La CNIL s’est déjà prononcée sur la Plateforme de données de santé, ou Health Data Hub (HDH) le 31 janvier 2019 lors de la publication du projet de loi d’organisation et de transformation du système de santé et le 22 avril 2020 sur la mise en œuvre anticipée du HDH pour les besoins de la gestion de l’urgence sanitaire et de l’amélioration des connaissances sur la COVID-19.
Dans le cadre du déconfinement de la population, un projet de loi organisant la sortie de l’état d’urgence sanitaire a été enregistré à l’Assemblée nationale le 10 juin dernier. Dans le prolongement de l’examen de ce projet de loi, et notamment de l’article 2 qui permettrait une prolongation de la durée de conservation de certaines données à caractère personnel afin de permettre le suivi effectif des personnes contaminées et de leurs contacts, la CNIL a de nouveau publié un avis le 11 juin dernier, relatif à la mise en œuvre du HDH afin de rappeler ses principales recommandations et mettre en lumières ses réserves concernant (i) la licéité de la constitution de l’entrepôt de données lié au COVID-19, (ii) la sécurité du HDH et (iii) les transferts de données en dehors de l’Union européenne.
L’arrêté du 21 avril 2020 complétant l’arrêté du 23 mars 2020 prescrivant les mesures d’organisation et fonctionnement du système de santé nécessaires pour faire face à l’épidémie de COVID-19 dans le cadre de l’urgence sanitaire a permis au HDH de recevoir des données de santé à caractère personnel, dans le but de faciliter leur utilisation « pour les besoins de la gestion de l’urgence sanitaire et de l’amélioration des connaissances sur le virus COVID-19 ».
L’article 1 de cet arrêté précise alors une liste exhaustive de catégories de données pouvant être collectées à cette seule fin. Dans son avis rendu le 11 juin dernier, la CNIL rappelle que la base de données ainsi créée ne disposera plus de base légale lorsque les dispositions de l’arrêté du 21 avril 2020 ne seront plus applicables, à savoir à l’expiration de la période d’état d’urgence sanitaire déclaré à l’article 4 de la loi du 23 mars 2020. La centralisation de données au sein du catalogue du HDH nécessitera alors une autorisation préalable de la CNIL, en application des dispositions des articles 44-3° et 66 de la loi Informatiques et Libertés.
En outre, la CNIL rappelle qu’un décret précisant les éléments essentiels relatifs au fonctionnement normal du HDH (hors état d’urgence) est attendu, conformément aux dispositions de l’article L. 1416-7 du code de la santé publique.
Tout en affirmant que la sécurité des données mises à disposition du HDH est assurée, la CNIL souligne qu’une attention particulière doit être portée aux imports et exports de données.
En effet, la Commission avait relevé dans sa délibération n°2020-044 du 20 avril 2020 que la solution technique portant le HDH avait fait l’objet d’une analyse globale des risques et des impacts sur la vie privée ayant abouti à une homologation selon le référentiel de sécurité du Système National des Données de Santé (SNDS). Cette homologation prévoyait un plan d’actions de mise en œuvre de mesures de sécurité nécessitant plusieurs mois. Or la CNIL relève que ces mesures ont du être mises en œuvre dans un délai de seulement quelques semaines, imposé par les conditions d’urgence dues à la crise sanitaire.
Plus particulièrement, la CNIL s’interroge sur l’effectivité du blocage de toute possibilité d’exportation de données non anonymisées pas les utilisateurs et rappelle la nécessité de garantir l’anonymat effectif des exports.
Dans son avis en date du 11 juin dernier, la CNIL réitère ainsi son inquiétude sur ce sujet.
La CNIL précise en outre que les mesures de sécurité devront être réévaluées régulièrement pour prendre en compte les évolutions de la plateforme et des risques associés.
Enfin, la CNIL rappelle que le HDH devra s’assurer que la mise en œuvre anticipée de la plateforme ne doit pas engendrer de risque supplémentaire pour les personnes concernées.
Dans sa délibération n°2020-044 du 20 avril 2020, la CNIL avait indiqué que les contrats organisant la prestation d’hébergement entre le HDH et Microsoft ne prévoient pas la localisation des données, ni l’ensemble des garanties relatives aux modalités d’accès aux données par les administrateurs de l’hébergeur. En outre, le contrat mentionne l’existence de transferts de données en dehors de l’Union européenne dans le cadre du « fonctionnement courant de la plateforme, notamment pour les opération de maintenance ou de résolution d’incident », ces transferts étant encadrés par des clauses contractuelles types exigées par le RGPD.
A ce titre, la CNIL rappelle dans son avis du 11 juin dernier que le Comité européen de la protection des données (CEPD) s’est inquiété à plusieurs reprises de l’accès par les autorités nord-américaines aux données transférées aux États-Unis et plus particulièrement des dispositions de l’article 702 de la loi américaine FISA et du décret (« Executive Order ») 12 333 permettant la collecte et l’accès aux données personnelles à des fins de sécurité nationale.
Cette règlementation américaine entre en effet en conflit avec les dispositions du RGPD qui interdisent toute demande d’accès d’une juridiction ou d’une autorité administrative d’un pays tiers adressée à des entreprises dont le traitement est soumis au RGPD, à l’exception des cas où il existe un accord international applicable ou une dérogation relative à l’intérêt vital de la personne concernée.
Ainsi, la CNIL insiste et réitère son souhait de voir l’entrepôt constitué au sein du HDH, ainsi que les services liés à sa gestion, hébergés par des entités « relevant exclusivement des juridictions européennes ».