2- Le « cloud computing » et la nécessité d'une protection internationale
Cependant, selon la CNIL, ce cadre législatif sécurisant se trouve aujourd'hui sérieusement menacé par un développement inquiétant de l'informatique avec ce que l'on appelle le « cloud computing », c'est-à-dire des offres de service consistant à héberger des données sur des serveurs dont on ignore où ils sont installés, et qui deviennent donc difficilement contrôlables. On commence à voir par exemple une gestion des rendez-vous médicaux effectuée depuis l'étranger, et notamment dans des pays qui n'ont pas forcément le même niveau de protection de la confidentialité des données que le nôtre. C'est un phénomène très inquiétant. S'y ajoutent des systèmes privés de banque de données, utilisés par les chercheurs tels le LONI 87 ( * ) à Los Angeles.
L'ensemble des pays de l'Union européenne s'est doté d'une législation de protection des données de santé et la directive européenne en vigueur est actuellement en cours de révision. Il existe un groupe européen des autorités de santé, appelé G29, qui se réunit tous les deux mois pour arrêter des positions communes et influer sur la position des acteurs. Le G29 réfléchit aussi actuellement à un futur dossier médical européen partagé, le projet EPSOS.
Avec les États-Unis, un accord est intervenu entre la Federal Trade Commission (FTC) et la Commission européenne pour créer les accords de Safe Harbor, qui ont pour objet d'encadrer les transferts de données, notamment dans le secteur de la santé, avec les entreprises qui déclarent adhérer volontairement à ces accords, ce qui est loin d'être totalement satisfaisant.
La législation européenne prévoit que des transferts de données à l'extérieur de l'UE sont possibles uniquement avec les pays disposant de lois offrant un niveau de protection adéquat résultant soit d'une loi de protection des données, soit de clauses contractuelles, soit d'un accord tel que ceux du Safe Harbor ; dans ce dernier cas, il s'agit plutôt d'échange d'informations. Mais, en dehors de l'Europe, il n'existe malheureusement aujourd'hui aucun texte international qui permette de contrôler la sécurité de l'hébergement et du transfert des données médicales.
La CNIL souhaite ardemment l'adoption d'une convention internationale pour encadrer la circulation de ces informations, mais il semble qu'on en soit encore loin. Elle estime qu'on se trouve actuellement à une période charnière, car, d'une part, une révision de la directive européenne sur la protection des données est en cours, et d'autre part, d'autres modèles apparaissent dans la région Asie-Pacifique à l'instigation des États-Unis, qui veulent développer leur propre modèle de transmission des données, qui ne sera pas forcément au même niveau de protection que le modèle européen. On se trouve là face à un défi international important, d'autant plus que les acteurs-clés, tels que Google et Facebook, sont américains.
La CNIL reconnaît en outre qu'aujourd'hui l'agrément que doit obtenir le prestataire d'hébergement de données de santé concerne uniquement l'externalisation des dossiers médicaux vivants, ceux qu'on utilise pour traiter les patients. Elle estime qu'il sera nécessaire, à terme, d'étendre cette réglementation non seulement aux bases de données de l'assurance-maladie, mais aussi aux recherches contenant de vastes bases de données qui permettent d'identifier des cohortes sensibles.
Recommandations :
- Assurer la sécurité de l'hébergement et du transfert des données d'imagerie cérébrale ;
- Soumettre à des conditions strictes d'agrément les hébergeurs de données de recherches sur de grandes cohortes ;
- Participer activement à la négociation et à l'adoption d'une convention internationale pour encadrer la circulation des informations médicales.
* 87 " Laboratory of Neuro Imaging", mission des Rapporteurs aux États-Unis.