Health Data Hub : Les données doivent rentrer au bercail

Rapatrier les données du Health Data Hub stockées par Microsoft vers des opérateurs européens ? C’est la promesse formulée par le ministre de la Santé Olivier Véran dans une lettre adressée à la Commission Nationale Informatique et Liberté (CNIL), inquiète des risques de transmission des données de santé au gouvernement américain.
 
Créé fin 2019, le Health Data Hub est une plateforme pensée pour faciliter le partage des données de santé afin de faciliter la recherche. « L’objectif est d’aller plus loin que l’Institut National des Données de Santé. Nous nous sommes rendu compte qu’il était compliqué pour la recherche d’agréger des données de plusieurs sites hospitaliers. La promesse du Health Data Hub est de rendre possible certains projets qui ne l’étaient pas jusqu’alors », nous détaille Stéphanie Combes, directrice de la structure. Afin d’héberger ce nombre conséquent de données de santé, la plateforme s’est tournée, le 15 avril 2020, vers la filiale américaine Microsoft Azure.
 
Un choix récrié par de nombreux syndicats et collectifs, à l’instar de InterHop, le Syndicat de Médecine Générale ou encore le Syndicat National des Journalistes… Après l’invalidation par la Cour de Justice Européenne du Privacy Shield – un texte attestant que la législation européenne garantissait les mêmes sécurités que le droit européen en matière de données – en juillet, la CNIL a uni sa voix à celle des protestataires. « La CNIL a estimé que l’hébergement de la plateforme par une société de droit états-unien, pouvant être amenée à répondre à des demandes de communication de données, même pseudonymisées, était en soi problématique et devait conduire à changer d’opérateur ou à apporter des garanties spécifiques », écrivait-elle en octobre dernier.
 
Un avis qui a été entendu par le gouvernement. « Je partage pleinement vos préoccupations relatives au risque de divulgation de données hébergées par la plateforme aux autorités américaines avec le choix de l'entreprise Microsoft », répondait le ministre de la Santé dans la lettre. Une déclaration qui l’a amenée à formuler la nécessité d’adopter « une nouvelle solution technique » dans un délai compris entre « 12 et 18 mois ». « C’est dans ce contexte-là que nous nous sommes engagés à trouver une solution dans les deux ans », commente la directrice. Cela, même si le Health Data Hub ne partage pas l’analyse de la CNIL. « Sinon, on ne serait jamais parti sur cette solution technique », confie Stéphanie Combes, qui s’inquiète de ne pas disposer à l’heure actuelle d’une offre équivalente sur le Cloud Européen.  
 
Un délai, précédemment suggéré par la présidente du CNIL Marie-Laure Denis, rendu possible notamment grâce à la position du Conseil d’État. Sollicité par des associations qui en demandait la suspension immédiate, il ne s’y était pas montré favorable. « Le juge observe que les données personnelles hébergées aux Pays-Bas dans le cadre d’un contrat avec Microsoft ne peuvent légalement être transférées en dehors de l’Union européenne. Si le risque ne peut être totalement exclu que les services de renseignement américains demandent l’accès à ces données, il ne justifie pas, à très court terme, la suspension de la Plateforme, mais impose de prendre des précautions particulières », écrivait-il le 13 octobre dernier.
 
Une dernière directive sur laquelle travaille depuis le Health Data Hub. « Nous travaillons avec différents organismes qui nous permettraient de solliciter des acteurs souverains », atteste Stéphanie Combes. Une nouvelle stratégie dont les premiers éléments devraient émerger courant janvier. Un travail conséquent qui n’empêche pas la plateforme Health Data Hub de continuer à soutenir la recherche. « Nous allons pouvoir continuer notre activité », se félicite la directrice, qui souligne que la CNIL a autorisé le lancement de nombreux projets pilotes à la fin de l’année.