InterHop

Revue de presse

Données de Santé / Health Data Hub

La stratégie du criquet des GAFAM-BATX menace la démocratie et l’économie 18 août

  • “En maîtrisant les données d’un Etat, nous maîtrisons désormais sa population. Une guerre nouvelle génération se déroule sous nos yeux, tout aussi dangereuse et bien plus pernicieuse car silencieuse. En laissant nos données à des entreprises qui dépendent d’Etats impérialistes, nous hypothéquons notre démocratie, nos valeurs et l’avenir de nos entreprises et des citoyens. Nous dépendrons, si nous ne réagissons pas, d’autres Etats et de leur bon vouloir, laissant le peuple dépossédé de sa souveraineté.”

Fichiers sanitaires : un destin tracé vers la surveillance généralisée ? 10 août

  • “l’intelligence collective est congédiée au profit d’un gouvernement des experts, par essence incontestable”
  • “Les fichiers traitant des données de santé rejoignent alors pleinement les fichiers à visée sécuritaire en abandonnant l’idée d’un consentement de l’individu : ils sont imposés, au nom du bien commun.”
  • “L’atteinte aux libertés fondamentales est en effet rendue davantage visible par le couplage entre ce premier niveau – le caractère imposé des traitements de données – et un second niveau de la fusée : l’élargissement et l’affaiblissement des finalités.”
  • “La vie privée devient, de manière paradoxale avec la promulgation du RGPD et les progrès apparemment concédés il y a deux ans, un droit formaliste et individualiste, qui peut céder sans risque face aux enjeux sécuritaires et sanitaires, et qu’il s’agit désormais de démanteler pièce par pièce.”

Sûreté des entreprises. « En matière de souveraineté, on marche sur la tête ! » 22 juillet

  • “Rappelons que le gouvernement français vient par exemple de prendre la décision d’héberger les informations de santé de millions de Français sur les serveurs de l’américain Microsoft. C’est édifiant ! On marche sur la tête !”
  • “Il faudrait d’abord définir ce qu’est une solution souveraine, c’est-à-dire que ses utilisateurs et les contenus qu’ils y déposent échappent au caractère extraterritorial du Cloud Act.”
  • “Sûreté des entreprises. « En matière de souveraineté, on marche sur la tête ! »”

Un arrêté autorise la collecte de données de santé en cas d’”alerte sanitaire” 17 juillet

  • “Dans une délibération sur le projet d’arrêté datée du 11 juin et publiée le 2 juillet au Journal officiel, la Commission nationale de l’informatique et des libertés (Cnil) estime que plusieurs de ces institutions “ne devraient pas figurer dans l’arrêté”. Elle vise les organismes et services de recherche, les DDCSPP, l’ANS, la PDS et l’ATIH, au motif qu’ils agissent en tant que sous-traitant ou destinataire des données au sens du règlement général sur la protection des données (RGPD).”

Health Data Hub et Covid-19 : la sécurité des données médicales en débat devant le Conseil d’État 12 juin

Les données de santé de la population française, collectées massivement, seront-elles vraiment protégées ? 11 juin

  • “La mutuelle Malakoff Médéric a aussi pu avoir accès à des données pour « mesurer et comprendre les restes à charge réels des patients »”
  • “Ainsi OPBI Santé, fondée par deux « consultants en organisation hospitalière », souhaite par exemple accéder aux données pour déterminer les durées de séjour qui seraient les plus efficientes pour chaque type de pathologie. « Des durées atteignables et pertinentes, mais nécessitant les meilleures pratiques organisationnelles », vante la start-up.”

Health Data Hub : des organisations dénoncent un passage en force du projet dans le contexte d’urgence sanitaire 11 juin

  • “Les requérants demandent au Conseil d’Etat de suspendre l’arrêté en date du 21 avril 2020 confiant les données de santé liées au Covid-19 au Health Data Hub”
  • “Les requêtes déposées au Conseil d’Etat portent sur deux aspects de la protection des données : d’un côté, le risque de voir un Etat tiers (les Etats-Unis en l’occurrence) accéder aux données de santé françaises et, de l’autre, l’absence d’information préalable à destination du public (prévue par le RGPD).”
  • “La plateforme sera alimentée au cas par cas, au fur et à mesure des projets, rappelle Stéphanie Combes. On y trouve pour l’heure les données du réseau “Oscour” (Organisation de la surveillance coordonnée des urgences) issues de Santé Publique France, permettant de suivre les passages aux urgences pendant l’épidémie.”

Health Data Hub : « Le choix de Microsoft est un contresens industriel ! » 10 juin

  • “Il s’agit d’un signal politique inquiétant et aussi d’un contresens industriel ! Le choix de la société Microsoft pour assurer l’hébergement du Health Data Hub a été effectué sans créer un appel d’offres spécifique et a été mis en avant pour des raisons de conformité avec les prérequis de ce projet. Ces prérequis doivent aujourd’hui être remis en question.”
  • “Mais Microsoft aura à cœur de se rendre indispensable ! En effet, si la réversibilité du choix de Microsoft a souvent été soulignée, il faut se rappeler que le « cœur de métier » des sociétés qui assurent l’hébergement et le traitement en masse des données est justement d’ajouter progressivement des fonctions « propriétaires » afin d’empêcher que leurs clients ne puissent migrer facilement vers d’autres plateformes.”
  • “En raison de la diversité et du volume des données qu’il devrait rassembler, le Health Data Hub constitue l’un des plus importants projets d’administration électronique jamais menés en France et certainement l’un des plus stratégiques pour les géants des technologies.”

