Début

Covid-19 / Données : le Conseil d’État demande au Health Data Hub de repasser devant la Cnil

Paris - Publié le vendredi 19 juin 2020 à 15 h 41 - n° 11160 La plateforme des données de santé Health data HubHealth Data HubHealth Data Hub « fournira à la Commission nationale de l’informatique et des libertés (Cnil)Commission Nationale de l’Informatique et des Libertés tous éléments relatifs aux procédés de pseudonymisation utilisés » pour lui permettre de «  vérifier que les mesures prises assurent une protection suffisante des données de santé traitées » sur le fondement de l’arrêté du 21 avril 2020, qui « confie la collecte et le traitement de données de santé à la plateforme ». C’est ce que prévoit l'ordonnance du juge des référés du Conseil d’ÉtatConseil d’Etat, rendue publique le 19 juin 2020, en réponse à une action engagée par un collectif de requérants mené par le Conseil national du logiciel libre (CNLL). Ce dernier lui demandait « d’ordonner toutes mesures utiles afin de faire cesser les atteintes graves et manifestement illégales portées [selon eux] au droit au respect de la vie privée et au droit à la protection des données » par l’arrêté du 21 avril, « notamment en enjoignant au ministre des solidarités et de la santé d’en suspendre l’exécution ».   

Le Conseil d’État n’ordonne pas cette suspension mais demande au Health Data Hub de « compléter les informations figurant sur son site internet relatives au projet [OscourOscourOrganisation de la surveillance coordonnée des urgences] portant sur l’exploitation des données de passages aux urgences pour l’analyse du recours aux soins et le suivi de la crise sanitaire du Covid-19 ».

Il s’agira de mentionner :
• « le possible transfert de données hors de l’Union européenne, compte tenu du contrat passé avec son sous-traitant », à savoir MicrosoftMicrosoftMicrosoft ;
• « les informations adaptées relatives aux droits des personnes concernées », compte tenu, le cas échéant, de « l’impossibilité d’identifier ces dernières » et de « la nécessité du traitement pour l’exécution d’une mission d’intérêt public », envisagées aux articles 11 et 21 du RGPDRGPDRèglement Général relatif à la Protection des Données.

Ces deux mesures (consultation de la Cnil et complément d’information) devront être diligentées « dans un délai de cinq jours à compter de la notification  » de la décision.
© D.R.
© D.R.

Covid-19 : le Health Data Hub et la Cnam autorisés à collecter 10 catégories de données personnelles

« La capacité à mobiliser les données de santé est un axe essentiel de la lutte contre l'épidémie de Covid-19 », considère le ministre des Solidarités et de la Santé Olivier Véran, qui autorise - par un arrêté du 21 avril 2020 publié au Journal officiel (JO) du 22 avril - le Health Data Hub (HDH…
Actualité n° 10840 • 22/04/20 à 15:59

Le Health Data Hub va prochainement publier ses engagements envers le citoyen (Stéphanie Combes)

« Nous avons avancé avec un groupe de travail, notamment avec Gérard Raymond - président de France Assos Santé -, sur l'écriture d’engagements du Health Data Hub (HDH) envers le citoyen, indique Stéphanie Combes, directrice du HDH, précisant que le document devrait être prochainement publié. Ils…
Actualité n° 10414 • 21/02/20 à 16:24

Health Data Hub : des craintes sur l’implication de groupes US et la centralisation des données

« Le stockage [des] données personnelles dans des clouds détenus par des sociétés extra-européennes serait un risque de nature à compromettre la confiance des patients » et le Health Data Hub (HDH) pourrait fragiliser « l’expertise des centres hospitaliers sur leurs données ». Telles sont les…
Actualité n° 9962 • 04/12/19 à 18:31

AAP du Health Data Hub : 10 projets retenus sur 189, la création du hub annoncée à l’automne 2019

10 projets, dont 4 portés par le secteur privé, sur 189 candidatures reçues ont été sélectionnés à l’issue du premier appel à projets (AAP) du Health Data Hub (HDH), lancé fin janvier 2019. « Nous espérions recevoir une cinquantaine de projets, nous en avons étudié près de 200, a déclaré Jean-Marc…
Actualité n° 8591 • 16/04/19 à 21:58

