Secret médical, de StopCovid au Health Data Hub, Dr Bernard Basteau, Bordeaux

Secret médical des données de santé des Français : où sont stockées et traitées les données ?

Si pour le traitement des données issues du « StopCovid » nous avons pu recueillir l’information qu’elles seront traitées sur des serveurs français, à l’occasion de cette exploration, nous avons découvert qu’il en va tout autrement pour un projet de recherche concernant les données détenues par la CPAM et les hôpitaux.

Principe du « Health Data Hub » (HDH):

« HDH » ou « Entrepôt de données de santé » est un projet dont la finalité à terme vise pour le secteur public, mais aussi privé, l’utilisation du stock de données médicales détenue par la France.Ce projet de recherche médicale a priori louable dans son principe, utilise les traitements de l’information par l’intelligence artificielle. Il s’appuie sur le présupposé que grâce à ces traitements, on pourrait en extraire des corrélations permettant des avancées significatives dans le traitement des maladies et en termes de santé publique.

Pour mettre en œuvre un tel projet sur le plan opérationnel, il faut disposer de données immédiatement exploitables, issues d’abord du SNDS (« Système national de données de santé ») ou des entrepôts de données des hôpitaux, entre autres.D’où l’idée de créer un entrepôt de données national, permettant d’utiliser sur demande des catalogues préformatés.Mais aussi ceci suppose le recours à des centres de calcul permettant d’effectuer ces recherches de corrélations.

Les faits :

Sans aucun appel d’offres, c’est la solution d’hébergement et de calcul de Microsoft qui a été choisie pour cela [1,2]. On peut s’étonner que les serveurs de la CPAM n’aient pas été requis. Il semble que les services de Microsoft soient moins onéreux et qu’ils auraient la réputation d’être plus compétents. Après les effets délétères de la dépendance aux pays asiatiques pour la fourniture de nos médicaments va-t-on créer une nouvelle dépendance, ou l’aggraver pour le traitement de nos données les plus sensibles ? La CNIL n’a pas eu l’occasion d’être saisie sur la pertinence de ces choix, car ceux-ci ont été effectués en amont de la publication du décret de mise en œuvre du HDH, alors que celui-ci aurait conduit à ce que la CNIL rende un avis général sur ce système.

La position de la CNIL cependant :

La CNIL n’a en fait eu l’occasion de s’exprimer que lors de sa saisine pour utiliser le HDH (qui pourtant n’existe officiellement pas encore) pour traiter des données dans le cadre de recherches destinées à lutter spécifiquement contre le COVID-19 [3].

Cependant à l’occasion de cet avis, la CNIL a pointé le risque juridique majeur qu’est susceptible de faire peser le recours à Microsoft, sur la confidentialité des données de l’ensemble des Français. En effet l’hébergement et le traitement de telles données par une entité de droit américain (indépendamment donc de la localisation ou non des données sur le territoire de l’Union européenne), du fait des lois américaines sur le sujet et de la mainmise de leurs agences de renseignement sur l’ensemble des données circulant à leur portée expose au risque sérieux de porter atteinte à la confidentialité de ces données et donc d’exposer au risque d’une rupture généralisée du secret médical.

Même si les données des catalogues sont réputées être « pseudonymisées » (sic) comme le rapporte la déléguée du ministère de la santé en charge de cette création du HDH, cela en fait signifie qu’elles ne sont pas rendues réellement anonymes. Les possibilités de réidentification existent, donnant potentiellement accès à des indications sur les pathologies et traitements d’un très grand nombre de personnes identifiables.

La presse s’est emparée du problème :

Médiapart dans un article [4], qui n’a pas été contesté à ce jour, rapporte cet avis de la CNIL. L’article de Médiapart, pointe également qu’à ce jour le traitement de ces données par l’intelligence artificielle peine à trouver des applications pratiques qui ne se heurtent pas à des biais majeurs de conception et de mise en œuvre [5]. De ce fait dans l’immédiat les bénéfices scientifiques attendus sont en fait totalement hypothétiques, ce qui pose la question d’une telle précipitation sans concertation de la CNIL ni de l’Ordre des Médecins. En effet des questions juridiques se posent.

Les questions juridiques :

Les données de santé de l’intégralité des Français peuvent-elles risquer de tomber entre les mains de puissances étrangères, sous prétexte que les services offerts sont réputés techniquement les plus efficaces, et la sécurité industrielle (non étatique) meilleure qu’un hébergement par certaines administrations françaises? Ressurgit également la question du « cloud souverain », dossier qui a été un fiasco du fait de choix de financement très discutables [6].C’est là que se pose la question de la souveraineté de l’État français ou du traitement à l’échelle strictement européenne qui ne nous expose pas à une nouvelle dépendance.

Conclusions :

Sur un tel projet qui va dans le sens des réflexions actuelles de la recherche médicale ne doit-on pas privilégier le recours aux serveurs français ou européens de la CPAM, quitte à augmenter ses ressources et compétences ?

Sur le sujet aussi sensible que le secret médical, dans l’esprit des derniers courriers que Le Conseil National de l’Ordre National nous a adressé, il me semble qu’au-delà de la question du développement de compétence de stockage par des clouds français ou européen, ce qui relève des compétences du ministère de l’industrie, la question du secret médical est ici première. Ne doit-elle pas être saisie par le Conseil de l’Ordre National des Médecins qui pourrait par exemple, dans un premier temps, saisir la CNIL sur ce projet et interroger le Ministère de la santé?

Dr Bernard Basteau, Bordeaux, dr.basteau.b@orange.fr, 16 Mai 2020

PJ :
[1]
https://www.lemonde.fr/economie/article/2019/12/02/donnees-de-sante-la-plate-forme-de-la-discorde_6021346_3234.html
[2]
https://www.usine-digitale.fr/article/malgre-les-inquietudes-le-health-data-hub-est-officiellement-lance.N909364
[3]
https://www.cnil.fr/sites/default/files/atoms/files/deliberation_du_20_avril_2020_portant_avis_sur_projet_darrete_relatif_a_lorganisation_du_systeme_de_sante.pdf
[4]
https://www.mediapart.fr/journal/france/080520/la-cnil-s-inquiete-d-un-possible-transfert-de-nos-donnees-de-sante-aux-etats-unis
[5]
https://www.franceinter.fr/justice/la-justice-predictive-revolution-ou-simple-fantasme
[6]
https://www.numerama.com/magazine/28423-cloudwatt-bercy-demande-un-audit-sur-un-possible-fiasco.html

Retour en haut