Tous les articles « E-santé : alerte sur nos données personnes sensibles. L’OIEF interpelle les autorités publiques »

12.05.2020

par Equipe OIEF

E-santé : alerte sur nos données personnes sensibles. L’OIEF interpelle les autorités publiques

Alors que l’intelligence artificielle s’empare de notre système de santé, la CNIL alerte sur le risque que font peser les GAFAM sur la sécurité des données et le secret médical. L’Observatoire de l’intelligence économique français (OIEF) appelle à un contrôle accru en matière de sécurité des données et des distorsions de concurrence. Il appelle également à réviser les choix de délégation de manière à assurer une vraie transparence en matière de traitement et de transfert de données de santé.

Google prétend « tuer la mort »[1] ; les équipes d’Apple ont de leur côté contracté une dette morale envers Steve Jobs, mort prématurément d’un cancer.

L’offensive à l’œuvre en matière de technoscience par les GAFAM monte que la santé numérique est le chantier actuel, sur lequel ces entreprises investissent massivement et prennent d’ores et déjà un avantage certain. C’eut pourtant été un secteur dont l’Europe pouvait se saisir et s’affirmer, ne manquant pas d’acteur en la matière : Nokia, Siemens, Atos, Pharmagest, etc. peut-être faut-il songer à en faire un secteur stratégique prioritaire et autonome.

L’Intelligence Artificielle (IA) s’empare de notre système de santé.

Les commissions médicales des établissement hospitaliers estiment que l’IA aura un impact fort sur les établissements de santé d’ici les cinq prochaines années. Outre un moyen de réduire le temps passé à des tâches administratives chronophages, les professionnels de santé y voient surtout une manière d’augmenter la fiabilité de la prise de décisions tout en réduisant les risques d’erreur.

De son côté, Google a développé le programme Nightingale en collaboration avec Ascension, un groupe médical américain qui gère plus de 2.600 établissements hospitaliers. Ledit projet porte sur les données médicales de 50 millions d’Américains. Google a besoin de ces données pour développer un logiciel d’intelligence artificielle performant. En effet : plus l’échelle est importante, plus la pertinence du logiciel est élevée. C’est une des règles du big data qui repose sur les « 3V » pour Vitesse, Variété et Volume. C’est dire si les données de santé sont une ressource nécessaire pour le développement des nouveaux outils.

Le cas du Health Data Hub (HDH) français

Le HDH est une plate-forme numérique – un Cloud – de recherche sur les données de santé. Ce système, institué depuis le 2 décembre 2019, doit permettre de croiser les bases de données de santé disponibles (système national des données de santé, données des hôpitaux, de la médecine de ville, tec.) et de faciliter leurs utilisations par toutes les différentes équipes de recherche et de développement. Ce groupement d’intérêt public a été créé en lieu et place de l’Institut national des données de santé (INDS)[2].

Toutefois, depuis sa création par la loi relative à l’organisation et la transformation du système de santé de nombreuses voix s’élèvent pour en dénoncer les risques.

En effet, le HDH regroupe les données issues de centres hospitaliers, des pharmacies ou encore du dossier médical partagé lesquelles sont stockées sur le cloud public de Microsoft. Dans le cadre de la gestion du Covid19, un récent décret du 21 avril 2020 a encore élargi le périmètre des données à transmettre au HDH, tandis que pendant un temps AP-HP a songé à mandater Palantir – une société très liée aux autorités américaines ; elle a finalement été écartée.

C’est pourquoi ce choix ne fait pas, l’unanimité d’autant plus que Microsoft a été nommé via une dispense de marché public[3]. La directrice du Hub assure pourtant que le géant américain était « le seul capable de répondre à nos demandes » justifiant de ce fait ladite dispense. Etonnamment, ce choix a été fait alors que seule Microsoft était effectivement hébergeur de données de santé (HDS) certifié ; ce n’est que par la suite qu’OVH et d’autres opérateurs français étaient in fine certifiés.

Pour sa part, la CNIL a d’ores et déjà tiré la sonnette d’alarme vis-à-vis de la protection des données (RGPD) et du respect du secret médical qui serait, en outre, mis à mal[4].

Un enjeu de souveraineté numérique

Nonobstant les enjeux économiques liés à cette plateforme, sa mise en place suscite des inquiétudes à l’égard de l’hébergeur : la première phase du projet repose effectivement sur le service d’hébergement de données de Microsoft, lequel est régi par le droit américain en application duquel les entreprises américaines doivent « communiquer les contenus de communications électroniques et tout enregistrement ou autre information relatifs à un client ou abonné, qui sont en leur possession ou dont ils ont la garde ou le contrôle, que ces communications, enregistrements ou autres informations soient localisés à l’intérieur ou à l’extérieur des États-Unis »[5].

Interpellé sur ce point à l’occasion d’une question au Gouvernement, le Ministère des solidarités et de la santé a répondu que cette règle américaine ne devrait pas trouver à s’appliquer « au contexte du Health Data Hub puisque l’intégralité des données stockées dans la plateforme est dé-identifiée et chacun des jeux de données est indépendamment stocké dans un espace dédié à son producteur et chiffré avec une clé à laquelle Microsoft n’a pas accès »[6].

Il n’est pourtant pas inutile de s’interroger légitimement sur le choix de confier l’hébergement et le traitement des données sensibles, légalement protégées, à un acteur extra européen. La distorsion de concurrence est manifeste car en réalité cela autorise ce dernier à développer et entraîner ses algorithmes sur la masse des données ainsi collectées, puis en définir les usages pour éditer des outils et solutions numériques qui seront revendues ou concédées sous licence à d’autres opérateurs comme Apple  ou encore aux professionnels de santé eux-mêmes.

C’est pourquoi l’OIEF interpelle les autorités publiques sur cette grave question de souveraineté numérique et l’invite

  • à opérer un contrôle accru en matière de concurrence et de respect de la protection des données personnelles ;
  • à réviser les choix de délégation de manière à assurer une vraie transparence en matière de traitement et de transfert de données de santé.

[1] Annonce du 18 septembre 2013

[2] Arrêté du 29 novembre 2019 portant approbation d’un avenant à la convention constitutive du groupement d’intérêt public « Institut national des données de santé » portant création du groupement d’intérêt public « Plateforme des données de santé ».

[3] « Données de santé : la plate-forme de la discorde », Le Monde,  2 décembre 2019

[4] « La Cnil s’inquiète d’un possible transfert de nos données de santé aux Etats-Unis », Mediapart, 8 mai 2020

[5] Cf. Clarifying lawful overseas use of data act ou cloud act (H.R. 4943), 6/02/2018.

[6] Réponse du Ministère des solidarités et de la santé publiée dans le JO Sénat du 13/02/2020, p. 819, à la question écrite n°14130 de M. Claude Raynal (Haute-Garonne – SOCR) publiée dans le JO Sénat du 30/01/2020, p. 504.

 

Article suivant

par La rédaction