Nos données de santé : des données sensibles méritant une protection optimum

Depuis le développement d’Internet, les données personnelles sont devenues une véritable mine d’or convoitées le plus souvent à des fins commerciales ou même malveillantes.

Pour les protéger, de nombreux mécanismes ont été mis en place, c’est le cas de la CNIL (Commission Nationale de l’Informatique et des Libertés) créée par la loi du 6 janvier 1978 relative à l’information, aux fichiers et aux libertés. Elle a pour mission de veiller à ce que l’information soit au service des citoyens et qu’elle ne porte atteinte à aucun droit, y compris le droit à la vie privée.

Depuis 2018, date d’entrée en vigueur du Règlement Européen sur la Protection des Données (RGPD), la CNIL assure la conformité de la collecte et du traitement de nos données personnelles au Règlement.

Mais, qu’est-ce qu’une donnée personnelle ?

La CNIL définit la donnée personnelle comme « toute information se rapportant à une personne physique identifiée ou identifiable ». Ces personnes peuvent être identifiées directement, notamment à l’aide du nom ou prénom, ou indirectement via un numéro de téléphone, une plaque d’immatriculation ou encore une adresse courriel.

De même, l’identification peut être réalisée à l’aide d’une seule donnée, comme le nom, mais aussi par le croisement de plusieurs données (date de naissance, adresse, numéro d’immatriculation).

Ces informations sont protégées par différentes lois et par le RGPD, et la CNIL joue le rôle de gardien.

Existe-t-il des données plus sensibles que d’autres ?

La donnée personnelle la plus sensible est notre NIR numéro d’identification au répertoire de l’INSEE (appelé plus communément numéro de sécurité sociale) qui permet notamment aux pirates informatiques d’accéder aux fichiers des caisses de la Sécurité Sociale.

Cela signifie que nos données de santé sont une catégorie de données personnelles qui sont particulièrement protégées car elles permettent une identification rapide : le NIR permet entre autres de savoir le sexe de la personne, son année et son mois de naissance, son lieu de naissance et le numéro d’ordre d’inscription.

Selon le RGPD, les données de santé sont : « les données relatives à la santé physique ou mentale, passée, présente ou future, d’une personne physique (y compris la prestation de services de soins de santé) qui révèlent des informations sur l’état de santé de cette personne. »

Les données de santé sont notamment :

-        Les données collectées lors de l’inscription d’un patient en vue de bénéficier des services de santé ou lors de la prestation de ces services.

-        Les données obtenues lors du test ou de l’examen d’une partie du corps ou d’une substance corporelle, y compris à partir des données génétiques et d’échantillons biologiques.

-        Les données qui concernent les maladies, le handicap, un risque de maladie, des antécédents, un traitement clinique ou l’état physiologique ou biomédical de la personne.

La définition des données de santé est très large, afin de pouvoir protéger aux mieux les personnes.

Dès lors, 3 types de données peuvent être considérées comme une donnée de santé :

-        Celles qui sont des données de santé par nature : prestations de soins réalisées, résultats d’examen etc…

-        Celles qui sont des données de santé par croisement : croisement de la tension avec la mesure d’efforts etc…

-        Celles qui deviennent des données de santé en raison de leur destination, c’est-à-dire l’utilisation médicale.

En France, les données de santé sont protégées, en plus du RGPD, par de nombreux textes : c’est le cas de la loi Informatique et Liberté de 1978, des dispositions du Code de la Santé Publique relatives au secret médical, des dispositions sur l’hébergement des données de santé par les établissements de santé, ou encore à la mise à disposition de ces données.

Par ailleurs, le Code de la santé publique impose une interdiction de procéder à une cession ou à une exploitation commerciale des données de santé (notamment article L1111-8 CSP).

Qu’est ce que Le Health Data Hub ?

A quoi sert-il ?

Le Health Data Hub (ou « plateforme des données de santé ») a été créé par la Loi du 24 juillet 2019 relative à l’organisation et la transformation du système de santé et par un arrêté de 2019, afin de faciliter le partage des données de santé et dans le but de favoriser la recherche médicale.

C’est un groupement d’intérêt public défini à l’article L1462-1 du Code de la santé publique regroupant 56 parties prenantes issues principalement de la puissance publique (Caisse Nationale d’Assurance Maladie, INSERM, CNRS, Haute Autorité de santé, France Assos Santé, Fédération hospitalière, CHU…)

Le projet du Health Data Hub est né avec le développement des intelligences artificielles afin de centraliser les informations concernant la santé et afin de répondre aux algorithmes de façon efficace.

