Dans le concert de critiques autour de la plateforme Health Data Hub, il manquait l’avis de la Cnil. Celui-ci vient d’être publié et le moins que l’on puisse dire, c’est que la polémique n’est pas prête de s’éteindre. En effet, la commission souhaite que « eu égard à la sensibilité des données en cause, que son hébergement et les services liés à sa gestion puissent être réservés à des entités relevant exclusivement des juridictions de l’Union européenne. »
Aujourd’hui, la plateforme de données de santé est hébergée sur le cloud de Microsoft Azure. Certifié hébergeur de données de santé et disposant de datacenters en France, l’éditeur américain n’en reste pas moins soumis au Cloud Act. La Cnil souligne « les inquiétudes soulevées à plusieurs reprises par le Comité européen de la protection des données (CEPD) concernant l’accès par les autorités nord-américaines aux données transférées aux États-Unis, plus particulièrement la collecte et l'accès aux données personnelles à des fins de sécurité nationale en vertu de l'article 702 de la loi américaine FISA et du décret (« Executive Order ») 12 333 ». Elle rappelle aussi les obligations du RGPD qui « interdisent toute demande d’accès d'une juridiction ou d'une autorité administrative d'un pays tiers, adressée à des entreprises dont les traitements sont soumis au RGPD, en dehors d’un accord international applicable ou, selon l’interprétation du CEPD, de l’application d’une dérogation relative à l’intérêt vital de la personne concernée ».
Passe d’armes avec OVH et référé-liberté devant le Conseil d’Etat
Le choix de Microsoft comme fournisseurs de services cloud est donc dans le viseur. Depuis quelques semaines, des voix se sont élevées pour savoir pourquoi un prestataire français comme OVH n’a pas été retenu dans le cadre du HDH. Octave Klaba s’est fendu de plusieurs tweets pour revenir sur la polémique. « Pas de cahier des charges. Pas d’appel d’offres. Le POC avec Microsoft qui se transforme en solution imposée. Tout ceci à la limite je m’en fous. Mais de là dire que l’écosystème qu’on représente est incapable de proposer mieux et moins cher, c’est non ! », peut-on lire dans un échange avec Stéphanie Combes, directrice de Health Data Hub.
Toujours est-il que le sujet de l’hébergement est passé à la vitesse supérieure cette semaine avec le dépôt d’un référé-liberté auprès du Conseil d’Etat. Le collectif InterHop (les hôpitaux français pour l'interopérabilité et le partage libre des algorithmes), le CNLL et le médecin Didier Sicard sont, avec plusieurs autres associations et personnes, à l’initiative de ce recours. Ils reprochent que la plateforme mise en place « porte une atteinte grave et sûrement irréversible aux droits de 67 millions d’habitants de disposer de la protection de leur vie privée notamment celle de leurs données parmi les plus intimes, protégées de façon absolue par le secret médical : leurs données de santé ».