Les principaux avis et recommandations de la CNIL sur la Plateforme des données de santé

Au regard des enjeux Informatiques et Libertés que soulève la Plateforme des données de santé, notamment s’agissant de la sensibilité des données traitées et de leur volume, la CNIL a eu plusieurs occasions de se prononcer sur sa mise en œuvre.

La CNIL a ainsi rendu son avis sur le projet de loi d’organisation et de transformation du système de santé du 31 janvier 2019 portant création de la Plateforme.

La CNIL s’est également prononcée sur :

• le projet de décret lié à la mise en œuvre de cette loi ;
• le projet d’arrêté relatif aux données alimentant la base principale et aux bases de données du catalogue du SNDS.

Sur la sécurité globale de la Plateforme

La CNIL considère que la sécurité des données mises à disposition par la Plateforme est assurée, sous réserve de la mise en œuvre des mesures identifiées pour son homologation et de leur réévaluation régulière pour prendre en compte les évolutions des systèmes et des risques.

La CNIL recommande également :

• sur les imports/exports de données, qu’une vigilance particulière soit de mise afin de garantir l’anonymat effectif des exports conformément aux exigences du référentiel de sécurité du système national des données de santé et à la position prise par la CNIL dans sa délibération n° 2020-044 du 20 avril 2020 portant avis sur un projet d'arrêté complétant l’arrêté du 23 mars 2020 ;
• qu’une vision globale de la sécurité de la plateforme soit donnée aux responsables de traitement afin qu’ils soient parfaitement informés des conditions de sécurité dans lesquelles les données qu’ils lui confient seront traitées.

Sur les conditions d’hébergement des données et des possibilités d’accès par des autorités de pays tiers

La Plateforme des données de santé a fait le choix de recourir aux services de Microsoft Ireland, société située dans l’Union européenne, afin d’héberger informatiquement les données de santé (service AZURE dit de cloud computing). Les données seront stockées dans des centres situés en France. Ces conditions de stockage doivent être conformes au code de la santé publique et les données ne peuvent pas être transférées en dehors de l’Union européenne, sauf dans des cas très particuliers (projets de recherche impliquant un acteur extra-européen par exemple)

Cependant, l’hébergeur retenu par la Plateforme appartient à un groupe dont la société mère est située aux États-Unis et est soumise au droit de cet État, ce qui implique la possibilité légale de demandes de communication des données par l’administration des Etats-Unis.

La CNIL recommande, pour les bases de données les plus sensibles, d’assurer une protection contre les possibilités de divulgation à des autorités publiques de pays tiers. Cette protection implique notamment l’absence de transfert de données vers des pays tiers mais aussi le recours à un hébergeur soumis exclusivement au droit européen ou bénéficiant de certifications spécifiques, notamment la certification SecnNumCloud de l’ANSSI.

En raison de la sensibilité et du volume des données ayant vocation à être hébergées au sein de la PDS, pour lesquelles le niveau de protection technique mais aussi juridique le plus élevé doivent être assurés, y compris en matière d’accès direct par les autorités de pays tiers, la CNIL souhaite que son hébergement et les services liés à sa gestion puissent être réservés à des entités relevant exclusivement des juridictions de l’Union européenne ou bénéficiant de certifications de type SecNumCloud.

Les engagements du ministère de la Santé vis-à-vis du changement d’hébergeur

Le ministère de la Santé et de la Prévention, en accord avec l’analyse de la CNIL a, lui aussi, souhaité que la PDS utilise une solution technique souveraine.

Le ministère a cependant acté qu’il n’y avait pas de solutions opérationnelles, avant 2025, pour répondre à cette exigence. En conséquence, la PDS n’a pas, à ce jour, effectué de demande d’autorisation auprès de la CNIL visant à lui permettre d’héberger la totalité de la base principale du système national des données de santé.

Les entrepôts de données de la Plateforme des données de santé

De par ses missions et les projets qu’elle mène la Plateforme est amenée à constituer des entrepôts de données de santé qui permettront la réalisation d’études dans le domaine de la santé

Pour l’accomplissement de sa mission visant à réunir, organiser et mettre à disposition les données du système national des données de santé (SNDS), la PDS a vocation à détenir une copie de la base principale et une copie des bases inscrites au catalogue.

La centralisation à venir de ces données constitue un entrepôt de données qui devra être soumis à autorisation préalable de la CNIL, en application de la loi Informatique et Libertés. La CNIL n’a pas encore été saisie d’une demande en ce sens.

Par ailleurs, la Plateforme des données de santé (PDS) a mis en œuvre un entrepôt de données de santé pour la gestion de la crise sanitaire. La création de cet entrepôt était prévue par un arrêté sur lequel la CNIL a rendu un avis. Les données de cet entrepôt pouvaient être utilisées jusqu’à fin juin 2021.