Le risque d’accès par les autorités américaines est réel

Thomas Dautieu

Directeur de la conformité pour la Cnil

Le Health Data Hub vise à mieux utiliser les données de santé à des fins de recherche médicale, ce dont tout le monde doit se féliciter. Cela étant, la centralisation d’un nombre très important de données aussi sensibles, et leur accès par des organismes extérieurs, appelle une vigilance toute particulière. À ce titre, la Cnil se prononcera prochainement sur la sécurité de la solution technologique hébergeant le HDH. S’agissant du choix de Microsoft, la Cnil a souhaité que le HDH recoure à des services d’hébergement des données relevant exclusivement des juridictions de l’Union européenne. Elle a en effet estimé, avec le prestataire actuel, que le risque d’accès par les autorités américaines était réel, et doit disparaître.

Le ministère de la santé s’est d’ailleurs engagé à recourir à une solution technique permettant de ne pas exposer les données hébergées par le HDH à d’éventuelles demandes d’accès illégales au regard du Règlement général sur la protection des données (RGPD) dans un délai compris entre 12 et 18 mois et, en tout état de cause, ne dépassant pas deux ans. La Cnil considère que ce délai paraît de nature à garantir un juste équilibre entre la préservation du droit à la protection des données personnelles et l’objectif de favoriser la recherche et l’innovation dans le domaine de la santé.

----

Il faut être pragmatique

Bernard Nordlinger

Professeur de chirurgie, président du Conseil éthique et scientifique pour les recherches, les études, et les évaluations dans le domaine de la santé

Lorsqu’en 2019, le Health Data Hub a été lancé, pour héberger les données de santé publiques de la France, les équipes ont fait le tour des hébergeurs et constaté que les acteurs disponibles, en Europe (Orange, OVH…), n’offraient pas le cadre technique suffisant, contrairement à Microsoft. Choisir un « cloud » européen par souverainisme aurait été compromettre la qualité de la plateforme, l’accès aux données donc in fine à la recherche. Choisir un hébergeur européen et lui demander de s’adapter aux besoins technologiques aurait pris du temps. Or, il n’y a pas de temps à perdre, quand on parle de médecine. La Cnil et des associations ont saisi le Conseil d’État, en expriment leurs craintes que certaines données puissent être transférées vers les États-Unis, la maison mère de Microsoft, où la réglementation n’est pas la même. Mais les serveurs sont hébergés en Europe, et soumis aux règles juridiques hexagonales. Je ne suis pas naïf, je sais qu’il n’existe pas de risques zéro. Mais je suis chirurgien, donc de tempérament pragmatique. J’ai l’habitude de peser la balance bénéfices-risques et elle penche du côté bénéfices. Il s’agit d’une situation transitoire en attendant que nous ayons un cloud souverain.