Dans
la nuit du 8 au 9 mai, l’Assemblée Nationale a validé la création d’un système d’information
permettant d’identifier les personnes contaminées par le Covid-19 ainsi que
leur entourage. Alors qu’il y a encore quelques mois, des inquiétudes fusaient sur
le Health Data Hub, plateforme du gouvernement permettant de centraliser les
données de santé, l’accélération du projet prend une toute autre tournure avec
l’état d’urgence sanitaire.
Le Health Data Hub, un catalogue de
données sanitaires
La
plateforme de gestion des données de santé, Health Data Hub (HDH), imaginée à
la suite du rapport de Cédric Villani au printemps 2018 a pour ambition d’aider
la recherche médicale via le stockage de des données de l’ensemble des Français
sur un fichier centralisé. Créé par l’article
41 de la loi du 24 juillet 2019 relative à l’organisation et à la transformation
du système de santé, ce Health Data Hub est géré par le groupement d’intérêt public
et a été mis en place en décembre dernier en remplacement du Système National
des Données de Santé (SNDS).
Or,
le 21 avril 2020, un arrêté
modifiant celui du 23 mars 2020 sur l’organisation du système de santé durant la
pandémie du Covid-19 autorise le HDH et la caisse nationale d’assurance maladie
(Cnam) à collecter les données de santé aux seules fins de « faciliter » leur utilisation « pour les besoins de la gestion de
l’urgence sanitaire et de l’amélioration des connaissances sur le virus
Covid-19 ». Ce même arrêté prévoit une remontée hebdomadaire des
données du programme de médicalisation des systèmes d’information (PMSI).
Depuis,
les parlementaires ont autorisé par l’article
6 du projet de loi relatif à l’état d’urgence sanitaire le déploiement de
deux bases de données numériques - bien plus deux fichiers évoqués par le gouvernement - en complément du Health Data Hub : SIDEP et Contact
Tracing.
SIDEP va recouper les informations des laboratoires de biologie médicale lorsqu’un
patient aura été testé positif tandis que Contact Tracing, inspiré du site de l’assurance
maladie Ameli, permettra d’avoir les coordonnées de l’entourage des personnes
positives au Covid-19.
Seront
intégrées sur le HDH, les données Sidep et de Contact Tracing ainsi que l’ensemble
des données du SNDS : les données de pharmacie, les données de prise en charge
en ville, les données de télé-suivi, télésurveillance, télémédecine, les données
des laboratoires et celles des services d’urgence. Soit, une multitude de
données réunies sur une même plateforme.
Détaillé
par le ministre de la santé, Olivier Véran a affirmé que le « tracing de niveau 1 sera opéré par les
médecins. Le tracing de niveau 2 sera fait par l’Assurance maladie, le tracing
de niveau 3 est fait par les agences régionales de santé (ARS) pour identifier
les zones de forte circulation virale. La surveillance épidémiologique locale
et nationale sera organisée par Santé publique France et la direction générale
de la santé ». Il a aussi plaidé devant les députés le « besoin »
de ce dispositif pour lutter contre la propagation du virus ou plus précisément
de « casser les chaînes de contamination ».
Mais
qui aura donc accès à ces données ? Le projet de loi précise que « le service de santé des armées, les
communautés professionnelles territoriales de santé, les établissements de
santé, maisons de santé, centres de santé et médecins prenant en charge les
personnes concernées, ainsi que les laboratoires autorisés à réaliser les
examens de biologie médicale de dépistage sur les personnes concernées »
pourront y avoir accès.
Oui
mais voilà, un auteur acteur, privé cette fois, pourra avoir accès à nos
données. En effet, ce n’est pas une entreprise française qui s’occupera de la
gestion des données de santé mais bien un géant américain du numérique :
Microsoft.
Une gestion des données qui suscite des inquiétudes
La
loi santé a modifié les textes sur l’accès à l’HDH en permettant leur utilisation
par des acteurs privées, ce qui inquiète la CNIL dans son avis
de janvier 2019. Alors qu’auparavant le texte s’appuyait sur un cadre relatif à
« l’accomplissement des missions de l’Etat » ou « à des fins de
recherche » voire encore pour « l’intérêt public », seule cette
notion d’intérêt public a été conservée. Or cela pourrait favoriser Microsoft
qui s’est vu confié la gestion et le stockage sur un secteur centralisé des nos
données de santé.
Parmi
les conditions, le gouvernement a stipulé dans son contrat avec l’entreprise
américaine, que ce serveur devra être situé dans l’Union européenne. Mais voilà
que ce contrat stipule aussi que : « cette localisation ne s’applique qu’aux données au repos » et
que les données pourraient être transférées en dehors de l’UE en cas d’opération
de maintenance ou de résolution d’incident. Entre en jeu la législation
américaine qui pourrait demander à Microsoft de lui fournir ces données transférées
– un atout pour le gouvernement américain – dans le cadre de la sécurité
intérieure.
