Health Data Hub : inquiétudes autour de la collecte et du transfert de nos données

Dans la nuit du 8 au 9 mai, l’Assemblée Nationale a validé la création d’un système d’information permettant d’identifier les personnes contaminées par le Covid-19 ainsi que leur entourage. Alors qu’il y a encore quelques mois, des inquiétudes fusaient sur le Health Data Hub, plateforme du gouvernement permettant de centraliser les données de santé, l’accélération du projet prend une toute autre tournure avec l’état d’urgence sanitaire.

Le Health Data Hub, un catalogue de données sanitaires

La plateforme de gestion des données de santé, Health Data Hub (HDH), imaginée à la suite du rapport de Cédric Villani au printemps 2018 a pour ambition d’aider la recherche médicale via le stockage de des données de l’ensemble des Français sur un fichier centralisé. Créé par l’article 41 de la loi du 24 juillet 2019 relative à l’organisation et à la transformation du système de santé, ce Health Data Hub est géré par le groupement d’intérêt public et a été mis en place en décembre dernier en remplacement du Système National des Données de Santé (SNDS).

Or, le 21 avril 2020, un arrêté modifiant celui du 23 mars 2020 sur l’organisation du système de santé durant la pandémie du Covid-19 autorise le HDH et la caisse nationale d’assurance maladie (Cnam) à collecter les données de santé aux seules fins de « faciliter » leur utilisation « pour les besoins de la gestion de l’urgence sanitaire et de l’amélioration des connaissances sur le virus Covid-19 ». Ce même arrêté prévoit une remontée hebdomadaire des données du programme de médicalisation des systèmes d’information (PMSI).

Depuis, les parlementaires ont autorisé par l’article 6 du projet de loi relatif à l’état d’urgence sanitaire le déploiement de deux bases de données numériques - bien plus deux fichiers évoqués par le gouvernement - en complément du Health Data Hub : SIDEP et Contact Tracing.

SIDEP va recouper les informations des laboratoires de biologie médicale lorsqu’un patient aura été testé positif tandis que Contact Tracing, inspiré du site de l’assurance maladie Ameli, permettra d’avoir les coordonnées de l’entourage des personnes positives au Covid-19.

Seront intégrées sur le HDH, les données Sidep et de Contact Tracing ainsi que l’ensemble des données du SNDS : les données de pharmacie, les données de prise en charge en ville, les données de télé-suivi, télésurveillance, télémédecine, les données des laboratoires et celles des services d’urgence. Soit, une multitude de données réunies sur une même plateforme.

Détaillé par le ministre de la santé, Olivier Véran a affirmé que le « tracing de niveau 1 sera opéré par les médecins. Le tracing de niveau 2 sera fait par l’Assurance maladie, le tracing de niveau 3 est fait par les agences régionales de santé (ARS) pour identifier les zones de forte circulation virale. La surveillance épidémiologique locale et nationale sera organisée par Santé publique France et la direction générale de la santé ». Il a aussi plaidé devant les députés le « besoin » de ce dispositif pour lutter contre la propagation du virus ou plus précisément de « casser les chaînes de contamination ».

Mais qui aura donc accès à ces données ? Le projet de loi précise que « le service de santé des armées, les communautés professionnelles territoriales de santé, les établissements de santé, maisons de santé, centres de santé et médecins prenant en charge les personnes concernées, ainsi que les laboratoires autorisés à réaliser les examens de biologie médicale de dépistage sur les personnes concernées » pourront y avoir accès.

Oui mais voilà, un auteur acteur, privé cette fois, pourra avoir accès à nos données. En effet, ce n’est pas une entreprise française qui s’occupera de la gestion des données de santé mais bien un géant américain du numérique : Microsoft.

Une gestion des données qui suscite des inquiétudes

La loi santé a modifié les textes sur l’accès à l’HDH en permettant leur utilisation par des acteurs privées, ce qui inquiète la CNIL dans son avis de janvier 2019. Alors qu’auparavant le texte s’appuyait sur un cadre relatif à « l’accomplissement des missions de l’Etat » ou « à des fins de recherche » voire encore pour « l’intérêt public », seule cette notion d’intérêt public a été conservée. Or cela pourrait favoriser Microsoft qui s’est vu confié la gestion et le stockage sur un secteur centralisé des nos données de santé.

Parmi les conditions, le gouvernement a stipulé dans son contrat avec l’entreprise américaine, que ce serveur devra être situé dans l’Union européenne. Mais voilà que ce contrat stipule aussi que : « cette localisation ne s’applique qu’aux données au repos » et que les données pourraient être transférées en dehors de l’UE en cas d’opération de maintenance ou de résolution d’incident. Entre en jeu la législation américaine qui pourrait demander à Microsoft de lui fournir ces données transférées – un atout pour le gouvernement américain – dans le cadre de la sécurité intérieure.

