Question de M. RAYNAL Claude (Haute-Garonne - SOCR) publiée le 30/01/2020
M. Claude Raynal attire l'attention de Mme la ministre des solidarités et de la santé sur le choix de stocker le « health data hub » dans une société soumise au « cloud act » américain.
Créé par l'article 41 de la n° 2019-774 du 24 juillet 2019 relative à l'organisation et à la transformation du système de santé, le « health data hub » est géré par le groupement d'intérêt public « plateforme des données de santé ». Si ce fichier centralisé des données de santé de l'ensemble de nos concitoyens constitue un progrès considérable, les modalités de stockage de ses données interrogent.
En effet, le choix d'une société américaine, en l'occurrence Microsoft, est problématique dans la mesure où cette dernière est soumis au cloud act (le « clarifying lawful overseas use of data act ou cloud act (H.R. 4943) adopté le 6 février 2018). Ce dernier prévoit par exemple que les entreprises américaines doivent « communiquer les contenus de communications électroniques et tout enregistrement ou autre information relatifs à un client ou abonné, qui sont en leur possession ou dont ils ont la garde ou le contrôle, que ces communications, enregistrements ou autres informations soient localisés à l'intérieur ou à l'extérieur des États-Unis ».
Au-delà de la question de la conformité d'une telle décision avec le règlement général de la protection des données (RGPD), ce choix a des conséquences lourdes tant pour le respect de la vie privée de nos concitoyens, que pour la souveraineté numérique de la France.
Face à cette situation plus que préoccupante, il souhaiterait connaître les mesures envisagées pour éviter que les données de santé de nos concitoyens se retrouvent en possession d'autres pays.
- page 504
Réponse du Ministère des solidarités et de la santé publiée le 13/02/2020
Dès leur arrivée sur la plateforme technologique, les données sont placées sous la responsabilité du Groupement d'Intérêt Public (GIP) Plateforme des Données de Santé (ou Health Data Hub). Celui-ci s'engage à garantir un très haut niveau de sécurité et de protection des données. Il respecte notamment les textes applicables au traitement des données de santé, tels que le RGPD, la Politique de sécurité des systèmes d'information de Santé et plus spécifiquement le référentiel de sécurité du Système national des données de santé (SNDS). Le Health Data Hub s'engage à veiller au respect des droits des citoyens et à faciliter l'exercice de ces droits en collaboration avec les responsables des données. Le contexte de sécurité de la plateforme a été défini dans le cadre d'une démarche conduite en collaboration avec l'Agence nationale de la sécurité des systèmes d'information et le Haut fonctionnaire de défense et de sécurité du ministère des solidarités et de la santé. Des mesures aussi bien organisationnelles que techniques sont mises en place pour : assurer une défense en profondeur à l'aide de plusieurs niveaux de sécurité basés sur des solutions indépendantes et certifiées nationalement ou internationalement ; garantir qu'aucune personne ne détienne les droits de traiter à lui seul les données de la plateforme technologique ou d'ajouter de nouveaux utilisateurs ; et tracer l'intégralité des actions réalisées par les utilisateurs classiques et à privilèges, analyser ces traces en continu et les archiver quotidiennement chez un tiers-archiveur français de confiance. Plus précisément, les projets seront conduits intégralement dans un espace projet sécurisé dont l'accès est maîtrisé puisque l'identité des utilisateurs est assurée à l'aide d'une authentification double-facteur. Après s'être connectés, les utilisateurs ont seulement accès à un espace qui est dédié à leur projet et où l'équipe du Health Data Hub a déposé uniquement les données validées au préalable et nécessaires à la bonne conduite de leurs travaux ; enfin, cet espace est entièrement hermétique, les utilisateurs n'ont ni les droits d'administration ni accès à internet. La sécurité du stockage des données est assurée grâce aux mesures suivantes : les données sous la responsabilité du Health Data Hub sont stockées chiffrées ; les clés de chiffrement utilisées sont elles-mêmes protégées à l'aide d'un module de haute sécurité, indépendant et disposant de certifications reconnues internationalement ; Microsoft est certifié « hébergeur de données de santé » selon les normes de l'agence numérique de la santé et les centres de données utilisés sont localisés en Union européenne ; la plateforme est uniquement opérée par les agents du Health Data Hub. Microsoft ne fournit qu'une des solutions techniques permettant de la construire, ses équipes n'y ont pas accès. Les agents du Health Data Hub en question ont des rôles définis et cloisonnés de telle sorte qu'un acte de malveillance puisse être contenu ; la sécurité de la plateforme est testée et revue fréquemment par des experts indépendants du Health Data Hub : des audits techniques seront régulièrement réalisés par l'Agence nationale de la sécurité des systèmes d'information et par des prestataires indépendants qu'elle a qualifiés et aucune faille permettant l'exfiltration de données n'a été détectée sur la plateforme lors du dernier audit. C'est parce que les données stockées ne sont pas parfaitement anonymes que le niveau requis de sécurité est élevé. L'anonymisation complète n'est pas souhaitable dans le contexte du Health Dara Hub car elle empêcherait tout réel travail de recherche ou d'innovation (les données anonymes étant soit extrêmement génériques ou fortement agrégées). La plateforme est justement construite pour offrir l'accès à des données sensibles, dans un cadre hautement sécurisé, à des projets dont la valeur scientifique et éthique a été instruite par un comité indépendant et autorisés par la CNIL. Le Health Data Hub a fait le choix de s'appuyer sur