Actée par la loi santé du 24 juillet 2019 pour remplacer l’actuel Système national des données de santé (SNDS), la création du Health Data Hub a été entérinée en avril dernier pour répondre aux besoins de la crise sanitaire.
Des données sensibles placées entre les mains d’intérêts privés et soumises aux lois américaines
L’hébergement ayant été confié au géant américain Microsoft, plusieurs organisations et associations, inquiètes de voir ces données sensibles placées entre les mains d’intérêts privés et soumises aux lois américaines (telles que le Cloud Act), ont saisi le Conseil d’État pour demander la suspension du Health Data Hub. Pour justifier la procédure, elles se sont appuyées sur l’arrêt de la Cour de justice de l’Union européenne (CJUE) du 16 juillet 2020, dit « Schrems II », qui déduit que les transferts de données personnelles depuis l’Union européenne vers les États-Unis sont contraires au règlement général sur la protection des données (RGPD) et à la Charte des droits fondamentaux de l’Union européenne.
Dans un jugement rendu le 13 octobre, le juge des référés a cependant refusé de suspendre la plateforme, estimant que le Health Data Hub est utile à la gestion de la crise sanitaire. Si la plateforme et Microsoft se sont engagés à refuser tout transfert de données de santé en dehors de l’Union européenne, le juge des référés estime qu’on ne peut totalement exclure que les autorités et renseignements américains demandent à Microsoft et à sa filiale irlandaise l’accès à certaines données.
D’autres solutions que Microsoft sont-elles possibles ?
Le Conseil d’État a donc demandé au Health Data Hub « de continuer, sous le contrôle de la Cnil, à travailler avec Microsoft pour renforcer la protection des droits des personnes concernées sur leurs données personnelles ». De son côté, la Cnil estime que « le choix d’un hébergeur soumis au droit américain semble incompatible avec les exigences de la Cour de justice de l’Union européenne en matière de protection de la vie privée ».
Dans une tribune publiée dans Le Monde du 10 décembre 2019, un collectif de chercheurs, médecins hospitaliers et ingénieurs alertaient sur les dangers de confier des données aussi sensibles à un opérateur privé et proposaient des alternatives : « L’Organisation européenne pour la recherche nucléaire (CERN) a récemment lancé le projet Malt, pour Microsoft Alternatives, visant à remplacer un maximum de logiciels commerciaux par des logiciels libres. Nous pourrions suivre cet exemple et promouvoir des “clouds” autogérés. »
L’autre objet de crispation concerne l’attribution du marché. Le ministère de la Santé n’a pas procédé à un appel d’offres classique, au niveau européen, pour passer le marché avec Microsoft. Un nouvel appel d’offres devrait être lancé prochainement.