Le Health Data Hub attaqué devant le Conseil d’Etat 9 juin

  • “Une quinzaine de personnalités et d’organisationsont déposé un référé-liberté contre le déploiement,accéléré au nom de l’état d’urgence sanitaire, dela nouvelle plateforme de santé devant centraliserl’intégralité de nos données de santé et dontl’hébergement a été confié à Microsoft.”
  • “Ils ont cette fois été rejoints par le collectif InterHop,composé de professionnels du secteur de la santé etde l’informatique médicale, mobilisé depuis près d’unan contre le projet mais également par le médecinDidier Sicard, ancien président du Comité nationalconsultatif d’éthique, le professeur Bernard Fallery,spécialiste des systèmes d’information, le Syndicatnational des journalistes (SNJ), le Syndicat de lamédecine générale (SMG), l’Union française pour unemédecine libre (UFML), la représentante des usagersdu conseil de surveillance de l’APHP, l’Observatoirede la transparence dans les politiques de médicaments,l’Union générale des ingénieurs, cadres et techniciensCGT (UGICT-CGT) et l’Union fédérale médecins,ingénieurs, cadres, techniciens CGT Santé et Actionsociale (UFMICT-CGT Santé et Action sociale).”
  • “Health Data Hub « porte une atteinte grave et sûrementirréversible aux droits de 67 millions d’habitantsde disposer de la protection de leur vie privéenotamment celle de leurs données parmi les plusintimes, protégées de façon absolue par le secretmédical : leurs données de santé »”

La France mise 500 millions pour protéger ses start-up de l’appétit des Gafa 5 juin

  • “Bruno Le Maire et Cédric O vont présenter un plan destiné à préserver la souveraineté nationale dans le numérique, dont le montant total s’élève à 1,2 milliard d’euros.”
  • “Or, dans certains domaines, la France, pays aux 13.000 start-up, disposent de pépites qui sont autant de «proies», pouvant être rachetées par des géants du numériques extra-territoriaux, essentiellement américains”

L’Etat choisit Microsoft pour les données de santé et crée la polémique 5 juin

  • “Le gouvernement français a pris la décision d’héberger les informations de santé de millions de Français sur les serveurs de l’américain Microsoft, au détriment d’OVH, une société française.”
  • “La polémique ne pouvait pas éclater à un pire moment. Quelques jours avant de lancer avec l’Allemagne le projet d’informatique en ligne européenne Gaia-X pour la protection des données dans le « cloud computing », le gouvernement français doit défendre sa décision d’héberger les informations de santé de millions de Français sur les serveurs de l’américain Microsoft…”
  • “« Il faut être rapide parce que le Health Data Hub sauve des vies »”

Opinion Le Health Data Hub, un outil à la pointe de l’innovation numérique publique 5 juin

« La politique publique des données de santé est à réinventer » 4 juin

  • “Il faut donc remettre à plat le sujet, avec des orientations claires : rétablir la confiance et définir une stratégie ; couvrir l’ensemble du champ sanitaire et médico-social ; simplifier l’accès pour permettre d’aller vite ; développer l’utilisation des données en temps réel pour repérer les problèmes émergents ; ancrer l’architecture technique dans un écosystème décentralisé, respectueux des acteurs et propice à une maîtrise « souveraine » de l’hébergement des données ; garantir le respect du secret médical et du droit à la vie privée ; favoriser l’émergence de nouvelles technologies dans le respect d’une éthique et d’une déontologie exigeantes”

Pour une souveraineté européenne de la santé 27 mai

  • “Peut-on compter sur la pseudonymisation quand les attributs de chaque individu se comptent par milliers ?”
  • “Le comité (CESREES) en charge de se prononcer sur le caractère d’intérêt public des projets n’exercera son filtre que sporadiquement : seule une requête du ministre de la Santé, de la CNIL ou du CESREES lui-même provoquera l’examen. La CNIL avait pourtant recommandé une étude systématique.”

Données de santé : l’arbre StopCovid qui cache la forêt Health Data Hub 25 mai

  • “C’est une question de politique nationale, déjà soulevée dans The Conversation France, puisqu’il s’agit de faire gérer un bien public par un acteur privé, et sans espoir de réversibilité. Mais aussi une question politique de souveraineté numérique européenne puisque cet acteur étasunien se trouve soumis au Cloud Act, loi de 2018 qui permet aux juges américains de demander l’accès aux données sur des serveurs situés en dehors des États-Unis.”

Health Data Hub : pourquoi cette plateforme inquiète tant ? 18 mai

  • “Le rassemblement de ces données sera complété par deux fichiers récents liés au Covid-19, le SIDEP qui regroupe les données de Laboratoire et le Contact Covid où sont inscrites les personnes potentiellement contaminées au Covid-19. Autrement dit un nombre considérable de données de santé seront stockées via ce nouveau système.”
  • “L’objectif affiché de Health Data Hub serait de rendre le système de santé plus efficace et d’aider à la gestion de la crise sanitaire que nous traversons actuellement. À terme, toutes les données enregistrées sur le site de la sécurité sociale seront automatiquement intégrées au fichier.”

Health Data Hub: pourquoi le fichier national qui abritera nos données de santé suscite des craintes 17 mai

Health Data Hub : nos données de santé vont-elles être livrées aux Américains ? 14 mai

  • “le gouvernement passe en force son projet de plate-forme sanitaire géante au nom de l’état d’urgence. Problème : les données seraient hébergées par Microsoft qui pourrait sur seul ordre des États-Unis… les transférer outre-Atlantique”

Thomas Gomart (IFRI) : « Le Covid-19 accélère le changement de mains de pans entiers de l’activité économique au profit des plateformes numériques » 13 mai

  • “les données des consommateurs européens ont été exploitées par les plateformes américaines bien au-delà de ce que les utilisateurs pouvaient savoir. L’affaire Snowden, en 2013, a révélé au grand jour certains mécanismes.”
  • “Les plateformes américaines sont parties prenantes du complexe militaro-numérique. Tout en étant des entreprises privées versant peu de dividendes mais investissant beaucoup, elles sont des vecteurs de la puissance américaine. En peu de temps, elles ont inventé et offert des services auxquels les Européens ne veulent pas renoncer. Le danger, c’est de se focaliser sur le service sans vouloir voir l’architecture de puissance.”
  • “L’enjeu fondamental pour les Européens est d’être en mesure de conserver leur autonomie de pensée.”

Données de santé : pourquoi (et comment) vont-elles être hébergées sur des serveurs de Microsoft ? 11 mai

  • “un flicage éhonté de vos informations de santé”

La Cnil s’inquiète d’un possible transfert de nos données de santé aux Etats-Unis 8 mai

  • “La Cnil aurait-elle alors mal lu le contrat ? « Je ne dis pas ça. Mais je trouve que les faits sont un peu détournés. En tout cas, nous avons bien indiqué que les données ne pourront pas être transférées. Je peux même vous dire que c’est à la page 11 du contrat.»”