l'une des solutions d'hébergement à l'état de l'art, malgré son origine américaine, pour bâtir une plateforme technologique. Seule cette solution présente actuellement le niveau de maturité suffisant pour assurer la mise en place d'un environnement de recherche sécurisée mais répondant aussi aux besoins fonctionnels des utilisateurs cibles. Le risque lié à l'irréversibilité de la solution est moins sur l'utilisation de licences payantes (les logiciels open-source en proposent aussi) que le recours à des formats propriétaires, ce qui ne sera pas le cas sur la plateforme technologique du Health Data Hub. Les données et résultats seront donc bien basés sur des formats portables et classiquement utilisés par la communauté. Par ailleurs, la plateforme technologique est développée selon une logique d'« Infrastructure as Code » ou « Infrastructure programmable » à l'aide de langages indépendants, permettant de la redéployer aisément sur une autre solution d'hébergement (du même niveau de maturité). Dans cette optique, une étude de réversibilité a été menée afin de faciliter la migration dès lors qu'une offre française performante sera disponible et sera régulièrement actualisée. Des états de situations sont régulièrement réalisés avec la direction interministérielle du numérique et la direction générale des entreprises afin de faire le point sur l'offre française et la stratégie nationale du cloud souverain et pouvoir basculer sur ces solutions le moment venu. La mise à jour du plan de réversibilité est ainsi indiquée dans la feuille de route stratégique du Health Data Hub publiée. Les inquiétudes liées au CLOUD Act peuvent être redimensionnées au regard des faits suivants : ce texte explicite un droit international qui existe déjà et n'est applicable que dans le cadre d'enquêtes judiciaires portant sur des crimes graves (terrorisme, pédophilie, etc.). Il n'est notamment pas applicable dans le cadre d'action d'espionnage ou d'enquêtes à visée commerciale. Le département de la justice américaine ayant explicitement indiqué que le CLOUD Act ne s'applique que pour obtenir des données explicites (dont directement nominatives) de la cible de l'enquête judiciaire, il ne s'appliquera donc pas au contexte du Health Data Hub puisque l'intégralité des données stockées dans la plateforme est dé-identifiée et chacun des jeux de données est indépendamment stocké dans un espace dédié à son producteur et chiffré avec une clé à laquelle Microsoft n'a pas accès. Par ailleurs, les données sont soumises au RGPD qui prévoit des sanctions en cas de mauvais usage. Une explication du CLOUD Act par le cabinet d'avocats Desmarais peut être trouvée sur : https://www.desmarais-avocats.fr/cloud-act-entre-epouvantail-legislatif-et-chasse-aux-sorcieres/. Par ailleurs, le CLOUD Act ne s'impose pas qu'aux entreprises américaines mais à toute entreprise ayant une activité sur le sol américain. Enfin, les données stockées ne constituent pas un méga fichier car il ne s'agit pas d'une base unique centralisée mais un système de bases qui peuvent être appariées en cas de besoin. La plateforme est, au contraire, développée de manière à ce qu'aucune donnée ne soit centralisée au même endroit : puisque chaque projet n'a accès qu'à un espace dédié au projet, il ne voit ni les données du catalogue ni celles des autres projets mais uniquement celles qui lui ont été confiées selon l'autorisation CNIL qu'il a obtenue le cas échéant ; chacun des jeux de données du catalogue est stocké chiffré dans un espace dédié aux données de son producteur ; des clés différentes sont utilisées dans la plateforme de sorte qu'il ne soit pas possible d'apparier directement deux jeux de producteurs distincts, sauf après des traitements spécifiques nécessitant l'intervention de trois agents différents, dont le responsable des équipes d'opération de la plateforme. Au-delà des aspects relatifs à la protection des données, le Health Data Hub est chargé d'une obligation de transparence sur tous les projets menés avec des données du SNDS en application de l'article L. 1461-3 du code de la santé publique. Indépendamment de leur lieu de réalisation, les finalités des projets mobilisant des données du SNDS sont rendues publiques ainsi que leurs méthodes et des éléments de résultats. La loi n° 2019-774 du 24 juillet 2019 portant organisation et transformation du système de santé a également confié au Health Data Hub une mission d'information du citoyen dont la première manifestation est la formulation des engagements du Health Data Hub vis à vis de la société civile. Cette démarche n'est que la première étape d'une politique de communication plus générale, pilotée par le Health Data Hub, qui a pour objectif de délivrer une information récurrente et adaptée à toutes les populations concernées. Ces engagements ont été élaborés en concertation avec les acteurs de l'écosystème et notamment les associations de patients et d'usagers et journalistes. Ils devraient être publiés très prochainement. Le décret relatif au SNDS décrit également les modalités d'information des personnes qui incombent aux responsables de traitement du SNDS et à chaque responsable des données. En cas d'exercice de leurs droits par les citoyens auprès du délégué à la protection des données du Health Data Hub, ce dernier les invite à contacter les responsables de données qui sont seuls à disposer des identifiants directs des personnes et donc à pouvoir donner suite à un exercice des droits. Il est également prévu que les coordonnées des correspondants à contacter pour exercer les droits soient disponibles sur le site internet du Health Data Hub. Les modalités pratiques seront déterminées en fonction des responsables des données et des besoins des projets. Et le Health Data Hub pourra porter assistance à tout citoyen qui le souhaiterait pour l'aider à exercer ses droits.
- page 819
Page mise à jour le