La Plateforme des données de santé (Health Data Hub)

Les enjeux « Informatiques et Libertés » de la Plateforme

Au regard des enjeux « Informatiques et Libertés » que soulèvent la création de la Plateforme des données de santé, notamment s’agissant de la nature des données traitées et de leur volume, la CNIL a eu plusieurs occasions de se prononcer sur sa mise en œuvre.

Dans son avis sur le projet de loi d’organisation et de transformation du système de santé du 31 janvier 2019 portant création de la Plateforme, la CNIL a notamment attiré l’attention sur :

• l’importance particulière, en ce domaine,  d’un  niveau  élevé  de  garantie  des  droits  des  personnes,  et  notamment de la parfaite information de celles-ci sur l’usage de leurs données personnelles. Conformément  aux  observations  de  la CNIL, les missions de la plateforme ont  été  complétées  par  une  mission  additionnelle   d’information   des   patients  et  de promotion  et de facilitation de leurs droits ;

• le nécessaire respect des principes de limitation et de minimisation des données par ces nouveaux traitements de recherche, présentant un caractère extrêmement sensible, dans le contexte du développement des techniques d’intelligence artificielle en santé ;
• les risques inhérents à la concentration éventuelle de données sensibles sur la plateforme technologique, qui nécessiteront la mise en place de mesures de sécurité appropriées.

La CNIL s’est par la suite prononcée sur sa mise en œuvre anticipée en avril 2020 pour les besoins de la gestion de l’urgence sanitaire et de l’amélioration des connaissances sur la COVID-19. Dans son avis, la CNIL a notamment attiré l’attention sur :

• les risques liés aux conditions de démarrage anticipé de la solution technique dans un contexte où la Plateforme de données de  santé  a  dû  accomplir  en  quelques  semaines  des  opérations,  dont  certaines  structurantes, pour  garantir  la  sécurité des données traitées qui étaient prévues pour s’étaler sur plusieurs mois.
• les éventuels risques matériels et juridiques en matière d’accès direct par les autorités de pays tiers.

En outre, la Plateforme des données de santé a interrogé la CNIL sur les conditions techniques de sa mise en œuvre au regard des obligations issues du RGPD et de la loi Informatique et Libertés dans le cadre d’une demande de conseil. À cette occasion, la CNIL a considéré que la sécurité des données mises à disposition par la Plateforme était assurée, sous réserve de la mise en œuvre des mesures prévues dans le plan d’action défini dans l’homologation de la Plateforme. Elle a également réitéré sa position sur la question des transferts de données hors de l’Union européenne.

Principaux rappels et recommandations de la CNIL

Sur la constitution d’un entrepôt de données au sein de la Plateforme dans le cadre de l'état d'urgence sanitaire

La CNIL a relevé que la centralisation des données au sein de la Plateforme des données de santé dans le cadre de l’état d’urgence sanitaire implique la création d’un entrepôt de données de santé en vue de leur mise à disposition auprès d’autres responsables de traitements.

Elle a ainsi rappelé que :

• la constitution de cette base, qui s’inscrit dans un contexte particulier d’urgence et de gestion d’une crise sanitaire en cours, n’est encadré par l’arrêté du 21 avril 2020 que pour la période d'état d'urgence sanitaire (déclaré le 23 mars 2020*) ;
• le   fonctionnement de la Plateforme en dehors du contexte de l’état d’urgence sanitaire sera précisé par décret SNDS modifié. Ce décret, qui modifiera le décret du 26 décembre 2016, devrait notamment encadrer les rôles respectifs des responsables de traitement et préciser les catégories de données réunies en son sein ;
• La centralisation de données au sein du « catalogue » de la Plateforme, qui constitue un entrepôt de données, devra être soumise à autorisation préalable de la CNIL, en application des dispositions des articles 44.3 et 66 de la loi Informatique et Libertés.

*Note : l’arrêté du 23 mars 2020 a été abrogé et remplacé par l’arrêté du 10 juillet 2020 modifié qui prévoit la possibilité de conserver les données à des fins de recherche liées à la COVID-19 jusqu’à l’entrée en application du décret modifié relatif au Système National des Données de Santé (Décret SNDS).

Sur la sécurité globale de la Plateforme

La CNIL considère que la sécurité des données mises à disposition par la Plateforme est assurée, sous réserve de la mise en œuvre des mesures prévues dans le plan d’action défini dans l’homologation de la Plateforme. Cependant, comme pour tout traitement de données, les mesures de sécurité devront être réévaluées régulièrement pour prendre en compte les évolutions de la plateforme et des risques associés.

La CNIL recommande également :

• sur les imports/exports de données, qu’une vigilance particulière soit de mise afin de garantir l’anonymat effectif des exports conformément aux exigences du référentiel de sécurité du système national des données de santé et à la position prise par la CNIL dans sa délibération n° 2020-044 du 20 avril 2020 portant avis sur un projet d'arrêté complétant l’arrêté du 23 mars 2020 ;
• qu’une vision plus globale de la sécurité de la plateforme soit donnée aux responsables de traitement afin qu’ils soient parfaitement informés des conditions de sécurité dans lesquelles les données qu’ils lui confient seront traitées.

En outre, s’agissant des conditions de démarrage anticipé de la solution technique, la CNIL a indiqué que la Plateforme des données de santé devra s’assurer que cette mise en œuvre anticipée n’engendre pas de risque supplémentaire pour les personnes concernées.

Sur les transferts de données hors Union européenne

La Plateforme des données de santé a fait le choix de recourir aux services de Microsoft, société dont le siège est situé aux États-Unis, afin d’héberger informatiquement les données de santé (service AZURE dit de cloud computing).

Pourquoi le choix de cette solution appelle -t-il une vigilance particulière ?

La Cour de justice de l’Union européenne (CJUE), dans son arrêt du 16 juillet 2020, dit « Schrems II », a jugé que la surveillance exercée par les services de renseignements américains sur les données personnelles des citoyens européens était excessive, insuffisamment encadrée et sans réelle possibilité de recours. Elle en a déduit que les transferts de données personnelles depuis l’Union européenne vers les États-Unis sont contraires au RGPD et à la Charte des droits fondamentaux de l’Union européenne, sauf si des mesures supplémentaires sont mises en place ou si les transferts sont justifiés au regard de l’article 49 du RGPD, qui prévoit des dérogations dans des situations particulières.

En raison de la sensibilité et du volume des données ayant vocation à être hébergées au sein de la PDS, pour lesquelles le niveau de protection technique mais aussi juridique le plus élevé doivent être assurés, y compris en matière d’accès direct par les autorités de pays tiers, la CNIL a fait part de son souhait que son hébergement et les services liés à sa gestion puissent être réservés à des entités relevant exclusivement des juridictions de l’Union européenne.

Suite à l’arrêt dit « Schrems II », des garanties permettant de conclure à l’absence de transferts de données hors UE dans le cadre du fonctionnement courant de la solution technique lui ont été apportées.

Vers un hébergement européen pour la Plateforme des données de santé

Le Conseil d’État a reconnu, dans une ordonnance du 13 octobre 2020, l’existence d’un risque de transfert de données issues de la PDS vers les États-Unis du fait même de la soumission de Microsoft au droit étatsunien et a demandé que des garanties supplémentaires soient mises en place.  

La CNIL, qui partage cette inquiétude, a estimé que ce risque devait disparaître. Elle a ainsi demandé et obtenu des garanties de la part du ministère quant à un changement de solution technique permettant de supprimer ce risque dans un délai déterminé.