Soumettre de nouveau à la Cnil les procédés de pseudonymisation

  • Le juge note que l’arrêté attaqué autorise la plateforme à recevoir notamment « des données relatives aux urgences collectées par dans le cadre du réseau de surveillance coordonnée des urgences » et qu’« à ce jour, un projet est en cours, conduit par la DreesDirection de la recherche, des études, de l’évaluation et des statistiques, exploitant les données de passages aux urgences pour l’analyse du recours aux soins et le suivi de la crise sanitaire liée au Covid-19 ». Un projet qui « a conduit à l’hébergement sur la plateforme » d’une copie de la base OscourOscourOrganisation de la surveillance coordonnée des urgences de de Santé publique France.
  • La juridiction relève que « l’audience a permis d’évoquer les travaux en cours en ce qui concerne les pseudonymes obtenus à partir du NIRNIRnuméro d'inscription au répertoire national d'identification des personnes physiques » ou « numéro de sécurité sociale » ainsi que « le fort degré de pseudonymisation des données » issues de la base Oscour. Elle souligne cependant que le juge des référés « ne dispose pas de pouvoirs d’instruction lui permettant de vérifier le caractère suffisant des mesures concrètes adoptées » alors que l’adoption de telles mesures « revêt un caractère essentiel au regard des risques que présente le traitement pour les droits et libertés des personnes physiques », compte tenu « de la sensibilité des données traitées, des incertitudes existant sur la possibilité de transferts de données hors de l’Union européenne », et de « l’urgence dans laquelle les mesures organisationnelles et techniques nécessaires ont dû être adoptées » pour permettre l’utilisation des données de santé dans le contexte d’épidémie de Covid-19.

C’est la raison pour laquelle le juge demande aux responsables de la plateforme de transmettre « tous les éléments relatifs aux procédés de pseudonymisation utilisés » à la Cnil pour que celle-ci puisse se prononcer « dans des conditions, notamment de délai, plus appropriées qu’au moment de sa consultation sur l’arrêté du 21 avril 2020 ».

Compléter les fiches d’information sur l’exploitation des données des urgences

Il résulte de l’instruction du Conseil d’État que la base données Oscour « fait l’objet d’une fiche » sur le site internet de la plateforme, « permettant notamment de connaître son contenu exact », et que c’est aussi le cas du projet afférent, « relatif à l’exploitation des données de passages aux urgences pour l’analyse du recours aux soins et le suivi de la crise sanitaire liée à l’épidémie de Covid-19 ». Le juge des référés relève cependant que si cette fiche « rend publiques conformément au paragraphe 5 de l’article 14 les différentes informations mentionnées aux paragraphes 1 et 2 du même article », c’est « à l’exception de celles prévues au f) de son paragraphe 1 et aux c) et e) de son paragraphe 2 ».

C’est pourquoi le juge demande à la plateforme de « compléter » ladite fiche en y ajoutant ces informations qui manquent alors qu’elles sont requises par le règlement européen, à savoir, selon la lettre du texte :

  • « le fait que le responsable du traitement a l’intention d’effectuer un transfert de données à caractère personnel à un destinataire dans un pays tiers ou une organisation internationale » ;
  • « l’existence du droit de demander au responsable du traitement l’accès aux données à caractère personnel, la rectification ou l’effacement de celles-ci, ou une limitation du traitement relatif à la personne concernée, ainsi que du droit de s’opposer au traitement et du droit à la portabilité des données » ;
  • « le droit d’introduire une réclamation auprès d’une autorité de contrôle ».

Les raisons du rejet de la demande de suspension de l’arrêté du 21 avril

« La condition d’urgence doit en l’espèce être regardée comme remplie », estime le juge des référés, invoquant « la sensibilité particulière des données à caractère personnel de nature médicale », « l’importance des données susceptibles d’être traitées » et le « contexte particulier d’urgence dans lequel la Plateforme des données de santé est ‘mise en production’ ».

