Ce matin, le Conseil d’Etat a rejeté la demande d’un groupe d’entreprises et d’organismes. Ce dernier souhaitait une intervention urgente du Conseil pour annuler la décision de la CNIL annoncée le 31 janvier. La motivation du refus était le « manque d’urgence ».
La situation actuelle fait encore parler d’elle. Health Data Hub (HDH) a été approuvé en décembre pour stocker les données en français des projets EMC2 dans Microsoft Azure. Ce dernier en Europe vise à centraliser des lots de données provenant de plusieurs pays où des services équivalents HDH ont déjà été mis en place. Objectif : Pouvoir éventuellement commencer une utilisation secondaire des données, en pensant à des recherches utilisant des modèles d’IA.
Je me souviens que les communiqués de la CNIL étaient rédigés de manière très particulière. Autrement dit, les contraintes étaient exprimées entre les lignes. Il y a une bonne raison à cela. Ce dernier point est clair, car la décision de la Commission européenne est fondée sur le droit et le Data Privacy Framework établit la validité entre les États-Unis et l’Europe sur toutes les questions concernant la sécurité des données et le respect de la vie privée.
Cette décision a suscité de nombreuses réactions, notamment de la part du député Philippe Latombe. « Encore une fois, ils n’avaient pas le choix. Mais cette décision laisse toute la latitude à chacun pour la contester. Et je vous le promets, vous le ferez. « Nous allons contester cette décision au Conseil d’Etat pendant plusieurs jours, je n’imagine même pas comment. nous sommes prêts », avait-il prédit à l’époque.
Cela a pris un peu plus de temps que prévu, mais la demande a été déposée auprès du Conseil d’Etat la semaine dernière. Soutenue notamment par Clever Cloud, Nexedi et Rapid.space, elle réclamait une ordonnance provisoire, c’est-à-dire une intervention urgente du Conseil suspendant la décision de la CNIL. Cette demande a été refusée.
Décision du Conseil d’État
La décision du Conseil d’Etat souligne les arguments défendus par le requérant. Cela inclut tous les sujets abordés depuis la création de HDH et la création du stockage de données dans Azure. L’essentiel est que Microsoft est une société américaine, que les États-Unis ont des lois extraterritoriales et que les données médicales françaises sont hautement confidentielles et ne doivent pas être consultées par des tiers.
Dans cette optique, les urgences ne peuvent être résolues que selon eux. Premièrement, les données de santé de millions de Français pourraient tomber entre les mains des agences de renseignement américaines. Deuxièmement, parce que la décision de la CNIL a rejeté l’offre existante de la société requérante.
Sur ces points et sur d’autres, le Conseil d’État n’est pas d’accord et le requérant accepte sa position. Il a notamment été avancé que les entreprises qui ont participé à la demande de mesures provisoires n’auraient pas été en mesure de fournir les services correspondants, même en tenant compte des allégations concernant la mission d’expertise renommée, y compris le délai de préparation très court de Ta. Répondez aux besoins de votre projet EMC2.
Elle note également que les autorisations délivrées par la CNIL sont limitées à trois ans. Il faut permettre aux données de migrer vers des acteurs qui « répondent aux recommandations de la CNIL ». Par ailleurs, cette décision « n’exclut en rien le développement de services d’hébergement de données cloud pouvant répondre aux besoins d’hébergement de données de santé sans être exposé aux risques liés au respect des lois des pays tiers ». Autrement dit, la décision de la CNIL est « susceptible d’avoir seulement un impact indirect et limité sur les activités de ces sociétés ». Surtout quand il s’agit d’intérêts généraux.
Autre point important : « L’entrepôt de données EMC2, d’une part, est destiné à traiter les données des dossiers médicaux de 300 000 à 500 000 patients traités annuellement dans quatre établissements hospitaliers. Les données seront rapprochées des données de la base principale de l’hôpital ; SNDS. »En revanche, pour eux, des données sur une population témoin d’environ 1,5 million de personnes sont obtenues à partir de cette base.
Cela ne pose pas de problème pour le Conseil d’Etat car les données sont « pseudonymisées » par l’hôpital et la Caisse nationale d’assurance maladie avant d’être stockées dans l’entrepôt. Il précise notamment que le numéro d’inscription au Registre National d’Identification des Personnes Physiques (RNI) et la date de naissance du patient seront supprimés.
Le dernier point important évoqué est l’extraterritorialité du CLOUD Act. Là encore, le Conseil d’État soupçonne qu’il s’agit d’un problème. Les demandes d’accès aux données doivent être vérifiées par un juge aux fins d’une enquête pénale. Pour le Conseil, il n’y a aucune raison pour qu’une telle procédure implique des données de santé françaises pseudonymisées. Il en va de même pour les demandes des agences de renseignement. Une « assurance significative concernant la mise en œuvre du projet » est considérée comme suffisante.
En conséquence, la demande de mesures provisoires est rejetée.
soupe renfrognée
Cette décision a suscité le mécontentement des uns, l’incompréhension des autres et Comme Maître Alexandre Archambaultne soyez pas surpris.
Pour l’avocat des requérants, Jean-Baptiste Souffron, il en va tout autrement. « Comme toujours, le Conseil de sécurité a adopté une position très ferme en profitant de cette opportunité pour mettre fin de toute urgence aux atteintes aux libertés publiques. Mais il est clair que depuis mai, 2 millions de personnes ont été touchées sur trois ans. ne suffira pas à justifier l’état d’urgence. il critique. Il souligne spécifiquement que le terme « pseudonymisation » est utilisé là où il y avait auparavant « anonymisation ».
Il a ajouté que la demande se poursuivrait sur le fond ( confirmé par Quentin Adam, PDG de Clever Cloud), mais le processus ne sera pas achevé avant l’année prochaine. « Il deviendra de plus en plus difficile de renverser la situation ».
Pour Bruno Grieder, expert en chiffrement et PDG de Cosmian, la sécurité des données est un enjeu sérieux. Contacté, il a expliqué que les données anonymisées ou, pire encore, pseudonymisées ne garantissent en aucun cas l’anonymat. « Les États-Unis le savaient depuis les années 90. Ils avaient un gros problème avec cela. Il a réussi, notamment en trouvant William Weld, le gouverneur du Massachusetts à l’époque.
Cet étudiant deviendra par la suite professeur à l’université de Harvard et participera à la rédaction de la loi américaine HIPAA (Health Insurance Portability and Accountability Act). Le texte demande entre autres de regrouper les données anonymisées par groupes de 10 personnes « pour ajouter du bruit », précise Bruno Grieder. « De toute façon, tant qu’il y a suffisamment de données, il n’y a pas de difficulté particulière à reconstituer l’identité des personnes. » Cependant, comme le NIR et la date de naissance sont explicitement mentionnés comme données supprimées, des questions demeurent quant à ce qui constitue un dépôt EMC2.
Nous reviendrons dans un instant sur la question des données anonymisées et de la sécurité relative qu’elles peuvent apporter.