Face
à ces inquiétudes, la cheffe du Health Data Hub, Stéphanie Combes, affirme que
les données seront pseudonymisées – chiffrées - avec des algorithmes à
partir de clés générées par les responsables de la plateforme sur un boîtier
chiffrant maîtrisé par la plateforme des données de santé, ce qui est en effet
une bonne initiative.
Malheureusement,
la CNIL affirme aussi dans son avis
du 20 avril 2020 que ces clés de chiffrement seraient envoyées à Microsoft et
conservées par l’hébergeur au sein d’un boitier chiffrant, laissant donc la
possibilité à l’entreprise d’accéder à nos données. Face à cela, Stéphanie
Combes se veut rassurante et affirme que ces clés seront utilisées sans
intervention humaine. Naïveté ou réelle conviction ? Ce qui est tout aussi
surprenant et inquiétant pour la souveraineté française, c’est qu’il n’y a eu
aucun appel d’offre pour attribuer la gestion de ces données.
Le
gouvernement a écarté les entreprises françaises dès le départ pour se tourner
vers Microsoft, bien qu’il se soit sorti de cette accusation en précisant que
la plateforme a été conçue pour être redéployée sur une autre solution d’hébergement
tout en expliquant qu’une migration était possible dès lors « qu’une offre
française sera disponible ». En voilà une bonne idée, de transférer nos
données d’entreprise à entreprise, surtout quand le ministre de la santé
précise qu’une anonymisation complète des données n’est pas souhaitable pour
que le HDH soit efficace.
Health
Big Brother: un business florissant
Le Heath
Data Hub souligne d’autres inquiétudes telles que la surveillance de masse, une
réalité qu’il ne faut pas ignorer.
D’une
part, ces multitudes de données pourraient être recoupées à d’autres fins :
surveillance de certaines personnes atteintes de divers problèmes de santé, utilisation
ou vente de ces données à des laboratoires pharmaceutiques dans le but de générer
un nouveau marché de médicaments, retracer les itinéraires de déplacement des individus,
recoupage de l’entourage social de certaines personnes etc.
Même
si techniquement le projet de loi sur l’état d’urgence sanitaire indique que le système d'information est mis en place pour « la durée strictement nécessaire » à cet objectif de lutter contre la propagation du virus, les données transmises par les médecins seront stockées pour au maximum trois mois après leur collecte et que le partage des données du système d’information
doit cesser après 9 mois, il est aussi indiqué dans ce projet de loi la
possibilité d’une éventuelle prolongation de l'état d'urgence sanitaire. A savoir qu’un décret en Conseil
d’Etat devrait préciser les droits d’accès, d’information, d’opposition et de
rectification des personnes concernées, atteintes par le virus ou en contact
avec ces dernières, au vu des données collectées. Soit, les Français n'auront pas le choix d'approuver ou non cette collecte de données de santé.
D’autre
part, comme dans toute société de surveillance, l’Etat encourage la
dénonciation. Il est prévu une rémunération de 2€ pour les médecins qui
signalent chaque cas de personne contaminée avec la saisie de ses éléments de
base. Et pour atteindre la somme de 4€, les médecins devront indiquer des
données plus complètes : un vrai business.
Hasard
de calendrier ou non, le gouvernement semble avoir accéléré le déploiement de
la collecte des données de santé via SIDEP et Contact Tracing alors que la
solution numérique de Cédric O, StopCovid, a pris du retard après le report de
son déploiement et du vote parlementaire. Une chose est claire, le gouvernement
mise sur les solutions numériques – et la collecte des données personnelles –
pour lutter contre la propagation du Covid-19 car rappelons-le, StopCovid fonctionne sur la base du volontariat, ce qui n'est pas le cas pour nos données de santé.
Pourtant
ces outils numériques se retrouvent aujourd’hui au cœur des discussions sur les
libertés personnelles puisque plusieurs Etats, tels que Singapour, ont utilisé
ces outils numériques dans le cadre de la gestion de la crise sanitaire pour
tomber – ou tomber davantage – dans la surveillance de masse. Dès lors, quelles
solutions pour protéger nos données de santé ? Il faut malheureusement
attendre le décret précisant les modalités pour préparer toute protection.
Pour
aller plus loin :
Collectif, « L’exploitation de données
de santé sur une plate-forme de Microsoft expose à des risques multiples » Le
Monde, 10 décembre 2019.
Marc Rees, « Health Data Hub : un
collectif critique le choix Microsoft » Next
Inpact, 13 mars 2020.
Robin Andraca, « Covid et données
personnelles de santé : ce que dénonce ce médecin sur Facebook est-il
vrai ? » Liberation,
8 mai 2020.
Jerôme Hourdeaux, « La Cnil
s’inquiète d’un possible transfert de nos données de santé aux Etats-Unis »
Mediapart,
8 mai 2020.
Valentin Cimino, « Singapour : l’application
de traçage numérique se transforme en outil de surveillance de masse » Siècle
Digital, 8 mai 2020.
|
Aucun commentaire:
Enregistrer un commentaire