L’article L1462-1 du Code de la Santé Publique liste les missions du HDH :

-        Réunir, organiser et mettre à disposition des données issues notamment du système national des données de santé et promouvoir l’innovation dans l’utilisation des données de santé,

-        Informer les patients, promouvoir et faciliter l’exercice de leurs droits,

-        Contribuer à l’élaboration des référentiels de la CNIL,

-        Faciliter la mise à disposition de jeux de données de santé présentant un faible risque d’impact sur la vie privée,

-        Contribuer à diffuser les normes de standardisation pour l’échange et l’exploitation des données de santé,

-        Accompagner, notamment financièrement, les porteurs de projets sélectionnés dans le cadre d’appels à projets lancés à son initiative et les producteurs des projets retenus.

Les études sur les données de santé du Health Dat Hub sont autorisées par le Comité éthique et scientifique pour les recherches, les études et les évaluations dans le domaine de la santé (CESREES - créé le 15 mai 2020 et remplaçant le CEREES).

Le CESREES est un comité indépendant qui siège auprès des ministres chargés de la santé et de la recherche. Il a pour mission de s’assurer que les demandes d’accès aux données de santé respectent les principes protecteurs mis en place. Il a également pour objet d’aider au travers de ses avis et ses recommandations les porteurs de projet à améliorer la qualité de leur étude lorsque cela est nécessaire et de favoriser les projets innovants.

Problématique du Health Data Hub quant à son hébergement ?

Le Health Data Hub est actuellement hébergé par Microsoft Azure, société dont le siège est situé aux Etats-Unis.

La Cour de justice de l’Union européenne (CJUE), dans son arrêt du 16 juillet 2020, «Schrems II », a jugé que la surveillance exercée par les services de renseignements américains sur les données personnelles des citoyens européens était excessive, insuffisamment encadrée et sans réelle possibilité de recours.

Elle en a déduit que les transferts de données personnelles depuis l’Union européenne vers les États-Unis sont contraires au RGPD et à la Charte des droits fondamentaux de l’Union européenne, sauf si des mesures supplémentaires sont mises en place ou si les transferts sont justifiés.

La CNIL a fait part de son souhait que son hébergement et les services liés à sa gestion puissent être réservés à des entités relevant exclusivement des juridictions de l’Union européenne.

Cela est justifié par la sensibilité et le volume des données ayant vocation à être hébergées au sein du Health Data Hub, pour lesquelles le niveau de protection technique mais aussi juridique le plus élevé doivent être assurés, y compris en matière d’accès direct par les autorités de pays tiers.

Suite à l’arrêt dit « Schrems II », des garanties permettant de conclure à l’absence de transferts de données hors UE dans le cadre du fonctionnement courant de la solution technique lui ont été apportées.

Le Conseil d’Etat a reconnu, dans un arrêt du mois d’octobre 2020, les risques de transferts de données du HDH vers les Etats-Unis.

En effet, aux Etats-Unis existe le Cloud Act qui permet au Gouvernement américain d’obliger Microsoft à fournir un accès à toutes les données hébergées par l’entreprise, y compris celles du Health Data Hub.

Le Ministère de la Santé s’est engagé à recourir à une solution technique permettant de ne pas exposer les données hébergées sur le Health Data Hub à d’éventuelles demandes d’accès illégales au regard du RGPD dans un délai compris entre 12 et 18 mois et, en tout état de cause, ne dépassant pas deux ans.

Nos données de santé sont sensibles et ne doivent pas être hébergées hors UE, dans la mesure où les législations hors UE ne sont pas aussi protectrices des droits.

La création du Health Data Hub est une avancée certaine dans les perspectives permises en matière de recherches encore faut-il garantir un niveau de protection élevé.

Article co- écrit avec Lalie RIVERAIN, stagiaire, Etudiante  en Master 2 Droit de la santé.

Références

-        https://www.cnil.fr/professionnel

-        https://www.cnil.fr/fr/invalidation-du-privacy-shield-les-suites-de-larret-de-la-cjue

-        Loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés

-        RÈGLEMENT (UE) 2016/679 DU PARLEMENT EUROPÉEN ET DU CONSEIL du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données)

-        https://www.health-data-hub.fr/

-        Arrêté du 29 novembre 2019 portant approbation d'un avenant à la convention constitutive du groupement d'intérêt public « Institut national des données de santé » portant création du groupement d'intérêt public « Plateforme des données de santé »

-        https://www.snds.gouv.fr/SNDS/Qu-est-ce-que-le-SNDS