Posted by 
La sécurité juridique dans le cloud préalable à la migration des données de santé du SNDS élargi vers le Health Data Hub
Enjeu technologique, sanitaire et juridique
Eléonore Scaramozzino, Avocat Partenaire, Constellation Avocats
L’accès aux données de santé est un enjeu pour la recherche médicale et de manière plus générale pour l’innovation dans la santé. La loi n° 2016-41 du 26 janvier 2016 relative à la modernisation du système de santé pose les premiers jalons des « conditions d’un accès ouvert aux données de santé ». Cette loi définit « les équilibres entre la protection des données des patients et les nécessités de la recherche » créé le Système national des données de santé (SNDS) ainsi que les procédures permettant d’y accéder. Cependant, les procédures d’accès aux données se révèlent lourdes et augmentent les délais d’accès. La loi n° 2019-774 du 24 juillet 2019 sur Organisation et Transformation du Système de Santé a voulu répondre à cette nécessité de faciliter l’accès aux données de santé par la création de la plateforme de données de santé, plus connue sous le nom de Health Data Hub (HDH). En 2021, Le HD avec le Grand Défi “comment améliorer les diagnostics avec l’intelligence artificielle”, a porté le programme Data Challenge qui bénéficie à sept sociétés savantes. En fin novembre, le HDH a lancé avec Unicancer, un appel à projets pour préfigurer leur ambitieux projet de base de données majeur en oncologie. Le Health Data Hub, accompagne aujourd’hui 55 projets et une dizaine accèdent – ou sont sur le point d’accéder – à la plateforme technologique.
La publication de sa feuille de route 2022 atteste des ambitions européennes de la plateforme de contribuer à la préfiguration l’espace européen des données de santé. Le HDH a en effet récemment construit un consortium composé de 15 partenaires européens stratégiques (plateformes de données de santé, infrastructures de recherche, agences européennes et associations) en vue de répondre à un appel à projets de la Commission européenne paru en fin d’année dernière. Le consortium lauréat sera co-financé pour prototyper une première version d’Espace Européen des Données de Santé (EHDS) pendant 2 ans.
Cependant son évolution est compromise par la question de la sécurité juridique dans le cloud. Le choix de l’hébergement des données de santé chez Microsoft suscite des inquiétudes au regard de la législation américaine du Cloud Act. Le retrait de la demande d’autorisation de la Cnil pour le fonctionnement effectif du HDH, l’opposition de la CNAM qui réclame un appel d’offre pour le changement d’hébergement, reporté après les élections de cet appel d’offres attestent d’une menace sur le futur de cette plateforme. L’enjeu de sécurité juridique dans le cloud devient prioritaire pour développer la recherche médicale.
Décryptage sur le point de crispation de sécurité des données de santé à l’heure de la migration du SNDS vers le HDH
Le SNDS élargi
La loi n°2019-774 du 24 juillet 2019 a ajouté de nouvelles catégories de données, telles que les données issues de la prise en charge médicale lorsque les actes sont remboursés par la sécurité sociale, les données issues des visites médicales scolaires, des services de protection maternelle ou infantile, des visites de santé au travail ou des enquêtes appariées, etc. L’ensemble de ces données entre dans le périmètre du « SNDS élargi ». Ce rattachement juridique au « SNDS élargi » n’emporte pas pour autant à lui seul de migration des données au sein d’une base centralisée.
Modification de la gouvernance du SNDS : le HDH devient co-responsable de traitement
En 2016, la mise à disposition des données de santé est réalisée par la CNAM. En effet, le décret n° 2016-1871 du 26 décembre 2016 précise que la CNAM met « les données qu’elle rassemble, dans le cadre du SNDS, à disposition des responsables de traitements » autorisés à y accéder. Cette gouvernance du SNDS est modifiée par la loi de 2019.
En effet, le décret no 2021-848 du 29 juin 2021 relatif au traitement de données à caractère personnel dénommé « système national des données de santé » institue une nouvelle gouvernance des données du SNDS (art L 1461-7 CSP), dans laquelle le HDH et la CNAM sont co-responsables de traitement du SNDS (Art. R. 1461-3. – I CSP). La Plateforme des données de santé et la Caisse nationale de l’assurance maladie mettent des données à disposition des organismes responsables des traitements prévus aux 1o et 2o du I de l’article L. 1461-3 dans un délai raisonnable.
L’étendue de la mission de la CNAM est similaire à celle qui lui était confiée dans le cadre du SNDS historique : elle est responsable de l’alimentation du SNDS étendu par toutes les données du SNDS historique, à l’exception de celles de l’échantillon des organismes d’assurance maladie complémentaire. Le HDH de son côté veille à l’enrichissement progressif de la base principale par toutes les autres sources de données visées à l’article L. 1461-1 du Code de la santé publique.
Pour l’accomplissement de ses missions, la Plateforme doit détenir une copie de la base principale détenue par la Caisse nationale de l’assurance maladie, ainsi qu’une copie des bases inscrites dans le catalogue.
