Le Health Data Hub, en français « Plateforme des données de santé », a été créé le 30 novembre 2019 dans la lignée du rapport Villani de mars 2018. Cette plateforme a pour but de soutenir la recherche en facilitant le partage des données de santé provenant de différentes sources au moyen de traitements algorithmiques.
Le Health Data Hub est notamment chargé de plusieurs missions, comme celle de réunir, organiser et mettre à disposition les données du système national des données de santé et de promouvoir l’innovation dans l’utilisation de ce type de données, ou encore d’informer les patients, de promouvoir et de faciliter leurs droits, en particulier concernant les droits d’opposition.
La plateforme fait toutefois l’objet de nombreuses polémiques, notamment en ce qui concerne la protection des données à caractère personnel. La décision de la cheffe du projet Stéphanie Combes de faire héberger les données de santé de la plateforme par l’entreprise américaine Microsoft a ainsi suscité de vives réactions.
En ce sens, plusieurs organisations parmi lesquelles le Conseil National du Logiciel Libre (CNLL) ou encore le collectif InterHop ont déposé un référé-liberté devant le Conseil d’Etat, expliquant que l’instauration du Health Data Hub constituait une atteinte « grave et sûrement irréversible » à la protection des données de santé des Français.
Dans une ordonnance du 19 juin 2020, le Conseil d’Etat a cependant considéré que l’arrêté du 21 avril 2020 à l’origine de l’accélération du développement de la plateforme au cours de la période de la crise sanitaire ne devait pas être suspendu.
- La confirmation du Health Data Hub par le Conseil d’Etat
Le Conseil d’Etat se montre globalement favorable à l’instauration de la plateforme, y compris en ce qui concerne la question de l’hébergement des données de santé par Microsoft. De ce fait, le Cloud Act américain ne devrait pas donner lieu à des inquiétudes trop importantes selon le Conseil d’Etat. Ce dernier explique ainsi que le contrat conclu entre la plateforme et Microsoft stipule que la soumission aux exigences de la réglementation française en matière d’hébergement de données de santé sera de vigueur dans le cadre de ce partenariat.
En outre, le Conseil d’Etat ajoute que bien que Microsoft soit une société américaine, elle peut être tenue de fournir des données qu’elle contrôle dans l’hypothèse où cela est autorisé par un juge pour les besoins d’une enquête criminelle, bien qu’elle soit située aux Etats-Unis.
- L’obligation de se référer à la CNIL sur la pseudonymisation des données de santé
Le Conseil d’Etat met en exergue l’importance que la sécurité en matière de données de santé soit garantie. En ce sens, le Conseil considère que le contrôle de l’effectivité de cette sécurité doit être assuré par la CNIL, estimant que les pouvoirs d’instruction du juge des référés ne sont pas suffisants pour lui permettre de vérifier l’efficacité des mesures adoptées par la plateforme.
Le Health Data Hub est donc tenu de se conformer aux exigences de la CNIL en matière de sécurité des données de santé. Plus précisément, le Conseil d’Etat impose à la plateforme de procurer à la CNIL les éléments relatifs aux procédés de pseudonymisation utilisés en vue de permettre à la Commission d’évaluer le niveau de protection des données traitées.
