Health Data Hub, plateforme française de données de santé des patients lancée en 2019, a sélectionné Microsoft Irlande pour héberger ces données particulièrement sensibles sur Azure. Ce choix est loin de faire l’unanimité, même s’il a été conforté en décembre dernier par plusieurs entreprises, organismes et particuliers, parmi lesquels la CNIL, Clever Cloud, Cleyrop, Nexedi, Rapid.Space, Open Internet Project ou encore l’Association des libertés constitutionnelles, a indiqué Bernard Benhamou. de l’Institut pour la souveraineté numérique, a décidé de saisir le Conseil d’Etat.
Health Data Hub permet de croiser les bases de données de santé (données collectées auprès du Système National des Données de Santé, des hôpitaux, des médecins, etc.) et facilite leur utilisation par les grandes équipes de recherche et développement dans le respect de la vie privée. Nombre d’utilisateurs du système de santé.
Le ministère de la Santé et de la Prévention et la CNIL étaient initialement favorables à un hébergeur européen, mais le ministère estimait qu’il n’existait pas de solution européenne opérationnelle à l’horizon 2025 et que Microsoft Azure, choisi comme hébergeur cloud sans appel d’offres, resterait susceptible de le faire. être maintenu. Dans quelques temps. Le problème est que même si ces données sont stockées dans des centres de données en France, Microsoft est basé aux Etats-Unis et sa filiale irlandaise est soumise à la loi américaine. Cela signifie qu’il existe une possibilité légale de demandes de communication de données de la part du gouvernement américain. État.
Dès 2020, la CNIL avait fait part de ses inquiétudes sur les risques de transfert de données vers les Etats-Unis. Les demandeurs, les organisations et les experts ont alors fait appel au Conseil d’État pour suspendre le hub de données de santé. L’arrêté du Conseil d’Etat du 13 octobre 2020 a reconnu l’existence de risques de transfert de données depuis les hubs de données médicales vers les Etats-Unis et a demandé des garanties supplémentaires, mais compte tenu de son utilité pour la gestion de la santé, il a refusé de suspendre les opérations de la plateforme.
Projet EMC2
Fin 2021, le Health Data Hub a été développé par l’Agence européenne des médicaments dans le but de constituer un entrepôt de données de santé multicentrique pour les mettre à disposition des établissements de santé, des pouvoirs publics, des organisations de patients ou encore des organismes de santé européens (EMA). ) a remporté l’enchère lancée. Des agences telles que l’EMA réalisent des enquêtes, des études et des évaluations. L’entrepôt de données médicales, appelé « EMC2 », utilise les données de quatre établissements médicaux partenaires qui sont comparées à la base de données principale du Système national de données de santé (SNDS).
S’appuyant sur les avis de la DNS (Délégation Santé Numérique), de l’Agence du Numérique Santé (ANS), de la Direction Interagences du Numérique (DINUM) et de l’Institut National de l’Informatique et des Automatisations (INRIA), la CNIL a rendu un avis favorable J’annonce mon avis . Nous avons évalué la capacité de Health Data Hub à gérer ce projet et avons accordé l’autorisation de mettre en œuvre un traitement automatisé des données personnelles dans le but d’assurer la santé de cet entrepôt de données.
Cela signifie que Microsoft va héberger pendant trois ans de grandes quantités d’informations médicales de 300 000 à 600 000 patients français, rendant extrêmement vulnérables les entreprises françaises et européennes qui devraient être légitimes sur ce marché.
Clever Cloud, Cleyrop, Nexedi, Rapid.Space, Open Internet Project, Institut de défense des libertés constitutionnelles et Bernard Benhamou demandent l’annulation de la décision de la CNIL, ou au moins l’envoi de questions préjudicielles à la CJUE. Procureur général de l’UE.
L’affaire sera traitée en audience publique le 19 mars à 11h, et une conférence de presse aura lieu en présence du requérant le 18 mars à 8h30 au Café Concorde à Paris.