L’épineuse question des données numériques de santé

  • “Quant au temps dévolu à la saisie des données médicales, il a stagné voire nettement augmenté, selon les trois témoins interrogés. Cette perte de temps est vécue d’autant plus mal que la dégradation des conditions de travail (sur fond de sous-effectif et de sous-investissement chroniques) place les employés dans une course à la montre permanente.”
  • “Or l’hébergement des données a été confié à Microsoft, et l’intégralité des données stockées sera, en vertu du Cloud Act, accessible en toute légalité… aux agences de renseignement américaines.”
  • “La mise à disposition de données médicales par le biais d’accords commerciaux soumis au secret pose à cet égard de graves problèmes de principe.”

Le Health Data Hub ou le risque d’une santé marchandisée

  • “Il semble qu’ici se loge une fois de plus la contradiction de fond entre la logique du soin inconditionnel propre au secteur public ainsi qu’au serment d’Hippocrate et les exigences d’efficacité et de rentabilité aujourd’hui dénoncées par les personnels médicaux et hospitaliers à travers leurs mouvements de grève et leurs réactions à la crise du Covid-19”

Données de santé: l’Etat accusé de favoritisme au profit de Microsoft

  • “Le non-respect des principes d’égalité et de transparence dans le choix de Microsoft Azure”

Pour des données de santé au service des patients

  • “Selon un récent sondage, l’hôpital est même l’institution en laquelle les Français ont le plus confiance. Quel serait l’impact d’une perte de confiance si des fuites de données massives étaient avérées ?”

«Health Data Hub»: le méga fichier qui veut rentabiliser nos données de santé

  • “Le gouvernement est-il en train de mettre en place un « big brother médical » et d’offrir nos données de santé aux géants du numérique ?”

Opinion | Soignons nos données de santé

  • “Une fois brisée, la confiance ne se reforme plus”

Données de santé & intelligence artificielle : rencontre avec Emmanuel Bacry

  • “J’aurais tendance à penser qu’il faut ouvrir totalement les données dans un endroit totalement sécurisé, et ensuite on contrôle ce qui se passe.”

Comment les GAFAM et Capgemini s’invitent dans la mine d’or des données médicales

Marché public / appel d’offre

Le logiciel libre arrive au sein de la Centrale d’achat de l’informatique hospitalière 14 août

INFO OBS. Comment Microsoft a obtenu les données de santé des Français 31 juillet

  • “Plutôt qu’une publication du cahier des charges et du budget, ce projet en gestation depuis juin 2018 est passé par une procédure accélérée, discrète et sans mise en concurrence, par le biais de l’Union des Groupements d’Achats publics (Ugap), la centrale d’achat de l’Etat.”
  • “une aubaine pour Microsoft dont la candidature à l’hébergement du « Hub » était gérée par son directeur technique, Bernard Ourghanlian, [est] membre du Syntec. Et depuis, Guy Mamou-Mani ne cesse de vanter le choix de Microsoft.”

Déclaration commune sur les enjeux du numérique en santé 12 mai

  • “Une dizaine d’organisations représentant les usagers de la santé, les médecins et les industriels affirme d’une seule voix les principes de construction d’un cadre national en matière de numérique en santé.”

Protection des données de santé : MORIN-DESAILLY Catherine 16 juillet

  • Réponse de Monsieur Olivier Véran : “Les donnees de sante doivent rester de sécurisation et de gestion francaise.” “Oui il aura un appel d’offre pour le fonctionnement au quotidien.”

https://www.economie.gouv.fr/direct-video-conference-presse-sur-application-stopcovid-23-juin# 23 juin

  • Monsieur Cédric O : “Il sera normal que dans les mois qui vienne, nous puissions lancer un appel d’offre pour avoir un choix plus large et des spécifications qui permettront à chacun de se positionner”

Émission Libre à vous ! diffusée mardi 28 janvier 2020 sur radio Cause Commune

  • “Donc on a commencé à faire un tour de piste et à discuter avec pas mal d’interlocuteurs, notamment des industriels français type Atos, Thalès, etc., et on est arrivés assez rapidement à la conclusion qu’aucun d’entre eux, en tout cas à l’époque, donc au tout début 2019, n’était compatible avec la certification hébergement des données de santé, qu’on avait jugée nécessaire pour notre projet, même si elle n’est pas obligatoire contrairement au Référentiel de sécurité du système national des données de santé que j’ai déjà évoqué et qui s’applique. “

Extraterrorialité américaine / CloudAct - RGPD

La nouvelle guerre mondiale des Américains

  • “Il suffit par exemple que le dollar ait été utilisé dans une transaction litigieuse pour donner compétence aux Américains, ou encore que les personnes mises en cause aient utilisé une adresse e-mail fournie par Google.”
  • “Plusieurs dizaines de milliards de dollars d’amendes ont été réclamées à des entreprises françaises et européennes, au motif que leurs pratiques commerciales, leurs clients ou certains de leurs paiements ne respectaient pas le droit américain, alors même que ces entreprises se conformaient au droit de leur pays.”
  • “Aux États-Unis, le droit est devenu une arme économique.”

Don’t expect new EU-US data transfer deal anytime soon, Reynders says 4 septembre

  • “Il n’y aura pas de “solution miracle” à un accord révisé sur le transfert de données entre l’UE et les États-Unis, suite à la décision des juges européens de juillet d’annuler l’accord sur le bouclier de protection de la vie privée, a déclaré le commissaire européen à la justice, Didier Reynders, aux députés européens.”
  • “Un arrêt de la Cour européenne de justice du 16 juillet a estimé que le régime de surveillance américain ne permet pas un degré suffisant de protection des données européennes, les exposant ainsi à un risque qui violerait les droits accordés aux citoyens en vertu du règlement général sur la protection des données de l’UE (RPGD).”
  • “La section 702 de la loi américaine sur la surveillance du renseignement étranger (FISA) autorise l’Agence nationale de sécurité à recueillir des renseignements étrangers appartenant à des non-Américains situés en dehors des États-Unis, et préoccupe depuis longtemps les militants de la protection de la vie privée en Europe.”
  • “Schrems […] a récemment reçu une lettre de Facebook, “qui dit qu’il continuera à transférer toutes les données” des utilisateurs européens de Facebook entre le bloc et les États-Unis.””

