice de leurs droits ;
- contribuer à l'élaboration des référentiels de la CNIL ;
- faciliter la mise à disposition de jeux de données de santé présentant un faible risque d'impact sur la vie privée ;
- contribuer à diffuser les normes de standardisation pour l'échange et l'exploitation des données de santé ;
- accompagner, notamment financièrement, les porteurs de projets sélectionnés dans le cadre d'appels à projets lancés à son initiative et les producteurs de données associés aux projets retenus.
Projets de recherche et formalités auprès de la CNIL
Dans le cadre de sa mission d’accompagnement des porteurs de projets, la Plateforme des données de santé a lancé fin janvier 2019 un premier appel à projets pour identifier les premières initiatives qui pourraient bénéficier de sa solution technique. Un total de dix projets pilotes ont été sélectionnés et cinq d’entre eux ont d’ores et déjà été autorisés par la CNIL. Un deuxième appel à projet a été réalisé dans le cadre duquel dix projets supplémentaires ont été sélectionnés pour bénéficier de l’accompagnement de la Plateforme en juillet 2020.
Les projets de recherche qui seront menés sur la plateforme technologique doivent être autorisés par la CNIL lorsqu’ils ne peuvent faire l’objet d’une déclaration de conformité à une méthodologie de référence. Ils devront préalablement à cette autorisation avoir obtenu un avis :
- d’un comité de protection des personnes (CPP) mentionné à l'article L. 1123-6 du Code de la santé publique pour les recherches impliquant la personne humaine ;
- du comité éthique et scientifique pour les recherches, les études et les évaluations dans le domaine de la santé (CESREES), pour les recherches n'impliquant pas la personne humaine.
Lors de l’instruction de ces demandes d’autorisation, la CNIL vérifie que le traitement de données envisagé respecte l’ensemble des obligations prévues par le RGPD et la loi Informatique et Liberté, mais aussi par d’autres textes, tels que le code de la santé publique. Ces obligations portent aussi bien sur des aspects juridiques (proportionnalité, minimisation des données, droits des personnes) que techniques (sécurité des données, habilitations etc.).
Faire une déclaration de conformité à une méthodologie de référence (MR).
Déposer une demande d’autorisation recherche en santé auprès de la CNIL
Les enjeux « Informatiques et Libertés » de la Plateforme
Au regard des enjeux « Informatiques et Libertés » que soulèvent la création de la Plateforme des données de santé, notamment s’agissant de la nature des données traitées et de leur volume, la CNIL a eu plusieurs occasions de se prononcer sur sa mise en œuvre.
Dans son avis sur le projet de loi d’organisation et de transformation du système de santé du 31 janvier 2019 portant création de la Plateforme, la CNIL a notamment attiré l’attention sur :
- l’importance particulière, en ce domaine, d’un niveau élevé de garantie des droits des personnes, et notamment de la parfaite information de celles-ci sur l’usage de leurs données personnelles. Conformément aux observations de la CNIL, les missions de la plateforme ont été complétées par une mission additionnelle d’information des patients et de promotion et de facilitation de leurs droits ;
- le nécessaire respect des principes de limitation et de minimisation des données par ces nouveaux traitements de recherche, présentant un caractère extrêmement sensible, dans le contexte du développement des techniques d’intelligence artificielle en santé ;
- les risques inhérents à la concentration éventuelle de données sensibles sur la plateforme technologique, qui nécessiteront la mise en place de mesures de sécurité appropriées.
La CNIL s’est par la suite prononcée sur sa mise en œuvre anticipée en avril 2020 pour les besoins de la gestion de l’urgence sanitaire et de l’amélioration des connaissances sur la COVID-19. Dans son avis, la CNIL a notamment attiré l’attention sur :
- les risques liés aux conditions de démarrage anticipé de la solution technique dans un contexte où la Plateforme de données de santé a dû accomplir en quelques semaines des opérations, dont certaines structurantes, pour garantir la sécurité des données traitées qui étaient prévues pour s’étaler sur plusieurs mois.
- les éventuels risques matériels et juridiques en matière d’accès direct par les autorités de pays tiers.
En outre, la Plateforme des données de santé a interrogé la CNIL sur les conditions techniques de sa mise en œuvre au regard des obligations issues du RGPD et de la loi Informatique et Libertés dans le cadre d’une demande de conseil. À cette occasion, la CNIL a considéré que la sécurité des données mises à disposition par la Plateforme était assurée, sous réserve de la mise en œuvre des mesures prévues dans le plan d’action défini dans l’homologation de la Plateforme. Elle a également réitéré sa position sur la question des transferts de données hors de l’Union européenne.
Principaux rappels et recommandations de la CNIL
Sur la constitution d’un entrepôt de données au sein de la Plateforme dans le cadre de l'état d'urgence sanitaire
La CNIL a relevé que la centralisation des données au sein de la Plateforme des données de santé dans le cadre de l’état d’urgence sanitaire implique la création d’un entrepôt de données de santé en vue de leur mise à disposition auprès d’autres responsables de traitements.
Elle a ainsi rappelé que :
- la constitution de cette base, qui s’inscrit dans un contexte particulier d’urgence et de gestion d’une crise sanitaire en cours, n’est encadré par l’arrêté du 21 avril 2020 que pour la période d'état d'urgence sanitaire (déclaré le 23 mars 2020*) ;
- le fonctionnement de la Plateforme en dehors du contexte de l’état d’urgence sanitaire sera précisé par décret SNDS modifié. Ce décret, qui modifiera le décret du 26 décembre 2016, devrait notamment encadrer les rôles respectifs des responsables de traitement et préciser les catégories de données réunies en son sein ;
- La centralisation de données au sein du « catalogue » de la Plateforme, qui constitue un entrepôt de données, devra être soumise à autorisation préalable de la CNIL, en application des dispositions des articles 44.3 et 66 de la loi Informatique et Libertés.
