(AFP) – Le Health Data Hub, plateforme française de données de santé pour la recherche, ne sera pas suspendu, mais son hébergement actuel par l’américain Microsoft nécessite de prendre des garanties supplémentaires, a décidé mercredi le Conseil d’Etat.
Cette plateforme doit permettre aux scientifiques d’accéder aux montagnes de données de santé françaises, sous forme pseudonymisée, pour faire de la recherche en utilisant en particulier l’intelligence artificielle.
Le Conseil d’Etat a considéré que le « risque » que Microsoft ne puisse pas s’opposer à une demande d’accès aux données par les administrations américaines à des fins de renseignement ne constituait pas un « cas d’atteinte grave et manifestement illégale » à une liberté fondamentale et ne justifiait pas « à très court terme » la suspension du dispositif, notamment au regard de son « intérêt public important » en pleine crise sanitaire. En revanche, « il appartient à la plateforme des données de santé de continuer de rechercher (…) la mise en oeuvre par Microsoft des mesures techniques et organisationnelles appropriées pour garantir au mieux la protection des droits« .
Le juge des référés était saisi d’une requête en suspension par le collectif Santenathon, rassemblant une vingtaine d’organisations et de personnalités, dont le Conseil national du logiciel libre et le Syndicat de la médecine générale. Ils arguaient que la plateforme n’avait plus de base légale après l’annulation en juillet par la justice européenne de l’accord « Privacy Shield », qui organisait les transferts de données entre l’UE et les Etats-Unis.
« Le Conseil d’Etat reconnaît que le Health Data Hub hébergé chez Microsoft ne protège pas les données de santé des Français contre les intrusions du gouvernement américain« , ont-ils relevé dans un communiqué, souhaitant désormais saisir le Conseil d’Etat sur le fond et la Cnil, gendarme des données personnelles, sur « les infractions en cours et passées« .
Dans un mémoire communiqué lors de l’audience du 8 octobre, cette dernière recommandait de changer la solution d’hébergement « dans un délai aussi bref que possible« .
La Cnil, en conseil pour des garanties
« La Cnil va analyser avec attention la position du juge des référés pour l’instruction des demandes d’autorisations de projets de recherche utilisant le Health Data Hub ainsi que pour conseiller les autorités publiques sur la mise en place de garanties pérennes appropriées« , a-t-elle réagi mercredi dans un communiqué. Elle « accueille également favorablement les déclarations du secrétaire d’État au numérique (Cédric O) qui a indiqué, le 8 octobre dernier devant le Sénat, la volonté du gouvernement de transférer le Health Data Hub sur des plateformes françaises ou européennes« .
En attendant, le Conseil d’Etat se veut rassurant, expliquant que les données du Health Data Hub sont stockées par Microsoft aux Pays-Bas « avant de l’être prochainement en France« , et que le contrat interdit les transferts de données personnelles vers les Etats-Unis. Un arrêté ministériel dispose qu' »aucun transfert de données à caractère personnel ne peut être réalisé en dehors de l’Union européenne » dans le cadre du Health Data Hub.
« Le recours aux solutions Cloud de Microsoft a été fait sur la base de leurs fonctionnalités et garanties en matière de sécurité et de protection de la vie privée. Ces solutions répondent aux exigences de la règlementation française relative au stockage et au traitement des données de santé« , a souligné de son côté le groupe américain auprès de l’AFP.