Non, le CLOUD Act n’est pas ce que vous croyez. Vraiment pas. 23 août

  • “On peut donc déduire de ce qui précède que le CLOUD Act n’étend pas les pouvoirs des autorités américaines de poursuite pénale en matière de perquisition, et que l’étendue du droit américain reste inchangée à cet égard. Il ne fait que codifier une pratique qui dure depuis que le SCA a été adopté en 1986.”
  • “L’innovation première du CLOUD Act est de permettre que des accords bilatéraux entre les Etats-Unis et des pays étrangers suppriment les interdictions susmentionnées et ensuite de permettre aux autorités de ces pays d’accéder au contenu des communications en s’adressant directement aux ISPs basés aux États-Unis”

Peut-on encore éviter le piège du CLOUD Act 21 juillet

  • “Cloud Act n’est pas compatible avec le RGPD. […] Le FISA (Foreign Intelligence Service Act), qui est largement utilisé, permet de mettre en place une surveillance sur les données d’étrangers, même hébergées hors-usa. Il n’est pas exigé que cela soit justifié par une enquête en cours. Le but de la surveillance peut être purement politique ou commercial.”

Teams : pas de chiffrement bout en bout, Microsoft s’explique 21 juillet

  • “Teams pour des réunions audio et/ou vidéo ou même des milliers lors des événements live n’est guère réaliste sur le plan technique avec le chiffrement de bout en bout”
  • “Par ailleurs le directeur technique estime que le déchiffrement des données sur les serveurs est « indispensable pour permettre la mise en place de dispositifs de type enquête numérique [N.D.R. : traduction de digital forensics analysis], recherche de contenu, conservation et audit ». Autant de fonctionnalités qui compliqueraient, voire rendraient impossible un chiffrement de bout en bout.”
  • “Microsoft entend donc bien respecter les lois qui régissent son activité, dont le CLOUD Act, mais assure dans le même temps conserver « le droit de s’opposer et de contester des requêtes lorsqu’elles seraient manifestement contraires à des lois locales.»”

Google, Apple, Facebook et Amazon sermonnés par les politiques américains 30 juillet

  • “un ancien employé d’Amazon : « [Les chefs] nous disent juste : “ne vous servez pas dans les données.” Mais c’est un véritable magasin de bonbons, tout le monde a accès à tout ce qu’il veut. »”

Privacy Shield : le Luxembourg bloque la route vers les États-Unis 29 juillet

  • “Des éléments transmis à la Cour ressort clairement que les citoyens européens ne bénéficient d’aucune voie de droit contre les autorités américaines ni devant les juridictions américaines”
  • “Le transfert des données à caractère personnel vers les Etats-Unis n’est pas possible car il ne présentera pas les garanties appropriées, aussi précis qu’on puisse l’être dans ses stipulations contractuelles”
  • “La première solution pratique à envisager est probablement celle de cesser les relations commerciales avec les entreprises américaines, dont les accords étaient basés sur le BPD, et de les remplacer par des entreprises européennes.”

L’annulation du Privacy Shield doit s’appliquer immédiatement, tranche la Cnil européenne 27 juillet

  • “Aucun délai de grâce ne sera accordé aux entreprises européennes qui transfèrent des données vers les Etats-Unis, rapporte le CEPD. L’organe de protection des données au niveau de l’Union européenne prévient que tous les transferts effectués sur la base du Privacy Shield, annulé par le juge européen, sont désormais illégaux.”
  • “A ce stade, tout transfert vers les Etats-Unis comporte un risque”

Frequently Asked Questions on the judgment of the Court of Justice of the European Union in Case C-311/18 -Data Protection Commissioner v Facebook Ireland Ltd and Maximillian Schrems 23 juillet

  • “La CJUE a estimé que les exigences du droit américain, et en particulier certains programmes permettant l’accès des autorités publiques américaines aux données personnelles transférées de l’UE vers les États-Unis à des fins de sécurité nationale, entraînent des limitations de la protection des données personnelles qui ne sont pas circonscrites de manière à satisfaire à des exigences essentiellement équivalentes à celles requises par le droit de l’UE, et que cette législation n’accorde pas aux personnes concernées des droits de recours devant les juridictions contre les autorités américaines. Du fait de l’ampleur de l’atteinte portée aux droits fondamentaux des personnes dont les données sont transférées vers ce pays tiers, la CJUE a déclaré la décision d’adéquation du Privacy Shield invalide. “
  • “Les transferts effectués sur la base de ce cadre juridique sont illégaux”

L’UE sabre le Privacy Shield, l’accord qui autorisait le transfert des données vers les Etats-Unis 16 juillet

  • “En premier lieu, le juge européen estime que les programmes de surveillance américains ne sont pas compatibles avec les principes du Règlement général sur la protection des données (RGPD)”
  • “En second lieu, la Cour affirme que “les citoyens européens n’ont pas de recours effectifs aux Etats-Unis” leur permettant de maîtriser pleinement leurs données personnelles.”

La Cour invalide la décision 2016/1250 relative à l’adéquation de la protection assurée par le bouclier de protection des données UE-États-Unis 16 juillet

  • “Selon la Cour, les limitations de la protection des données à caractère personnel qui découlent de la réglementation interne des États-Unis portant sur l’accès et l’utilisation, par les autorités publiques américaines, de telles données transférées depuis l’Union vers ce pays tiers, et que la Commission a évaluées dans la décision 2016/1250, ne sont pas encadrées d’une manière à répondre à des exigences substantiellement équivalentes à celles requises, en droit de l’Union, par le principe de proportionnalité, en ce que les programmes de surveillance fondés sur cette réglementation ne sont pas limités au strict nécessaire.”