« À la date de la présente décision, il n’est pas sérieusement contesté que la conduite du projet [Oscour] par recours aux moyens techniques de la plateforme des données de santé[, qui] a permis la mise à disposition de premières données à partir d’avril 2020[, reste] nécessaire et proportionnée aux risques sanitaires encourus », estime-t-il.

S’agissant des s’agissant des informations du PMSIPMSIProgramme de médicalisation des systèmes d'information, la juridiction estime que l’arrêté du 21 avril 2020, « se borne à alléger la procédure de transmission et à en renforcer le rythme » par rapport aux prévisions d’un arrêté du 23 décembre 2016.

« Contrairement à ce que soutiennent les requérants », la plateforme des données de santé « ne peut être regardée comme hébergeant des données de santé pour le compte de personnes physiques ou morales à l’origine de la production ou du recueil de ces données ou pour le compte du patient lui-même » et par conséquent les requérants « ne sont pas fondés à soutenir qu’elle aurait dû être certifiée à ce titre », conformément à l’article L. 1111-8 du Code de la santé publique.

La décision d’homologation du Health Data Hub « prononcée par sa directrice (Stéphanie CombesStéphanie Combes), en dernier lieu le 14 mai 2020 », est « conforme au référentiel » fixé par arrêté du 22 mars 2017. Qui plus est, la société Microsoft a été certifiée « le 31 octobre 2018, pour une durée de trois ans, hébergeur de données de santé », et le contrat conclu prévoit la soumission « aux exigences de la réglementation française en matière d’hébergement de données de santé »

Le juge déclare par ailleurs  qu’« à la date de la présente ordonnance et en l’état de l’instruction », le fait que Microsoft « relève du droit américain et puisse être amenée, pour les opérations d’administration de la solution technique qu’elle propose, à transférer des données aux États-Unis », ne peut être regardé comme « portant une atteinte grave et manifestement illégale aux libertés fondamentales que le règlement général pour la protection des données a pour objet de protéger ». Pour lui, notamment, les requérants « n’apportent pas d’éléments dont il ressortirait que les données de santé pseudonymisées » que Microsoft héberge pour le compte du Health data hub « seraient susceptibles de faire l’objet de demandes d’accès » sur la base du Cloud Act.

Health Data Hub
Fiche n° 3510, créée le 30/01/20 à 12:10 - MàJ le 21/02/20 à 15:19

Health Data Hub

Activité : reprend et élargit les missions de l’INDS en proposant davantage de services pour les demandeurs d’accès aux données de santé :
- un guichet unique ;
- une plateforme sécurisée à l’état de l’art ;
- un catalogue de données documenté construit de manière progressive ;
- une palette d’outils pour favoriser la mise en relation et le regroupement des acteurs clés du secteur
Création : le 30 novembre 2019
Siège : Paris
Direction : Stéphanie Combes, directrice


  • Catégorie : Acteurs publics
  • Effectif : De 10 à 49



Health Data Hub
-
75000 Paris - FRANCE
vCard meCard .vcf VCARD

Conseil d'Etat
Fiche n° 572, créée le 23/05/16 à 04:22 - MàJ le 02/06/16 à 10:36

Conseil d'Etat

■ Conseiller du Gouvernement pour la préparation des projets de loi, d’ordonnance et de certains décrets
■ Traite ses demandes d’avis et effectue à la demande du Gouvernement ou à sa propre initiative des études
■ Peut également être saisi par le président de l’Assemblée nationale ou du Sénat d’une proposition de loi élaborée par les parlementaires
■ Juge ultime des activités des administrations : pouvoir exécutif, collectivités territoriales, autorités indépendantes, établissements publics, organismes disposant de prérogatives de puissance publique
■ Le Vice-président est Jean-Marc Sauvé


  • Catégorie : Acteurs publics
  • Zone(s) d'activité : France



Conseil d'Etat
1 Place du Palais Royal
75001 Paris - FRANCE
Téléphone : 01 40 20 80 00
vCard meCard .vcf VCARD

Fin
loader mask
1