Plateforme des données de santé (ou Health Data Hub)

Publié le 16 octobre 2020 par Michel Bouvet

La santé est un secteur relativement en avance sur la « gestion » des données avec une vision d’utilisation par des traitements algorithmiques (dits d’« intelligence artificielle »). Il est intéressant de s’intéresser à ses enjeux « informatiques et liberté » via une publication de la CNIL.

La Plateforme des données de santé (PDS), également appelée « Health Data Hub » (HDH), a été créée par arrêté du 29 novembre 2019 pour faciliter le partage des données de santé, issues de sources très variées afin de favoriser la recherche. 

Sa création a ainsi pour ambition de répondre au défi de l’usage des traitements algorithmiques dans le domaine de la santé et suit les préconisations du rapport du député Cédric Villani de mars 2018 intitulé « Donner un sens à l’intelligence artificielle : pour une stratégie nationale et européenne ». 

Les termes « Plateforme des données de santé » peuvent faire référence :

  • au groupement d’intérêt public (GIP) chargé de la mise en place et de l’administration de cette plateforme ; cette entité juridique a succédé à l’Institut des données de santé (INDS) ;
  • à la solution technique : une plateforme technologique permettant notamment le stockage et la mise à disposition de données.

Les missions de la Plateforme, qui sont prévues par l’article L. 1462-1 du Code de la santé publique, sont multiples. Elles consistent à :

  • réunir, organiser et mettre à disposition des données, issues notamment du système national des données de santé (SNDS) et promouvoir l’innovation dans l’utilisation des données de santé ;
  • informer les patients, promouvoir et faciliter l’exercice de leurs droits ;
  • contribuer à l’élaboration des référentiels de la CNIL ;
  • faciliter la mise à disposition de jeux de données de santé présentant un faible risque d’impact sur la vie privée ;
  • contribuer à diffuser les normes de standardisation pour l’échange et l’exploitation des données de santé ;
  • accompagner, notamment financièrement, les porteurs de projets sélectionnés dans le cadre d’appels à projets lancés à son initiative et les producteurs de données associés aux projets retenus.

Au regard des enjeux « Informatiques et Libertés » que soulèvent la création de la Plateforme des données de santé, notamment s’agissant de la nature des données traitées et de leur volume, la CNIL a eu plusieurs occasions de se prononcer sur sa mise en œuvre.

Dans son avis sur le projet de loi d’organisation et de transformation du système de santé du 31 janvier 2019 portant création de la Plateforme, la CNIL a notamment attiré l’attention sur :

  • l’importance particulière, en ce domaine, d’un  niveau  élevé  de  garantie  des  droits des personnes, et notamment de la parfaite information de celles-ci sur l’usage de leurs données personnelles. Conformément aux  observations  de  la CNIL, les missions de la plateforme ont été complétées par une mission  additionnelle   d’information   des   patients  et  de promotion  et de facilitation de leurs droits ;
  • le nécessaire respect des principes de limitation et de minimisation des données par ces nouveaux traitements de recherche, présentant un caractère extrêmement sensible, dans le contexte du développement des techniques d’intelligence artificielle en santé ;
  • les risques inhérents à la concentration éventuelle de données sensibles sur la plateforme technologique, qui nécessiteront la mise en place de mesures de sécurité appropriées.

La CNIL s’est par la suite prononcée sur sa mise en œuvre anticipée en avril 2020 pour les besoins de la gestion de l’urgence sanitaire et de l’amélioration des connaissances sur la COVID-19. Dans son avis, la CNIL a notamment attiré l’attention sur :

  • les risques liés aux conditions de démarrage anticipé de la solution technique dans un contexte où la Plateforme de données de  santé  a  dû accomplir  en  quelques  semaines  des  opérations,  dont certaines structurantes, pour  garantir la  sécurité des données traitées qui étaient prévues pour s’étaler sur plusieurs mois.
  • les éventuels risques matériels et juridiques en matière d’accès direct par les autorités de pays tiers.

En outre, la Plateforme des données de santé a interrogé la CNIL sur les conditions techniques de sa mise en œuvre au regard des obligations issues du Règlement général sur la protection des données (RGPD) et de la loi Informatique et Libertés dans le cadre d’une demande de conseil. À cette occasion, la sécurité globale de la Plateforme a été évaluée et la CNIL a réitéré sa position sur la question des transferts de données hors de l’Union européenne.

Sur la constitution d’un entrepôt de données au sein de la Plateforme, la CNIL a relevé que la centralisation des données au sein de la Plateforme des données de santé implique la création d’un entrepôt de données de santé en vue de leur mise à disposition auprès d’autres responsables de traitements.

