Envoi à la Commission Nationale de l’Informatique et des Libertés CNIL d’un courrier faisant suite à l’ordonnance du Conseil d’État du 19 juin.

Objet

Demande de réponse quant à la qualité des processus de chiffrement et de pseudonymisation au sein de la “Plateforme des Données de Santé” ou “HealthDataHub”.

Contenu de la lettre

Madame La Présidente,

Le déploiement d’une “Plateforme des Données de Santé” par la création d’un Groupement d’Intérêt Public, a été proclamé par la loi n° 2019-774 du 24 juillet 2019 relative à l’organisation et à la transformation du système de santé1. Cette “Plateforme des Données de Santé” vise à développer l’intelligence artificielle dans le secteur de la santé et à devenir le guichet unique d’accès à l’ensemble des données de santé du territoire national. Les données concernées sont celles des centres hospitaliers, des pharmacies, du dossier médical partagé et des données de recherche issues de divers registres. La quantité des données hébergées est amenée à exploser avec l’émergence de la génomique, de l’imagerie et des objets connectés.

Actuellement ces données sont stockées chez Microsoft Azure2, cloud public du géant américain Microsoft. Ce choix a été critiqué par de nombreux acteurs publics3 4 5 et privés6.

L’avis n° 2020-044 du 20 avril 2020 de votre Commission7 évoque les risques de transferts de données vers des pays tiers et les divulgations non autorisées par le droit de l’Union dans le cadre du contrat de sous-traitance de la solution technique de la “plateforme” à Microsoft Azure.

Suivant cet avis, le 19 juin 2020, le Conseil d’État a enjoint la “Plateforme des Données de Santé” d’informer les citoyens du “possible transfert de données hors de l’Union Européenne, compte tenu du contrat passé avec son sous-traitant”8. Nous remarquons que cette information est très difficilement accessible sur le site internet health-data-hub.fr puisqu’elle n’est visible dans la rubrique “Projets”, que dans le projet numéro 3173 “Exploitation des données de passages aux urgences pour l’analyse du recours aux soins et le suivi de la crise sanitaire du Covid-19”.

La “Plateforme des Données de Santé” devait aussi fournir “tous éléments relatifs aux procédés de pseudonymisation utilisés, propres à permettre à [votre Commission] de vérifier que les mesures prises assurent une protection suffisante des données de santé”8. La position de la CNIL avait été sollicitée d’autant plus que l’obsolescence du système de chiffrement (nommé FOIN) avait déjà été critiquée par la Cour des Comptes et l’Agence National de Sécurité des Systèmes d’Information ANSSI en 20169.

Nous alertons également sur la qualité du chiffrement puisque pour “bénéficier de toutes les capacités de la solution technique de l’hébergeur ces clés devront lui être confiées”7.

Enfin la CNIL et le Conseil d’État ont rappelé qu’au terme de l’état d’urgence sanitaire l’ensemble des données collectées devait être supprimé et que le traitement ne disposait plus de base légale. Cependant l’arrêté du 10 juillet 2020 “prescrivant les mesures générales nécessaires pour faire face à l’épidémie de covid-19 dans les territoires sortis de l’état d’urgence sanitaire et dans ceux où il a été prorogé” prolonge l’utilisation de ces données jusqu’au 30 octobre 202010.

Compte tenu du nombre particulièrement important de personnes concernées (plus de 67 millions d’utilisateurs) et du caractère sensible des données personnelles contenus dans la “Plateforme des Données de santé”, nous avons décidé de rendre publique ce courrier. Cette publicité contribue à l’objectif de transparence défendu par votre Commission11.

Dans l’attente de votre réponse, nous vous prions de croire, Madame la Présidente, en l’expression de notre très haute considération.

Association interhop.org

  1. LOI n° 2019-774 du 24 juillet 2019 relative à l’organisation et à la transformation du système de santé 

  2. Modalités de stockage du « health data hub » 

  3. Le Monde - « La politique publique des données de santé est à réinventer » 

  4. Le Nouvel Obs - Nos données de santé à Microsoft ? « On offre aux Américains une richesse nationale unique au monde » 

  5. The Conversation - Données de santé : l’arbre StopCovid qui cache la forêt Health Data Hub  

  6. Le Point - Health Data Hub : « Le choix de Microsoft, un contresens industriel ! » 

  7. Mesures d’organisation et de fonctionnement du système de santé nécessaires pour faire face à l’épidémie de covid-19 dans le cadre de l’état d’urgence sanitaire   2

  8. Conseil d’État, 19 juin 2020, Plateforme Health Data Hub  2

  9. LES DONNÉES PERSONNELLES DE SANTÉ GÉRÉES PAR L’ASSURANCE MALADIE 

  10. Arrêté du 10 juillet 2020 prescrivant les mesures générales nécessaires pour faire face à l’épidémie de covid-19 dans les territoires sortis de l’état d’urgence sanitaire et dans ceux où il a été prorogé 

  11. Application « StopCovid » : la CNIL tire les conséquences de ses contrôles