Résultats de l’enquête par les institutions européennes concernant l’utilisation des produits et services Microsoft 2 juillet

  • Microsoft divulguerait des données personnelles (y compris les données sur les clients, les données sur les administrateurs, les données de paiement et les données d’assistance) à des tiers, y compris les services répressifs ou d’autres agences gouvernementales.

Zoom : nouveau cafouillage, nouvelle polémique 5 juin

  • “Pour les utilisateurs gratuits, nous ne voudrons pas permettre [le chiffrement de bout en bout]. Parce que nous voulons pouvoir travailler avec le FBI et les autorités locales, au cas où certaines personnes utiliseraient Zoom à mauvais escient.”

Bruno Le Maire, vent debout contre le Cloud Act américain

  • “« Plus on creuse, plus c’est inquiétant », notait en janvier Guillaume Poupard, le directeur général de l’Agence nationale de la sécurité des systèmes d’information. Au départ rassurés par la présence d’un juge dans le dispositif - ce qui distingue le Cloud Act des scandales mis à jour par Edward Snowden il y a cinq ans -, les officiels sont plus circonspects depuis qu’ils ont compris qui pouvait être considéré comme exerçant cette fonction aux Etats-Unis. Beaucoup de fonctionnaires, au département du commerce par exemple, ont ce titre. Parfois, certains observateurs vont jusqu’à citer « le shérif du coin ».”

Mme Denis : CloudAct vs. RGPD

  • “S´agissant du Cloud-Act […] ce qui est certain est qu´il y a un conflit de loi sur l´article 48 du RGPD”

Évaluation du CCBE de la loi CLOUD Act des États-Unis

  • “En tant que destinataires d’un mandat en vertu du CLOUD Act, les entreprises technologiques se trouveront entre deux lois contradictoires sur les données. Étant donné que le RGPD limite strictement les circonstances dans lesquelles les données peuvent être légalement transférées à des pays tiers et prévoit de lourdes amendes en cas de violation (allant jusqu’à 4 % du chiffre d’affaires d’une entreprise), les entreprises sont prises entre le non-respect d’un mandat des États-Unis (pour violation d’une ordonnance du CLOUD Act) et le risque de sanctions monétaires voire pénales importantes (pour violation des dispositions du RGPD)”
  • “Le CLOUD Act menace de compromettre l’inviolabilité du conseil juridique sans offrir aux avocats ou à leurs clients aucune garantie procédurale pour protéger le secret professionnel accordé par le droit de l’UE.”

Rapport Gauvain (p28-30)

  • “Les données à caractère personnel des personnes physiques, comme les données des personnes morales sont concernées”
  • “Au total, quoi qu’il en soit, le champ des infractions concernées est très vaste et comprend sans aucun doute l’ensemble des infractions de nature économique, commerciale et financière susceptibles d’affecter les entreprises françaises”

Rapport Longuet

  • “pour répondre à cette exigence [de maîtrise des données], mais aussi afin de réaliser, autant que possible, des économies d’acquisition, de gestion, de maintenance et de formation, plusieurs administrations ont fait le choix de développer leurs propres solutions informatiques, à partir de logiciels dont les codes sources sont publics. C’est, par exemple, le cas de la Gendarmerie qui, depuis 2009, a équipé les 80.000 postes informatiques de ses services de solutions informatiques libres qui lui ont permis de regagner son indépendance et sa souveraineté vis-à-vis des éditeurs privés. Il serait très utile de réaliser rapidement le bilan de cette expérience unique et d’évaluer les possibilités de son extension à d’autres ministères.”

Arnaud Coustillière, directeur général de la DGNUM

  • “On a besoin de partenaires de confiance”
    • “un cadre juridique sans extraterritorialité”
    • “une communauté de destin”

Microsoft devient le premier hébergeur de données de santé certifié en France

  • “Microsoft s’investit beaucoup dans le big data et le machine learning en santé en France”

Selon l’avocat général Saugmandsgaard Øe, la décision 2010/87/UE de la Commission relative aux clauses contractuelles types pour le transfert de données à caractère personnel vers des sous-traitants établis dans des pays tiers est valide

Le Cloud Act, la riposte américaine au RGPD européen

  • “Mais toutes ces bonnes intentions n’ont pas pesé lourd face à la logique d’extraterritorialité (judiciaire et numérique) que prône l’administration américaine, laquelle a ratifié, toute juste deux mois avant la mise en oeuvre du RGPD, son Cloud Act, en élargissant ainsi ses prérogatives au monde entier. Le RGPD est de facto piétiné par le Cloud Act : particulièrement dans son article 48, qui précise notamment que les demandes de données par un pays tiers doivent être effectuées dans le cadre d’un accord international… alors que la nouvelle loi américaine est parfaitement unilatérale.”

Question N° 101223 de Mme Isabelle Attard (Non inscrit - Calvados )

  • “« l’ensemble des produits américains doivent obtenir l’aval de la National security agency (NSA) pour être exportés ». La NSA introduit systématiquement des portes dérobées ou « backdoors » dans les produits logiciels. Un système d’information et de communication reposant majoritairement sur des produits américains comme Microsoft serait vulnérable car susceptible d’être victime d’une intrusion de la NSA dans sa totalité.”

Importance de la santé pour les Gafam

How the “Big 4” Tech Companies Are Leading Healthcare Innovation

  • “Selon Business Insider, Google Venture investit environ un tiers de ses fonds dans des startups de la santé et des sciences de la vie.”

