Comme souvent, le diable est dans le détail. Et il ne faut donc pas se limiter à lire le déjà généreux communiqué du Conseil d’État sur sa décision en référé (voir Fil-Social n°33864) concernant les risques liés à l’hébergeur retenu par le Health Data Hub (HDH), plateforme française des données de santé, pour la construction de l’imposante banque de données de santé.
Le HDH est le principal outil issu de la transformation l’Institut national des données de santé, lui même créé en 2017 pour succéder à l’Institut des données de santé. L’objectif était de donner au système de santé un outil de pilotage par les statistiques.
Au début de la crise sanitaire, nombreux se demandaient à quoi servait ce HDH aujourd’hui (voir Fil-Social n°32548), une réponse leur était donnée, du moins on pouvait le penser, avec un arrêté du 21 avril qui mettait en place un régime dérogatoire d’utilisation des données de santé autour de la Covid-19 (voir Fil-Social n°32754). À ce moment déjà, il fallait relever que le HDH n’était pas seul à bénéficier de ce régime dérogatoire, puisque la Cnam se voyait reconnaître la même faculté.
Le risque américain
Le dossier aurait pu suivre sa destinée tranquillement si n’était pas intervenu le choix de l’hébergeur de ces données, l’opérateur retenu étant la filiale irlandaise de l’américain Microsoft. Quand on sait le peu de cas que fait la réglementation américaine de la protection des données personnelles, les craintes de transferts vers les Etats-Unis pouvaient s’exprimer, ce qui n’a pas manqué.
Différents acteurs avaient donc saisi le Conseil d’État, en s’appuyant sur une jurisprudence récente de la Cour de justice de l’Union Européenne impliquant un autre américain, Facebook. La CJUE avait estimé, en substance, que les protections offertes par un accord entre les Etats-Unis et l’Europe étaient insuffisantes au regard des textes régissant les données personnelles sur le vieux continent.
Une décision finalement assez restrictive
Le décor étant planté, que retenir de la décision de la juridiction française ? Sa lecture attentive laisse penser qu’elle est beaucoup plus restrictive et porteuse d’effets que sa présentation pouvait le faire croire. Le Conseil d’État prend acte de la situation extraordinaire, la Covid-19, pour valider le recours à un opérateur qui présente manifestement un risque. Et demande à la Cnil de bien veiller au strict respect du champ des études autorisées, à savoir la Covid.
Tout cela en attendant que des garanties solides soient apportées par l’actuel dispositif, ou que celui-ci soit modifié par un changement d’opérateur. Cette perspective a d’ailleurs récemment été mentionnée par Cédric O, Secrétaire d’Etat chargé de la Transition numérique et des Communications électroniques, qui évoquait le recours à un « Cloud européen » construit avec las Allemands.
Toujours en regardant les détails, on se rend compte que la Cnil regarde d’un très mauvais œil le dispositif actuel. Il suffit de prendre connaissance de ces remarques autour de cette instance pour ne pas en douter. Bref, on peut compter sur cette instance pour être particulièrement regardante dans son examen des demandes d’agréments d’études. Et celles-ci, en respect de la décision administrative, ne pourront concerner que la Covid. Ce qui fait perdre toute une partie de sa substance, et donc de sa légitimité au HDH.
Le Conseil de la Cnam, réuni ce 15 octobre, devait se prononcer sur un projet de décret relatif au SNDS. Et il ne l’a pas fait, son ordre du jour étant (opportunément ?) surchargé par les dossiers Covid. Du coup, l’examen du texte est renvoyé à une commission mixte (législation et système d’information). Peut-être une façon élégante de donner du temps aux autorités compétentes, la Drees et le gouvernement, de prendre la décision de changer d’opérateur.
Est-ce possible sur le plan technique ? Ce n’est pas l’avis de la directrice du HDH, Stéphanie Combes, récemment auditionnée par la Cnam. Pour celle-ci, aucun acteur n’est en capacité de proposer les prestations de Microsoft. Pour les professionnels du secteur, cela reste à prouver. Et, comme on l’a vu plus haut, le doute habite les sphères gouvernementales qui ont décidément bien du mal avec les données liées à la santé.
La Cnam en alternative ?
Face à ce qui est une perspective très sérieuse de blocage, peut-on faire l’économie d’un changement d’opérateur ? Beaucoup sont persuadés que c’est la seule solution. En attendant, la Cnam pourrait bien jouer un rôle important, surtout vu l’urgence, le décret fondateur d’avril lui donnant les mêmes prérogatives que le HDN.
Elle a pour elle la parfaite connaissance des bases et les ressources humaines nécessaires à conduire de tels projets. Et de là à penser qu’elle pourrait prendre une part encore plus importante une fois la période de transition passée, le chemin n’est pas très long. Et certains y pensent...
mm
