protection des données de santé

Crédit photo : adi-goldstein

Protection des données de santé : quel regard porter sur la polémique du health data hub ?

Récemment, la mise en place du«Health Data Hub» a suscité une vive polémique en raison du choix de l’hébergeur des données de santé. Il est donc possible de se poser la question suivante : La mise en place du «Health Data Hub» est-elle favorable à l’innovation et quels sont les risques que peut présenter cette plateforme ?

Qu’est ce qu’on entend par une donnée de santé ?

Ce type de données relatives à la santé physique ou mentale, passée, présente ou future, d’une personne physique qui révèlent des informations sur son état de santé. Elles entrent donc dans une catégorie particulière : les données sensibles. A l’origine, leur utilisation ainsi que leur exploitation sont interdites par la loi (selon l’article L 1111-8 du CSP) mais certaines dérogations existent.

Comment sont encadrés les hébergeurs de données de santé ?

Ces données de santé doivent être conservées sur un hébergeur. Il existe deux types d’hébergements de données de santé. Un hébergement externalisé auprès d’un sous traitant et un hébergement en interne par un responsable de traitement. Dans le premier cas, l’hébergement de données de santé peut être effectué pour le compte d’un responsable de traitement, ou pour le compte du patient lui-même mais avec l’obligation de recourir à un prestataire détenteur de la certification ou de l’agrément HDS (Hébergement des Données de Santé). Dans le deuxième cas, la personne qui héberge en interne des données de santé n’agit pas en qualité de sous-traitant, pour le compte d’un responsable de traitement de donnée, ou du patient lui-même. Par exemple, la conservation des informations présentes dans un dossier médical, par un médecin ou un établissement de santé est règlementée par le Code de la Santé Publique.

La polémique autour de Microsoft concernant le Health Data Hub

Récemment, la Plateforme des Données de Santé (PDS) ou «Health Data Hub» (HDH), a été créée par arrêté du 29 novembre 2019 du gouvernement pour faciliter le partage des données de santé, issues de sources très variées afin de favoriser la recherche. Ce projet ne cesse de s’accroitre mais fait pourtant polémique. En effet, le «Health Data Hub» va faire appel à une société étrangère, la très célèbre Microsoft, pour héberger ses données. Les données seront certes stockées sur le territoire de l’UE mais dans les centres de données du groupe américain situés aux Pays-Bas. Ce choix est vivement contesté, notamment par la CNIL (Commission Nationale de l’Informatique et des Libertés) qui craint la présence de failles dans la sécurité des données.

La CNIL au service de l’innovation et du respect du RGPD

Pour avoir accès aux données du «Health Data Hub», il faudra obtenir la validation de la CNIL qui s’est prononcée les règles à suivre pour les entreprises porteuses de projets qui souhaiteraient en bénéficier. Comme différents cas de figure, il est possible de citer des projets pour des besoins médicaux ou encore des projets qui présentent un caractère d’intérêt général. Les acteurs de ces projets doivent s’engager à ne pas revendre et à ne pas utiliser ces données à des fins commerciales. La CNIL se charge donc de vérifier que les dossiers respectent bien la législation concernant le Règlement Général sur la Protection des Données ou RGPD. Le RGPD encadre le traitement des données personnelles au sein de l’UE. La CNIL cherche en effet à aider les acteurs de l’e-santé à combiner innovation et respect du RGPD. Pour cela, elle a lancé, avec le «Health Data Hub», un appel à projets jusqu’au 2 Avril 2021 où trois lauréats bénéficieront de leur accompagnement. Les conditions sont que les projets soit innovants, favorable à l’intérêt général et que les acteurs s’intéressent à la protection des données de santé. Cet appel à projets est accessible à tous : entreprises, organismes publics ou encore start-up. Pour le moment, un jury a retenu dix projets dont les objectifs sont variés : reste à charge réel pour les patients, évaluation de l’efficacité de l’IA dans le dépistage du cancer du sein…

Pour aller plus loin

La mise en place du «Health Data Hub» est partie d’une bonne intention, à savoir développer des projets innovants mais le choix de l’hébergeur pose néanmoins problème.Pour remédier à cela, plusieurs solutions peuvent être envisageables. Tout d’abord, il est possible de se demander si des informations telles que le nom et le prénom des patients sont réellement nécessaires a la recherche médicale avec comme objectif la mise sur le marché de nouveaux médicaments. En effet, seules des informations comme les caractéristiques physiques ou physiologiques semblent essentielles. L’idée serait donc de mettre en place un centre de traitement qui anonymiserait les données de santé qui seraient ensuite envoyées au «Health Data Hub» pour être traitées. Cela rassurerait ainsi la population française. Enfin, une autre alternative serait de changer d’hébergeur en choisissant un hébergeur français parmi les acteurs suivants : Cloud Santé Netplus, ADMI, Zayo France ou encore Mipith. Par exemple,  Mipith se consacre à l’hébergement des données de santé depuis 2007 et possède deux datacenters sur Toulouse et Amiens. Le challenge de demain sera de réussir à innover tout en garantissant la protection des données de santé.

Sources

  • https://www.usine-digitale.fr/article/la-cnil-veut-aider-les-acteurs-de-l-e-sante-a-conjuguer-innovation-et-respect-du-rgpd.N1061079
  • https://www.cnil.fr/fr/la-plateforme-des-donnees-de-sante-health-data-hub
  • https://www.ticpharma.com/story/1541/health-data-hub-une-demande-d-autorisation-a-la-cnil-dans-les-prochaines-semaines-(stephanie-combes).html
  • https://www.numerama.com/politique/631839-health-data-hub-questions-plateforme-donnees-sante-france.html#:~:text=L’id%C3%A9e%20du%20Health%20Data,Villani%20sur%20l’intelligence%20artificielle.
  • https://www.exodata.fr/blog/hebergement-de-donnees-de-sante
  • https://www.village-justice.com/articles/hebergement-donnee-sante-rgpd,30355.html
 
FOOTER 2021

Toute reproduction, intégrale ou partielle des éléments du site est interdite

sauf autorisation expresse et préalable de KéaBot