Owkin annonce une extension de sa série A et atteint 18 millions de dollars levés

  • “Owkin annonce l’extension de sa série A auprès de Google Venture”

Alternatives au HDH-Microsoft

Teralab

  • “DATA SCIENCE FOR EUROPE : Plateforme d’intelligence artificielle et de big data”

Centre d’accès sécurisé aux données - CASD

Elixir

  • “ELIXIR est une organisation intergouvernementale qui rassemble des ressources en sciences de la vie de toute l’Europe. Ces ressources comprennent des bases de données, des outils logiciels, du matériel de formation, du stockage en nuage et des superordinateurs. L’objectif d’ELIXIR est de coordonner ces ressources afin qu’elles forment une infrastructure unique. “

GAIA-X

  • “GAIA-X: développer un écosystème européen dynamique”
  • “GAIA-X est un projet ambitieux et opportun qui créera une infrastructure de données européenne efficace, sécurisée, distribuée et souveraine dans le dialogue entre l’État, l’industrie et la recherche”
  • “Cependant, GAIA-X ne vise pas à construire le prochain fournisseur mondial de cloud, mais plutôt à permettre la participation des nombreux fournisseurs spécialisés à travers l’Europe et à les inclure dans une infrastructure de données distribuée et interconnectée”

Plateforme bigdata du partenariat entre la Caisse Nationale d’Assurance Maladie et l’Ecole polytechnique

  • “Sachant que tous les outils utilisés dans ce projet sont des standards du monde du big data , le passage à l’échelle d evient un problème mineur. De plus, fait notable : ils sont tous libres de droits ( open source ) , donc par définition très ouverts à une recherche méthodologique sans limite.”

Le CERN revient sur son projet Microsoft Alternatives (MALt) pour passer sur des solutions open source

  • “les conditions financières attractives qui avaient initialement attiré les responsables de services du CERN ont peu à peu disparu pour être remplacées par des systèmes basés sur des licences et des modèles commerciaux adaptés au secteur privé”

OVH-Outscale : le cloud souverain vraiment ressuscité ?

Health Data Hub : un collectif critique le choix Microsoft

  • “Le choix d’avoir recours à l’entreprise américaine Microsoft pour l’hébergement des données, sans qu’il n’y ait eu d’appel d’offre ou de mise en concurrence préalable interpellent les acteurs du logiciel libre français”

La France et l’Allemagne défendent un cloud souverain européen 5 juin

  • “Avec Gaia-X, la France et l’Allemagne parrainent un catalogue d’offres de stockage et de traitement de données porté par des acteurs transparents en matière de sécurité des données.”
  • “catalogue de services numériques portés par des hébergeurs et des éditeurs de logiciels qui se seront préalablement engagés sur des standards de nature à renforcer la confiance de leurs clients en matière de sécurité des données mais aussi de transparence des contrats”
  • “Il s’agit aussi de protéger les secrets industriels des entreprises contre les lois extraterritoriales qui autorisent, dans certains cas, la perquisition de données par des justices étrangères, américaines ou chinoises.”

Gaia-X : la France et l’Allemagne lancent leur Airbus européen du cloud 4 juin

Commission nationale de l’informatique et des libertés CNIL

Le Conseil d’État demande au Health Data Hub des garanties supplémentaires pour limiter le risque de transfert vers les États-Unis 14 octobre

  • “Dans son ordonnance du 13 octobre 2020, le Conseil d’État reconnaît l’existence d’un risque de transfert de données issues du Health Data Hub vers les États-Unis et demande des garanties supplémentaires. La CNIL conseillera les autorités publiques sur les mesures appropriées et veillera, pour l’autorisation des projets de recherche liées à la crise sanitaire, à ce que le recours à la plateforme soit réellement nécessaire.”
  • “Ces précautions devront être prise dans l’attente d’une solution pérenne qui permettra d’éliminer tout risque d’accès aux données personnelles par les autorités américaines, comme annoncé par le secrétaire d’État au numérique.”

Délibération no 2020-061 du 11 juin 2020 portant avis sur un projet d’arrêté fixant la liste des organismes ou services chargés d’une mission de service public pouvant mettre en œuvre des traitements de données à caractère personnel ayant pour finalité de répondre à une alerte sanitaire, dans les conditions définies à l’article 67 de la loi no 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés (demande d’avis no 20007810) 2 juillet

  • “[La CNIL] estime ainsi, compte tenu, d’une part, des missions attribuées à certains acteurs par les textes législatifs et réglementaires et, d’autre part, des informations transmises par le ministère, que certains organismes tels que les observatoires régionaux de santé ou encore les organismes et services chargés de la remontée des informations ou de la mise en œuvre des traitements de données (Agence du numérique en santé, Plateforme des données de santé, Agence technique de l’information sur l’hospitalisation) ne semblent pas agir en qualité de responsable de traitement. Ils ne devraient, dès lors, pas figurer dans l’arrêté.”
  • “La Commission considère que les traitements ne pourront être mis en oeuvre que dans le cadre d’une alerte sanitaire lancée par l’ANSP”
  • “Un certain nombre de projets récemment soumis pour autorisation et liés à la Covid-19, qui constitue un exemple d’alerte sanitaire, ne remplissent pas les critères énoncés”

Mesures d’organisation et de fonctionnement du système de santé nécessaires pour faire face à l’épidémie de covid-19 dans le cadre de l’état d’urgence sanitaire 20 avril

  • “Le contrat mentionne l’existence de transferts de données en dehors de l’Union européenne dans le cadre du fonctionnement courant de la plateforme”
  • “Les inquiétudes […] concernant l’accès par les autorités des États-Unis aux données transférées aux États-Unis, plus particulièrement la collecte et l’accès aux données personnelles à des fins de sécurité nationale”
  • “Avec des algorithmes à l’état de l’art à partir de clés générées par les responsables de la plateforme sur un boîtier chiffrant maîtrisé par la plateforme des données de santé […]. Elles seront conservées par l’hébergeur au sein d’un boîtier chiffrant, ce qui a pour conséquence de permettre techniquement à ce dernier d’accéder aux données”
  • “Eu égard à la sensibilité des données en cause, que son hébergement et les services liés à sa gestion puissent être réservés à des entités relevant exclusivement des juridictions de l’Union européenne”

Anonymisation vs. Pseudonymisation

Avis sur un projet de loi relatif à l’organisation et à la transformation du système de santé

  • “Au-delà d’un simple élargissement, cette évolution change la dimension même du SNDS, qui viserait à contenir ainsi l’ensemble des données médicales donnant lieu à remboursement”

Agence nationale de la sécurité des systèmes d’information ANSSI

Commission dela défense nationale et des forces armées—Audition, à huis clos, de M. Guillaume Poupard, directeur général de l’Agence nationale de la sécurité des systèmes d’information 27 mai