L’architecture technique prévue par la loi de 2019 repose sur une duplication du SNDS
Le HDH disposera d’une copie de la base principale, pour répondre efficacement aux demandes et notamment pour la réalisation d’appariements ad hoc entre base principale et catalogue. Il s’agit d’une duplication d’une base de données sensibles couvrant l’ensemble de la population française. Cette duplication implique de transférer régulièrement un grand volume de données entre la CNAM et la PDS, ainsi que de partager des identifiants pseudonymisés. Pour passer à l’échelle, les données du SNDS historique et du catalogue, et donc SNDS élargi doivent migrer sur la plateforme de données de santé. Cette migration conduit le HDH a devenir lui-même un entrepôt de données de santé (EDS). La constitution de cet entrepôt est soumise au préalable à une autorisation de la Cnil qui devra vérifier la conformité de l’entrepôt aux dispositions du RGPD et notamment le volet sécurité de l’hébergement des données de santé.
La demande d’autorisation adressée à la CNIL en décembre 2021 concernait la centralisation, au sein de la Plateforme des données de santé (HDH), des données du Système National des Données de Santé (SNDS), le catalogue et donc les nouvelles bases de données. Cette demande d’autorisation d’hébergement a été retirée.
Le Health Data Hub reste donc en mode pilote. Sans autorisation de la Cnil, il ne peut pas fonctionner de manière pleine et normale. Il fonctionne avec des projets pilotes, très limités et soumis à autorisation de la Cnil. Pour l’instant, les données de santé sont accessibles uniquement par le guichet de la CNAM.
La sécurité juridique dans le cloud : un préalable à la duplication du SNDS
Le choix de Microsoft comme hébergeur des données de santé des français est fondé sur des fonctionnalités spécifiques, qui en 2019 ne pouvaient être offertes par les autres concurrents. Le secrétaire d’Etat chargé de la transition numérique et des communications électroniques a déclaré le 2 février dernier lors de son audition devant la Commission d’enquête sur l’influence croissante des cabinets de conseil privés sur les politiques publiques du Sénat que le cabinet a notamment effectué un « benchmark » de la solution technique susceptible d’être retenue pour le HDH. Onze organismes ont été consultés pour l’hébergement de la plateforme. « A l’issue du comparatif, il apparaît que seule la société Microsoft est capable de répondre à l’ensemble des prérequis ». Le choix de Microsoft a été fait hors procédure d’appel d’offre.
Dans son arrêt Schrems II, du 16 juillet 2020, la Cour de Justice de l’Union européenne a invalidé le Privacy Shield. Dans son arrêt, elle a analysé la législation américaine en matière d’accès aux données des fournisseurs de services Internet et entreprises de télécommunications par les services de renseignement américains (Section 702 FISA et Executive Order 12 333). Elle en a conclu que les atteintes portées à la vie privée des personnes dont les données sont traitées par les entreprises et opérateurs états-uniens soumis à cette législation sont disproportionnées au regard des exigences de la Charte des Droits Fondamentaux. En particulier, la Cour a jugé que la collecte des données par les services de renseignement n’est pas proportionnée et que les voies de recours, y compris juridictionnelles, dont disposent les personnes à l’égard du traitement de leurs données sont insuffisantes. Le Cloud Act, les données d’acteurs français hébergées par des Américains sont vulnérables Microsoft est une société soumise à la législation américaine et pourrait dès lors être contrainte d’autoriser l’accès aux autorités américaines en vertu du Cloud Act.
En novembre 2020, le choix de Microsoft a été critiqué par la CNIL et le Conseil d’Etat. Le Ministre de la Santé s’est engagé à trouver une solution technique conforme au droit national et européen dans un délai entre 12 et 18 mois.
Le 20 janvier 2022, le secrétaire d’Etat chargé de la transition numérique et des communications électroniques a déclaré que l’appel d’offre est reporté après la présidentielle.
Les exigences de la CNAM sur la migration des données de santé vers le HDH
Dans son communiqué du 3 février 2022, la Présidence de la CNAM indique que le Conseil de la Cnam a adopté un avis relatif à la mise en place de la plateforme des données de santé. Pour le Conseil d’Administration de la Cnam, le Health Data Hub doit être rapatrié sur « une plateforme technologique souveraine ». Il demande une sélection transparente, en procédant à un appel d’offres à la suite d’un audit indépendant et en publiant le cahier des charges exhaustif. Pour garantir la confiance dans la plateforme, il appelle à « un haut niveau de sécurité, basé sur des expertises et des certifications les plus avancées, notamment en sanctuarisant dans la loi l’hébergement du SNDS sur le territoire national, par une entreprise soumise exclusivement au RGPD et en optant pour un hébergement disposant d’un niveau de certification le plus avancé actuellement HDS et SecNum Cloud ».
A suivre…..