*Note : l’arrêté du 23 mars 2020 a été abrogé et remplacé par l’arrêté du 10 juillet 2020 modifié qui prévoit la possibilité de conserver les données à des fins de recherche liées à la COVID-19 jusqu’à l’entrée en application du décret modifié relatif au Système National des Données de Santé (Décret SNDS).
Sur la sécurité globale de la Plateforme
La CNIL considère que la sécurité des données mises à disposition par la Plateforme est assurée, sous réserve de la mise en œuvre des mesures prévues dans le plan d’action défini dans l’homologation de la Plateforme. Cependant, comme pour tout traitement de données, les mesures de sécurité devront être réévaluées régulièrement pour prendre en compte les évolutions de la plateforme et des risques associés.
La CNIL recommande également :
- sur les imports/exports de données, qu’une vigilance particulière soit de mise afin de garantir l’anonymat effectif des exports conformément aux exigences du référentiel de sécurité du système national des données de santé et à la position prise par la CNIL dans sa délibération n° 2020-044 du 20 avril 2020 portant avis sur un projet d'arrêté complétant l’arrêté du 23 mars 2020 ;
- qu’une vision plus globale de la sécurité de la plateforme soit donnée aux responsables de traitement afin qu’ils soient parfaitement informés des conditions de sécurité dans lesquelles les données qu’ils lui confient seront traitées.
En outre, s’agissant des conditions de démarrage anticipé de la solution technique, la CNIL a indiqué que la Plateforme des données de santé devra s’assurer que cette mise en œuvre anticipée n’engendre pas de risque supplémentaire pour les personnes concernées.
Sur les transferts de données hors Union européenne
La Plateforme des données de santé a fait le choix de recourir aux services de Microsoft, société dont le siège est situé aux États-Unis, afin d’héberger informatiquement les données de santé (service AZURE dit de cloud computing).
Pourquoi le choix de cette solution appelle -t-il une vigilance particulière ?
La Cour de justice de l’Union européenne (CJUE), dans son arrêt du 16 juillet 2020, dit « Schrems II », a jugé que la surveillance exercée par les services de renseignements américains sur les données personnelles des citoyens européens était excessive, insuffisamment encadrée et sans réelle possibilité de recours. Elle en a déduit que les transferts de données personnelles depuis l’Union européenne vers les États-Unis sont contraires au RGPD et à la Charte des droits fondamentaux de l’Union européenne, sauf si des mesures supplémentaires sont mises en place ou si les transferts sont justifiés au regard de l’article 49 du RGPD, qui prévoit des dérogations dans des situations particulières.
En raison de la sensibilité et du volume des données ayant vocation à être hébergées au sein de la PDS, pour lesquelles le niveau de protection technique mais aussi juridique le plus élevé doivent être assurés, y compris en matière d’accès direct par les autorités de pays tiers, la CNIL a fait part de son souhait que son hébergement et les services liés à sa gestion puissent être réservés à des entités relevant exclusivement des juridictions de l’Union européenne.
Suite à l’arrêt dit « Schrems II », des garanties permettant de conclure à l’absence de transferts de données hors UE dans le cadre du fonctionnement courant de la solution technique lui ont été apportées.
Vers un hébergement européen pour la Plateforme des données de santé
Le Conseil d’État a reconnu, dans une ordonnance du 13 octobre 2020, l’existence d’un risque de transfert de données issues de la PDS vers les États-Unis du fait même de la soumission de Microsoft au droit étatsunien et a demandé que des garanties supplémentaires soient mises en place.
La CNIL, qui partage cette inquiétude, a estimé que ce risque devait disparaître. Elle a ainsi demandé et obtenu des garanties de la part du ministère quant à un changement de solution technique permettant de supprimer ce risque dans un délai déterminé.
Les engagements du ministère de la Santé vis-à-vis du changement d’hébergeur
Le ministère s’est engagé à recourir à une solution technique permettant de ne pas exposer les données hébergées par la PDS à d’éventuelles demandes d’accès illégales au regard du RGPD dans un délai compris entre 12 et 18 mois et, en tout état de cause, ne dépassant pas deux ans.
La CNIL considère que ce délai paraît de nature à garantir un juste équilibre entre la préservation du droit à la protection des données personnelles et l’objectif de favoriser la recherche et l’innovation dans le domaine de la santé. Elle estime que, par cet engagement, le risque inhérent au recours à un hébergeur soumis au droit étatsunien est admissible pendant la durée de cette période transitoire, en tenant compte des objectifs d’intérêt général poursuivis par le développement de la PDS.
Prenant en considération ces éléments, la CNIL a pu autoriser la réalisation de quatre nouveaux projets pilotes au sein de la PDS.
Pour plus d’informations sur les obligations qui incombent au responsable de traitement
Les textes de référence
- Articles L. 1461-1 et suivants du code de la santé publique
- Arrêté du 29 novembre 2019 portant approbation d'un avenant à la convention constitutive du groupement d'intérêt public « Institut national des données de santé » portant création du groupement d'intérêt public « Plateforme des données de santé »
- Arrêté du 21 avril 2020 complétant l'arrêté du 23 mars 2020 prescrivant les mesures d'organisation et de fonctionnement du système de santé nécessaires pour faire face à l'épidémie de COVID-19 dans le cadre de l'état d'urgence sanitaire