Microsoft aura-t-il accès à nos données de santé ?

France— Un décret publié au plus fort de l’épidémie de Covid-19 encourage le transfert de données de santé françaises vers la plateforme Health data hub mise en place par le ministère de la santé et hébergée pas l’entreprise Microsoft, sans réelle garde-fou juridique. L’association "Les hôpitaux français pour l'interopérabilité et le partage libre des algorithmes", interhop.org , alerte sur un risque de transfert des données de santé françaises vers les Etats-Unis.

Même Edward Snowden s’en inquiète. Dans un tweet récent, le lanceur d’alerte le plus recherché par les États-Unis avance ceci : « Il semble que le gouvernement français va capituler face au cartel du Cloud et fournira les informations médicales du pays directement à Microsoft. Pourquoi ? C'est juste plus simple ». Snowden poursuit son tweet en indiquant une URL qui pointe vers le site interhop.org (voir encadré en fin de texte).

Cet Url ouvre sur un texte qui met en garde contre la publication d’un arrêté, il y a un mois, lequel arrêté permettrait de faciliter l’envoi de données de santé françaises vers la « Plateforme des données de santé » (HDH) mise en place par le ministère des solidarités et de la santé et hébergée par l’un des GAFAM, à savoir Microsoft.

Cet arrêté a été pris dans la foulée de tous ceux qui ont été signés dans l’objectif de lutter contre le Covid-19. Que dit-il ? Il facilite l’utilisation de données pour la « gestion de l’urgence sanitaire et l’amélioration des connaissances sur le virus Covid-19 » par la nouvelle plateforme des données de santé Health Data hub (HDH) ainsi que par la caisse nationale d’assurance maladie.

Désormais, le HDH pourra recevoir et traiter les données de santé suivantes : 

• les données issues du système national des données de santé mentionné à l'article L. 1461-1 du même code ;

• «des données de pharmacie ;

• «des données de prise en charge en ville telles que des diagnostics ou des données déclaratives de symptômes issues d'applications mobiles de santé et d'outils de télésuivi, télésurveillance ou télémédecine ;

• «des résultats d'examens biologiques réalisés par les laboratoires hospitaliers et les laboratoires de biologie médicale de ville ;

• «des données relatives aux urgences collectées par l'Agence nationale de santé publique dans le cadre du réseau de surveillance coordonnée des urgences ;

• «des données relatives aux appels recueillis au niveau des services d'aide médicale urgente et des services concourant à l'aide médicale urgente ;

• «des données relatives à l'activité et à la consommation de soins dans les établissements ou services médico-sociaux, notamment dans les établissements d'hébergement pour personnes âgées dépendantes ;

• «des enquêtes réalisées auprès des personnes pour évaluer leur vécu ;

• «des données non directement identifiantes issues du système d'identification unique des victimes mentionné à l'article L. 3131-9-1 du code de la santé publique ;

• «des données cliniques telles que d'imagerie, de pharmacie, de biologie, de virologie, de comptes rendus médicaux de cohortes de patients pris en charge dans des centres de santé en vue de leur agrégation. » 

Transmission hebdomadaire de données de santé

Il est ajouté que les données « ne peuvent être traitées que pour des projets poursuivant une finalité d'intérêt public en lien avec l'épidémie actuelle de Covid-19 et pour la durée de l'état d'urgence sanitaire institué pour faire face à cette épidémie ».

Cet arrêté, enfin, précise que « les établissements de santé mentionnés à l'article 1er du même arrêté transmettent, selon une périodicité hebdomadaire, les fichiers mentionnés au I de l'article 5 du même arrêté directement à l'Agence technique de l'information sur l'hospitalisation ».

Et c’est ce qui pose problème aux responsables de l’association Interhop.org, qui pensent non sans raison que cet arrêté a pour objectif d’inciter « les hôpitaux et centres de recherche à intensifier l’envoi des données de santé des patients dans le “Health Data Hub” (HDH), hébergé actuellement par la société Microsoft  ^[2]  ».

