Disponible

La meilleure façon de produire l'avenir est de le créer.Alban Nuel

Consulting / Formation

Mon CV

Health Data Hub – Ou la marchandisation des données de santé

Posted by Alban Nuel 1 juin 2020 Non classé , , , , , ,

Edward Snowden tweet ce 20/05/2020 à propos du Health Data Hub, la nouvelle plateforme de données de santé.

J’ai eu envie de revenir avec vous sur les enjeux et les risques d’un tel projet.

Définitions :

Données de santé : “Les données à caractère personnel concernant la santé sont les données relatives à la santé physique ou mentale, passée, présente ou future, d’une personne physique (y compris la prestation de services de soins de santé) qui révèlent des informations sur l’état de santé de cette personne.” — CNIL

Cloud Act : Le Clarifying Lawful Overseas Use of Data Act ou CLOUD Act (H.R. 4943) est une loi fédérale des États-Unis adoptée en 2018 sur la surveillance des données personnelles, notamment dans le Cloud. Elle permet aux forces de l’ordre (fédérales ou locales, y compris municipales) de contraindre les fournisseurs de services américains, par mandat ou assignation, à fournir les données demandées stockées sur des serveurs, qu’ils soient situés aux États-Unis ou dans des pays étrangers. – Wikipedia

1. Qu’est-ce que le Health Data Hub ou Plateforme des données de santé ?

La plateforme des données de santé ou Health Data Hub a pour but de centraliser un très grand volume de données de santé en vue d’améliorer la recherche et le système de santé actuel grace à l’IA. En effet, les algorithmes d’apprentissages basés sur l’IA ont besoin d’un grand nombre de ressources pour devenir performants.

La charte du 28 février précise les responsabilités et les acteurs. (https://fee494fb-072e-49c6-a5ed-00cfc497e5db.filesusr.com/ugd/8b518a_ee2298b1fbca4b2c84efc5eda8f278e9.pdf).

Le HDH a pour objet de veiller à la qualité des données de santé et aux conditions générales de leurs mises à disposition, garantissant leurs sécurités et facilitant leurs utilisations dans le respect de la protection des données personnelles sur l’ensemble du territoire.

Il est notamment chargé des missions énumérées à l’article L.1462 du code de la santé publique :

1/ De réunir, organiser et mettre à disposition les données du système national des données de santé mentionné à l’article L. 1461-1 et de promouvoir l’innovation dans l’utilisation des données de santé ;

2/ D’informer les patients, de promouvoir et de faciliter leurs droits, en particulier concernant les droits d’opposition dans le cadre du 1° du I de l’article L. 1461-3 ;

3/ D’assurer le secrétariat unique mentionné à l’article 76 de la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés ;

4/ D’assurer le secrétariat du comité éthique et scientifique pour les recherches, les études et les évaluations dans le domaine de la santé ;

5/ De contribuer à l’élaboration, par la Commission nationale de l’informatique et des libertés, de référentiels et de méthodologies de référence au sens du b du 2° du I de l’article 8 de la loi n° 78-17 du 6 janvier 1978 précitée. Il facilite la mise à disposition de jeux de données de santé présentant un faible risque d’impact sur la vie privée, dans les conditions prévues au II de l’article 66 de la même loi ;

6/ De procéder, pour le compte d’un tiers et à la demande de ce dernier, à des opérations nécessaires à la réalisation d’un traitement de données issues du système national des données de santé pour lequel ce tiers a obtenu une autorisation dans les conditions définies à l’article L. 1461-3 du présent code ;

7/ De contribuer à diffuser les normes de standardisation pour l’échange et l’exploitation des données de santé, en tenant compte des standards européens et internationaux ;

8/ D’accompagner, notamment financièrement, les porteurs de projets sélectionnés dans le cadre d’appels à projets lancés à son initiative et les producteurs de données associés aux projets retenus.

2. Enjeux

A l’ère du numérique, les sources de données sont de plus en plus nombreuses, riches et variées. Il devient nécessaire pour les professionnels de santé et pour les chercheurs d’optimiser leurs fonctionnements et leurs recherches pour mener à bien leurs missions.

Ce SNDS XXL (Système National De Santé) permettrait d’améliorer la recherche et le système de santé actuel.

3. Risques

3.1 Un choix d’hébergement non souverain pour les données de santé des français.

L’entreprise choisit pour héberger les données de santé est Microsoft, GAFAM soumis au Cloud Act.

Comme l’explique très bien Simon Woilet , doctorant :

Selon la présidente de la CNIL, c’est plus précisément autour de l’article 48 du RGPD qu’il existe un risque de friction juridique avec le Cloud Act. Dans un contexte trumpien de retour à la guerre commerciale ouverte, Microsoft pourrait se retrouver pris en étau entre les législations européennes et américaines sur la question, dont l’issue dépendra d’un accord bilatéral entre les deux parties.

Mais quel droit Microsoft respectera-il alors pour peu que les autorités américaines réclament des données de santé de citoyens français pour des raisons de public safety ?

Même si le risque peut paraître faible, doit-on placer le bon fonctionnement de cette plateforme de centralisation des données de santé des Français à guichet unique sous la présidence imprévisible qui est celle des États-Unis actuellement ?

Que se passerait-il si, au gré des manœuvres économiques et du jeu politique international, cette plateforme qui supplante un système de santé solidaire et national, se retrouverait en position de levier géopolitique à la faveur d’un gouvernement étranger ?

Contrairement à l’époque du choix du datacenter, nous avons maintenant des DC souverains certifiés HDS capable d’assurer ce service.

3.2 Le nombre d’utilisateurs possibles.

Comme l’indique la charte du 28 février, qui précise les responsabilités et les acteurs du projet, toutes entités qui arrive à prouver l’interet public de son projet peut avoir accès aux données.

En d’autres termes, les GAFAM, les start-up et les assurances pourront désormais accéder aux données.

En plus de toutes les dérives que cela va amener, nous sommes proches d’une violation du secret medical. Bientôt l’explosion des prix de votre mutuelle suite à un rendez-vous avec votre médecin ?

3.3 L’anonymisation des données de santé.

Les textes de l’arrêté de création du HDH sont très vague concernant la mission de mise à disposition des données de santé : « Lorsque c’est pertinent au regard de la demande des utilisateurs, elle peut élargir son périmètre à certaines données contextuelles ».

Dans quelles mesures ces données sont anonymisés puisqu’il est possible de donner des infos de contexte aussi simplement ?

Conclusion

Le HDH est encore en phase de test, je pense qu’il est encore temps de militer pour une modification du projet afin de protéger correctement nos données de santé !

https://interhop.org/le-gouvernement-contraint-les-hopitaux-a-abandonner-vos-donnees-chez-microsoft/

Votre avis m’intéresse, à vos commentaires !

#SecretMedical #GAFAM #HDH #Privacy #Risques