  • “Bien que non déclarée, la guerre cyber, froide ou chaude, est forte entre ennemis et alliés.”
  • “Les industries pharmaceutiques et les instituts de recherche sont des cibles de choix pour les grands services de renseignement.”
  • Concernant les données de santé : “À l’État de dire que ce sujet régalien ne concerne pas les acteurs privés”
  • “Les outils de visioconférence non européens tels que Zoom par exemple, peu sécurisés et régis par des réglementations non-européennes comme le CloudAct, sont inadaptés aux échanges sensibles.”
  • “C’est pourquoi l’État et des industriels français ou européens coopèrent actuellement en vue de développer des systèmes capables de traiter massivement des données sans recourir à des industriels américains comme Palantir. Nous avons montré que nous savions développer des technologies souveraines, maîtrisées, de confiance, avec des acteurs industriels accoutumés à travailler avec le ministère des armées”
  • “Il faut renoncer aux solutions internationales faciles d’emploi et d’accès, et souvent moins coûteuses, au moins au début…”

Sénat, audition de M. Guillaume Poupard, directeur général de l’ANSSI 12 mai

  • “Pour insister sur les notions de souveraineté : ça m’inquiète de voir les géants du numérique avancer sur ces sujets de santé. On sait très bien qu’ils connaissent beaucoup sur nous : ce qu’on lit, nos mails, ce qu’on achète, où on se trouve…

    Si demain on leur confie en plus notre santé, il y a des conflits d’intérêt majeurs que je vois se profiler. Que se passera t-il un jour quand une société comme Apple décidera de faire de l’assurance santé. Comme ils savent tout, ils font des capteurs, des montres et ont accès à différents paramètres de santé, si on est un peu parano et je suis payé pour l’être, ils auront l’idée de faire de l’assurance santé avec évidemment ce que rêve tout assureur, assurer des gens en bonne santé et de refuser des gens qui risquent de pas être en bonne santé et qui coutent cher. Et dans ce modèle la, tout modèle mutualiste explose. A moins d’être en bonne santé on ne sera plus assuré”

https://www.economie.gouv.fr/direct-video-conference-presse-sur-application-stopcovid-23-juin# 23 juin

  • “La santé publique n’est pas un sujet commercial”
  • “La portabilité reste une préoccupation”. “Dans une phase de lancement il est normal d’aller au plus simple, maintenant il faut enclencher la portabilité”
  • “En phase opérationnelle, une solution qualifiée par l’ANSSI et non soumise a des lois extraterritoriales non européenne sera de très bon goût”

Conseil National de l’Ordre Des Medecins CNOM

Medecins et patients dans le monde des data, des algorithmes et de l’intelligence artificielle

  • Recommandation #1 : “Une personne et une société libres et non asservies par les géants technologiques. Ce principe éthique fondamental doit être réaffirmé à l´heure où les dystopies et les utopies, les plus excessives, sont largement médiatisées”
  • Recommandation #33 : “Le Cnom alerte enfin sur le fait que les infrastructures de données, plateformes de collecte et d’exploitation, constituent un enjeu majeur sur les plans scientifique, économique, et en matière de cyber-sécurité. La localisation de ces infrastructures et plateformes, leur fonctionnement, leurs finalités, leur régulation représentent un enjeu majeur de souveraineté afin que, demain, la France et l’Europe ne soient pas vassalisées par des géants supranationaux du numérique”
  • “Le respect des secrets des personnes est la base même de la confiance qu’elles portent aux médecins. Il faut donc mettre cette exigence éthique dans le traitement massif des data lors de la construction des algorithmes”

Conseil d’Etat

Conseil d’État, 19 juin 2020, Plateforme Health Data Hub 19 juin

  • “Dès lors, il y a lieu de prévoir que la Plateforme des données de santé complétera, dans un délai de cinq jours, les informations ainsi diffusées, pour mentionner, d’une part, le possible transfert de données hors de l’Union européenne, compte tenu du contrat passé avec son sous-traitant, et, d’autre part, les informations adaptées relatives aux droits des personnes concernées, compte tenu, le cas échéant, de l’impossibilité d’identifier ces dernières et de la nécessité du traitement pour l’exécution d’une mission d’intérêt public, envisagées aux articles 11 et 21 du règlement général sur la protection des données.””
  • “La Plateforme des données de santé, d’une part, fournira à la Commission nationale de l’informatique et des libertés, dans un délai de cinq jours à compter de la notification de la présente décision, tous éléments relatifs aux procédés de pseudonymisation utilisés, propres à permettre à celle-ci de vérifier que les mesures prises assurent une protection suffisante des données de santé traitées”

Conseil National des Barreaux CNB

Motion portant sur la creation du GIP Plateforme des donnees de sante dit HealthDataHub

  • “MET EN GARDE contre les risques de violation du secret médical et d’atteinte au droit à la vie privée”

Comite consultatif National d’Ethique CCNE

Données massives et santé : une nouvelle approche des enjeux éthiques

  • “Face au défi technologique que posent, pour la souveraineté nationale et européenne, le stockage, le partage et le traitement des données massives dans le domaine de la santé, le CCNE préconise le développement de plateformes nationales mutualisées et interconnectées. Ouvertes selon des modalités qu’il faudra définir aux acteurs publics et privés, elles doivent permettre à notre pays et à l’Europe de préserver leur autono-mie stratégique et de ne pas perdre la maîtrise de la richesse que constituent les données, tout en privilégiant un partage contrôlé qui est indispensable à l’efficacité du soin et de la recherche médicale.”

Numérique et Santé : Quels enjeux éthiques pour quelles régulations ?