Face à ces inquiétudes, la cheffe du Health Data Hub, Stéphanie Combes, affirme que les données seront pseudonymisées – chiffrées - avec des algorithmes à partir de clés générées par les responsables de la plateforme sur un boîtier chiffrant maîtrisé par la plateforme des données de santé, ce qui est en effet une bonne initiative.

Malheureusement, la CNIL affirme aussi dans son avis du 20 avril 2020 que ces clés de chiffrement seraient envoyées à Microsoft et conservées par l’hébergeur au sein d’un boitier chiffrant, laissant donc la possibilité à l’entreprise d’accéder à nos données. Face à cela, Stéphanie Combes se veut rassurante et affirme que ces clés seront utilisées sans intervention humaine. Naïveté ou réelle conviction ? Ce qui est tout aussi surprenant et inquiétant pour la souveraineté française, c’est qu’il n’y a eu aucun appel d’offre pour attribuer la gestion de ces données.

Le gouvernement a écarté les entreprises françaises dès le départ pour se tourner vers Microsoft, bien qu’il se soit sorti de cette accusation en précisant que la plateforme a été conçue pour être redéployée sur une autre solution d’hébergement tout en expliquant qu’une migration était possible dès lors « qu’une offre française sera disponible ». En voilà une bonne idée, de transférer nos données d’entreprise à entreprise, surtout quand le ministre de la santé précise qu’une anonymisation complète des données n’est pas souhaitable pour que le HDH soit efficace.

Health Big Brother: un business florissant

Le Heath Data Hub souligne d’autres inquiétudes telles que la surveillance de masse, une réalité qu’il ne faut pas ignorer.

D’une part, ces multitudes de données pourraient être recoupées à d’autres fins : surveillance de certaines personnes atteintes de divers problèmes de santé, utilisation ou vente de ces données à des laboratoires pharmaceutiques dans le but de générer un nouveau marché de médicaments, retracer les itinéraires de déplacement des individus, recoupage de l’entourage social de certaines personnes etc.

Même si techniquement le projet de loi sur l’état d’urgence sanitaire indique que le système d'information est mis en place pour « la durée strictement nécessaire » à cet objectif de lutter contre la propagation du virus, les données transmises par les médecins seront stockées pour au maximum trois mois après leur collecte et que le partage des données du système d’information doit cesser après 9 mois, il est aussi indiqué dans ce projet de loi la possibilité d’une éventuelle prolongation de l'état d'urgence sanitaire. A savoir qu’un décret en Conseil d’Etat devrait préciser les droits d’accès, d’information, d’opposition et de rectification des personnes concernées, atteintes par le virus ou en contact avec ces dernières, au vu des données collectées. Soit, les Français n'auront pas le choix d'approuver ou non cette collecte de données de santé. 

D’autre part, comme dans toute société de surveillance, l’Etat encourage la dénonciation. Il est prévu une rémunération de 2€ pour les médecins qui signalent chaque cas de personne contaminée avec la saisie de ses éléments de base. Et pour atteindre la somme de 4€, les médecins devront indiquer des données plus complètes : un vrai business.

Hasard de calendrier ou non, le gouvernement semble avoir accéléré le déploiement de la collecte des données de santé via SIDEP et Contact Tracing alors que la solution numérique de Cédric O, StopCovid, a pris du retard après le report de son déploiement et du vote parlementaire. Une chose est claire, le gouvernement mise sur les solutions numériques – et la collecte des données personnelles – pour lutter contre la propagation du Covid-19 car rappelons-le, StopCovid fonctionne sur la base du volontariat, ce qui n'est pas le cas pour nos données de santé. 

Pourtant ces outils numériques se retrouvent aujourd’hui au cœur des discussions sur les libertés personnelles puisque plusieurs Etats, tels que Singapour, ont utilisé ces outils numériques dans le cadre de la gestion de la crise sanitaire pour tomber – ou tomber davantage – dans la surveillance de masse. Dès lors, quelles solutions pour protéger nos données de santé ? Il faut malheureusement attendre le décret précisant les modalités pour préparer toute protection.

Pour aller plus loin : Collectif, « L’exploitation de données de santé sur une plate-forme de Microsoft expose à des risques multiples » Le Monde, 10 décembre 2019. Marc Rees, « Health Data Hub : un collectif critique le choix Microsoft » Next Inpact, 13 mars 2020. Robin Andraca, « Covid et données personnelles de santé : ce que dénonce ce médecin sur Facebook est-il vrai ? » Liberation, 8 mai 2020. Jerôme Hourdeaux, « La Cnil s’inquiète d’un possible transfert de nos données de santé aux Etats-Unis » Mediapart, 8 mai 2020. Valentin Cimino, « Singapour : l’application de traçage numérique se transforme en outil de surveillance de masse » Siècle Digital, 8 mai 2020.