Pénal

Or, pour l’association interhop, au-delà du choix de la société Microsoft, qui pose question, l’application de cet arrêté par les établissements de santé pourrait les placer « dans une situation juridique délicate au titre du deuxième alinéa de l’article 40 du Code de procédure pénale ». Selon interhop, le HDH n’est pas habilité à gérer ces données de santé. Il cite pour ce faire l’article L115-8 du code de la santé publique qui spécifie que les hébergeurs de données de santé doivent disposer « d'un certificat de conformité ». Envoyer des données de santé à une personne morale qui ne disposeraient pas de ce certificat de conformité fait courir le risque «  de trois ans d’emprisonnement et 45 000 euros d’amende ; d’interdiction pour une durée de 5 ans ou plus d’exercer directement ou indirectement une ou plusieurs activités professionnelles ou sociales ;  de placement, pour une durée de 5 ans ou plus, sous surveillance juridique ; de fermeture définitive ou pour une durée de cinq ans au plus des établissements ou de l’un ou de plusieurs des établissements de l’entreprise ayant servi à commettre les faits incriminés ; d’exclusion des marchés publics à titre définitif ou pour une durée de cinq ans au plus ; d’affichage de la décision prononcée ou la diffusion de celle-ci soit par la presse écrite, soit par tout moyen de communication au public par voie électronique »

Interhop signale que d’autres solutions existent, qui permettent de rester conforme à la loi. « Dans un cadre seulement destiné à la recherche, la certification n’est pas obligatoire. Des plateformes d’intelligence artificielle telles que Teralab - déjà gérée par l’Etat (Institut Mines Télécom), celle de l’APHP ou de nombreuses autres - peuvent être utilisées. Il existe de grands logiciels libres ^[11] , notamment issus de l’INRIA, permettant de mener à bien nos travaux dans de bonnes conditions. »

Pétition contre Microsoft

Interhop a par ailleurs lancé une pétition pour s’opposer à l’hébergement des données de santé françaises par Microsoft. « Contrairement à l’avis de nombreux acteurs - Commission National Informatique et Libertés, Ordre National des Médecins, Conseil National des Barreaux, hôpitaux - le gouvernement français s’appuie sur le géant américain Microsoft pour stocker l’ensemble des données de santé », signale interhop. En effet, la commission nationale informatique et liberté a émis un avis rendu en janvier 2019 portant sur la constitution du HDH, et exprime de vives inquiétudes : « Au regard du caractère extrêmement sensible des données traitées, elle alerte les pouvoirs publics sur les conditions concrètes de mise en œuvre de cette évolution, en particulier en matière d’information des patients et de sécurité des systèmes d’information concernés. » 

Pour interhop, « en présentant un projet de recherche d’“intérêt public” - concept juridiquement flou - les GAFAM (Google, Apple, Facebook, Amazon et Microsoft), les start-up ainsi que les assureurs pourront désormais accéder aux données de santé et au pouvoir financier qu’elles représentent ». 

Interhop cite par ailleurs de nombreux acteurs politiques et sanitaires qui s’inquiètent également de cette « privatisation de la santé ». Dans une tribune publiée par le quotidien économique Les Échos, le député LREM Pierre-Alain Raphan note : « Néanmoins, il existe quelques zones d’ombre sur certains acteurs, proches des GAFAM, à l’initiative de ce beau projet (health data hub, NDLR) : le Fondateur de la start-up OWKIN qui lève régulièrement des fonds auprès de Google Venture, voire l’infrastructure retenue qui reposera sur Microsoft AZURE. Loin de vouloir remettre en cause les choix effectués, la question se pose sur les conséquences. » 

La justice américaine autorisée à accéder aux données de pays tiers

Dans une autre tribune publiée cette fois-ci dans le quotidien Le Monde , des auteurs, syndicalistes et professionnels de santé, rappellent que « Le gouvernement américain a adopté en 2018 un texte nommé Cloud Act, qui permet à la justice américaine d’avoir accès aux données stockées dans des pays tiers. La présidente de la Commission nationale de l’informatique et des libertés (CNIL) a affirmé, en septembre, à l’Assemblée Nationale que ce texte est contraire au Règlement Général sur la Protection des Données (RGPD), qui protège les citoyens européens ». De là à penser que le HDH permettra au gouvernement américain de se saisir des données des patients français, il n’y a qu’un pas que les auteurs de cette tribune suggèrent… Encore une fois ces auteurs insistent sur les alternatives qui existent d’ores et déjà. « Les chercheurs et les centres hospitaliers ont une expertise importante, car ils produisent et collectent des données avec, pour objectif, une évolution vers des hôpitaux numériques. Ainsi, le développement des nouvelles technologies au sein des hôpitaux va renforcer l’interconnexion entre le soin et la recherche. » Ainsi, l’AP-HP a développé un entrepôt des données de santé. 

Interrogée sur le transfert possible des données de santé française vers les États-Unis par Mediapart, Stéphanie Combes, présidente du HDH, veut rassurer : « Le contrat prévoit en effet que des données peuvent être transférées par l’hébergeur dans certains cas, sauf indication contraire. Or, nous avons bien spécifié que les données ne devaient pas sortir du territoire français ». 

 

Actualités Medscape © 2020 WebMD, LLC

Citer cet article: Microsoft aura-t-il accès à nos données de santé ? - Medscape - 3 juin 2020.