Dans une décision datée du 21 décembre et publiée le 31 janvier sur LegiFrance, la Commission nationale de l’informatique et des libertés (CNIL) a accepté de valider pour trois ans la constitution d’un entrepôt alimenté par des données du Système national des données de santé [1], et hébergé par Microsoft. Cette durée de trois ans correspond à la réalisation du projet de migration du Health Data Hub (HDH) chez un opérateur de cloud français ou européen.
Cet entrepôt est un projet du HDH, baptisé EMC2. Consistant à mettre à disposition de l’Agence européenne du médicament un EDS [2] « pour accompagner l’instruction de problématiques relatives aux effets secondaires des médicaments », il s’inscrit dans une convention de prestation de service conclue il y a deux ans avec l’agence. Il concernera « les données de patients fournies par quatre grands hôpitaux français et les données de l’Assurance maladie (remboursements de consultations et de soins, parcours hospitaliers, etc.), pour ces mêmes patients ».
Un risque pour les données ?
Jusqu’alors, la CNIL pointait le risque d’accès à ces données par des « autorités étrangères », notamment américaines (cf. Protection des données : la justice européenne invalide le transfert de données vers les États-Unis). En effet, en vertu de leur législation, les Etats-Unis « peuvent exiger dans certains cas que les opérateurs de cloud américains leur fournissent les données stockées chez eux, où qu’elles se trouvent dans le monde ».
La Commission justifie sa décision récente, estimant qu’« aucun prestataire potentiel », français ou européen, « ne propose d’offre d’hébergement répondant aux exigences techniques et fonctionnelles » du projet.
En raison de son choix initial de recourir aux services de Microsoft, le Health Data Hub n’a pas obtenu la copie complète du SNDS (cf. La Cnam refuse le transfert global de données vers le Health Data Hub). Cette décision va permettre au HDH d’expérimenter « le traitement de masse des données de l’Assurance maladie par des chercheurs ».
« La France n’est pas capable d’héberger ses propres données de santé »
Suite à la publication de la délibération de la CNIL, la présidence du conseil de la Cnam, a tenu à rappeler ses positions (cf. Health Data Hub : l’Assurance maladie réserve son avis). Les entreprises du secteur se sont également manifestées.
« Ce que nous pouvons dire et dire avec gravité : c’est que la France n’est pas capable d’héberger ses propres données de santé, dénonce William Méauzoone, confondateur de la société Leviia. Et nous parlons bien de la France, car il s’agit là de données gérées par le GIP PDS, le groupement d’intérêt public plateforme des données de santé, sous la direction du ministère des Solidarités et de la Santé ». Pour l’entrepreneur, « cela souligne une lacune énorme dans la planification et la coordination des ressources nationales pour répondre à un défi éminemment important ».
[1] le SNDS, géré par l’Assurance maladie
[2] entrepôt de données de santé
Sources : What’s up doc (01/02/2024) ; Le Big data, Rina R. (03/02/2024) ; Silicon, Clément Bohic (31/01/2024) ; AEF Info (02/02/2024)
