Question de Mme LIENEMANN Marie-Noëlle (Paris - CRCE-R) publiée le 09/07/2020
Mme Marie-Noëlle Lienemann attire l'attention de M. le ministre des solidarités et de la santé sur les menaces de fuite à l'étranger des données de santé des Français.
La plateforme des données de santé (PDS) dit « Heath Data Hub », infrastructure officiellement créée le 30 novembre 2019, est destinée à faciliter le partage des données de santé issues de sources très variées afin de favoriser la recherche.
La commission nationale de l'informatique et des libertés (CNIL), qui s'est prononcée à plusieurs reprises sur les conditions de sa mise en œuvre, a rappelé le 11 juin 2020 les enjeux pour les libertés individuelles et les règles à suivre pour les projets qui souhaiteraient en bénéficier.
La CNIL a estimé que des données pourront être transférées hors de l'Union européenne dans le cadre du fonctionnement courant de la solution technique, notamment pour gérer et assurer le bon fonctionnement du système informatique. Elle a également pris acte de ce que ce transfert sera encadré par le biais de clauses contractuelles types, conformément au règlement général de protection des données (RGPD).
Au vu de ce contexte et de la sensibilité et du volume des données ayant vocation à être hébergées au sein de la PDS, pour lesquelles le niveau de protection technique mais aussi juridique le plus élevé doivent être assurés, y compris en matière d'accès direct par les autorités de pays tiers, la CNIL a fait part de son souhait qu'une vigilance particulière soit accordée aux conditions de conservation et aux modalités d'accès aux données. À plus long terme, elle a pris acte de ce qu'il lui a été indiqué que l'entrepôt appelé à être constitué au sein de la plateforme des données de santé n'est pas lié aux services d'un unique prestataire. La CNIL a donc émis le souhait, eu égard à la sensibilité des données en cause, que son hébergement et les services liés à sa gestion puissent être réservés à des entités relevant exclusivement des juridictions de l'Union européenne.
En langage courant, la CNIL s'inquiète pour la sécurité de nos données de santé qu'elle craint de voir fuiter, en toute légalité, à l'étranger. Une quinzaine d'organisations et de personnalités, dont le collectif d'hôpitaux InterHop, ont déposé un référé-liberté devant le Conseil d'État contre le déploiement du Health Data Hub car il craignent que la plateforme « porte une atteinte grave et sûrement irréversible aux droits de 67 millions d'habitants de disposer de la protection de leur vie privée notamment celle de leurs données parmi les plus intimes, protégées de façon absolue par le secret médical : leurs données de santé ».
Ainsi par une ordonnance rendue le 19 juin 2020, le Conseil d'État a enjoint à la plateforme des données de santé de transmettre à la CNIL tous éléments relatifs aux procédés de pseudonymisation utilisés, afin qu'elle puisse vérifier si ces techniques assurent une protection suffisante des données en question. Le Conseil d'État a également demandé qu'il soit fait mention sur la plateforme que les données n'étaient pas stockées en France, ce qui ne semble toujours pas être fait.
Elle lui demande donc quelles mesures le Gouvernement compte prendre pour s'assurer que les données de santé des citoyens français soient suffisamment protégées et surtout qu'elles ne partent pas à l'étranger à des fins commerciales.
- page 3144
Transmise au Ministère de la santé et de la prévention
La question est caduque
Page mise à jour le