Elle a ainsi rappelé que :

  • la constitution  de  cette  base,  qui  s’inscrit  dans  un  contexte  particulier  d’urgence  et  de  gestion d’une crise sanitaire en cours, ne saurait être encadrée par l’arrêté précité que pour la période d’état d’urgence sanitaire déclaré à l’article 4 de la loi du 23 mars 2020. Au-delà, ce traitement ne disposerait plus de base légale ; 
  • des   éléments   essentiels   concernant   le   fonctionnement   de   la   Plateforme en dehors du contexte de l’état d’urgence sanitaire seront précisés dans le décret en Conseil d’Etat prévu à l’article L. 1461-7 du code de la santé publique ;
  • la centralisation de données au sein du « catalogue » de la Plateforme, qui constitue un entrepôt  de  données,  devra être  soumise  à  autorisation  préalable  de  la  CNIL,  en  application  des  dispositions  des  articles  44-3°  et  66  de  la  loi  Informatique  et  Libertés.

La CNIL considère que la sécurité des données mises à disposition par la Plateforme est assurée, sous réserve de la mise en œuvre des mesures prévues dans le plan d’action défini dans l’homologation de la Plateforme. Cependant, comme pour tout traitement de données, les mesures de sécurité devront être réévaluées régulièrement pour prendre en compte les évolutions de la plateforme et des risques associés.

La CNIL recommande également :

  • sur les imports/exports de données, qu’une vigilance particulière soit de mise afin de garantir l’anonymat effectif des exports conformément aux exigences du référentiel de sécurité du système national des données de santé et à la position prise par la CNIL dans sa délibération n° 2020-044 du 20 avril 2020 portant avis sur un projet d’arrêté complétant l’arrêté du 23 mars 2020 ;
  • qu’une vision plus globale de la sécurité de la plateforme soit donnée aux responsables de traitement afin qu’ils soient parfaitement informés des conditions de sécurité dans lesquelles les données qu’ils lui confient seront traitées.

En outre, s’agissant des conditions de démarrage anticipé de la solution technique, la CNIL a indiqué que la Plateforme des données de santé devra s’assurer que cette mise en œuvre anticipée n’engendre pas de risque supplémentaire pour les personnes concernées.

La CNIL a estimé que des données pourront être transférées hors de l’Union Européenne dans le cadre du fonctionnement courant de la solution technique, notamment pour gérer et assurer le bon fonctionnement du système informatique.

Elle a également pris acte de ce que ce transfert sera encadré par le biais de clauses contractuelles types, conformément au RGPD.

À ce titre, elle rappelle :

  • les inquiétudes soulevées à plusieurs reprises par le Comité européen de la protection des données (CEPD) concernant l’accès par les autorités nord-américaines aux données transférées aux États-Unis, plus particulièrement la collecte et l’accès aux données personnelles à des fins de sécurité nationale en vertu de l’article 702 de la loi américaine FISA et du décret (« Executive Order ») 12 333 ;
  • que les dispositions du RGPD interdisent toute demande d’accès d’une juridiction ou d’une autorité administrative d’un pays tiers, adressée à des entreprises dont les traitements sont soumis au RGPD, en dehors d’un accord international applicable ou, selon l’interprétation du CEPD, de l’application d’une dérogation relative à l’intérêt vital de la personne concernée ;
  • que les porteurs de projet recourant au service de la Plateforme doivent être informés de ce transfert.

Au vu de ce contexte et de la sensibilité et du volume des données ayant vocation à être hébergées au sein de la PDS, pour lesquelles le niveau de protection technique mais aussi juridique le plus élevé doivent être assurés, y compris en matière d’accès direct par les autorités de pays tiers, la CNIL a fait part de son souhait qu’une vigilance particulière soit accordée aux conditions de conservation et aux modalités d’accès aux données.

À plus long terme, elle a pris acte de ce qu’il lui a été indiqué que l’entrepôt appelé à être constitué au sein de la Plateforme des données de santé n’est pas lié aux services d’un unique prestataire. Elle souhaiterait, eu égard à la sensibilité des données en cause, que son hébergement et les services liés à sa gestion puissent être réservés à des entités relevant exclusivement des juridictions de l’Union européenne.

https://www.cnil.fr/fr/la-plateforme-des-donnees-de-sante-health-data-hub

Voir aussi une note du Conseil national du numérique Confiance, Innovation, Solidarité : Pour une vision française du numérique en santé https://cnnumerique.fr/files/uploads/2020/ra-sante-cnnum-web.pdf

Ce contenu a été publié dans Uncategorized. Mettez-le en favori avec son permalien.

Les commentaires sont clos.