Article de loi / officiel

RAPPORT D’INFORMATION en conclusion des travaux de la mission d’évaluation et de contrôle des lois de financement de la sécurité sociale sur le dossier médical partagé et les données de santé 22 juillet

  • “L’historique des remboursements effectués par l’assurance maladie est versé automatiquement, sauf opposition du patient, dans tout nouveau dossier médical partagé, permettant de ne plus créer de DMP vides.”
  • “Ainsi la rémunération sur objectifs de santé publique (ROSP) des médecins libéraux inclut désormais un critère tenant à l’utilisation d’un logiciel compatible avec le DMP. Afin de favoriser une dynamique d’ouverture, un intéressement d’un euro par dossier créé par les pharmacies a été mis en place par avenant conventionnel pour les officines.”
  • “Les données de santé contenues dans les DMP pourraient, en toute sécurité, être anonymisées et remontées pour alimenter le Health Data Hub”
  • “La loi donne enfin une base légale à la création d’entrepôts de données constitués à partir des données issues du SNDS. Leur constitution permettra de faciliter la procédure d’instruction par la CNIL, qui n’aura plus à se prononcer sur des appariements multiples par plusieurs décisions distinctes. C’est en ce sens qu’il faut comprendre l’extension du SNDS aux données cliniques, la suppression des finalités de recherche, d’étude ou d’évaluation au profit de la finalité d’intérêt public, mais aussi l’évolution du régime juridique des données de santé lorsque le numéro d’inscription au RNIPP est utilisé en tant qu’identifiant national de santé (INS).”
  • ” Ainsi, à courte échéance, le dispositif d’« opt-in » sera remplacé par un dispositif d’« opt-out ». Dans le cadre de l’examen du projet de loi d’accélération et de simplification de l’action publique, le Sénat a adopté le 5 mars 2020 un amendement repoussant au 1er janvier 2022 l’ouverture automatique du DMP, afin de faire coïncider cette date avec celle de l’ouverture automatique de l’ENS. Le DMP serait alors automatiquement créé comme une composante indissociable de l’ENS. “

Arrêté du 10 juillet 2020 prescrivant les mesures générales nécessaires pour faire face à l’épidémie de covid-19 dans les territoires sortis de l’état d’urgence sanitaire et dans ceux où il a été prorogé 11 juillet

  • “Les données ne peuvent être traitées que pour des projets poursuivant une finalité d’intérêt public en lien avec l’épidémie actuelle de covid-19 et jusqu’à l’entrée en vigueur des dispositions prises en application de l’article 41 de la loi du 24 juillet 2019 susvisée et au plus tard le 30 octobre 2020.”

Mme Nathalie GOULET : Création d’une commission d’enquête sur la protection des données de santé 26 juin

  • “Après avoir examiné les conditions de passation d’un accord confiant la gestion des données de santé française à la société Microsoft, la commission d’enquête s’attachera à élaborer des préconisations pour renforcer la souveraineté numérique française et pour assurer une gestion plus sûre des données de santé de notre système de santé et de nos concitoyens. “

Décret n° 2020-551 du 12 mai 2020 relatif aux systèmes d’information 12 mai

Arrêté : épidémie de covid-19 dans le cadre de l’état d’urgence sanitaire 21 avril

Décret n° 2017-412 du 27 mars 2017 relatif à l’utilisation du numéro d’inscription au répertoire national d’identification des personnes physiques comme identifiant national de santé, modifié en octobre 2019

  • “I.-L’identifiant national de santé défini à l’article L. 1111-8-1 est le numéro d’inscription au répertoire national d’identification des personnes physiques (NIR). “
  • “L’identifiant national de santé est utilisé pour référencer les données de santé et les données administratives de toute personne bénéficiant ou appelée à bénéficier d’un acte diagnostique, thérapeutique, de prévention, de soulagement de la douleur, de compensation du handicap ou de prévention de la perte d’autonomie, ou d’interventions nécessaires à la coordination de plusieurs de ces actes.”

Naissance HealthDataHub : LOI n° 2019-774 du 24 juillet 2019 relative à l’organisation et à la transformation du système de santé

Article 48 - RGPD - “Transferts ou divulgations non autorisés par le droit de l’Union”

  • “Toute décision d’une juridiction ou d’une autorité administrative d’un pays tiers exigeant d’un responsable du traitement ou d’un sous-traitant qu’il transfère ou divulgue des données à caractère personnel ne peut être reconnue ou rendue exécutoire de quelque manière que ce soit qu’à la condition qu’elle soit fondée sur un accord international, tel qu’un traité d’entraide judiciaire, en vigueur entre le pays tiers demandeur et l’Union ou un État membre, sans préjudice d’autres motifs de transfert en vertu du présent chapitre.”

Health Data Hub mission de préfiguration

  • “Le patrimoine de données de santé est une richesse nationale et chacun en prend peu à peu conscience.[…] La souveraineté et l´indépendance de notre système de santé face aux intérêts étrangers, ainsi que la compétitivité de notre recherche et de notre industrie dépendront de la vitesse de la France à s´emparer du sujet.”

Confirmation de Microsoft au Sénat

Naissance HealthDataHub : LOI n° 2019-774 du 24 juillet 2019 relative à l’organisation et à la transformation du système de santé

Loi pour une République numérique

  • “veiller à préserver la maîtrise, la pérennité et l’indépendance de son système d’information”
  • “encourager l’utilisation des logiciels libres et des formats ouverts lors du développement, de l’achat ou de l’utilisation, de tout ou partie, de ce système d’information”

Articles scientifiques

Estimating the success of re-identifications in incomplete datasets using generative models

  • “nous constatons que 99,98% des Américains seraient correctement ré-identifiés dans n’importe quel ensemble de données en utilisant 15 attributs démographiques”

The Biggest Cybersecurity Threats Are Inside Your Company

  • “IBM a constaté que 60% de toutes les attaques étaient perpétrées par des initiés”

Doctolib

Sur Doctolib, le secret médical est soigné avec beaucoup trop de légèreté 16 juillet

  • “le Conseil national de l’Ordre des médecins considère qu’un rendez-vous est déjà une donnée de santé, à protéger comme il se doit”
  • “depuis l’an dernier, pour «sécuriser son business », comme le mentionne un document interne daté du 8 avril 2019, la licorne a recours aux data centers d’une société américaine bien connue : Amazon Web Services, la division cloud du géant.”

Mes réponses aux fausses accusations portées contre Doctolib dans l’article publié le 16 juillet 2020 par Télérama 16 juillet

  • “Aucun salarié de Doctolib ne peut avoir accès aux données, à l’exception de 10 ingénieurs chargés de l’administration de la base de données dans le cadre d’une procédure très stricte et encadrée.”

Voir Zotero →