L’internationalisation des flux de données 

Le marché de l’hébergement des données de santé en France et plus généralement en Europe est un enjeu commercial premier.

Les géants du web américains, les GAFAM, l’ont bien compris :

– Ainsi, un tiers des investissements de Google serait aujourd’hui réalisé dans la santé.

– Microsoft (Azure) a été certifié HDS l’an dernier en un temps record (4 mois contre 12 à 18 en moyenne) et Google Cloud l’est depuis quelques mois.

– D’autres mastodontes américains ont obtenu le précieux sésame comme AWS (Amazon Web Services) et Salesforce (le dernier est un éditeur de logiciels de San Francisco, très engagé auprès d’écoles françaises de commerce ou d’ingénieurs informatiques).

Leur présence s’étend désormais à des secteurs névralgiques.

Au début, ces ténors du Cloud fournissaient aux français plutôt des services IaaS (infrastructure en tant que service). Aujourd’hui ce sont de plus en plus des services PaaS (plateforme en tant que service) et SaaS (logiciel en tant que service). Autrement dit, les clients français qui ont recours à leurs services sont de plus en plus dépendants.

Aujourd’hui Microsoft ne cache pas ses intentions de conquérir le secteur de l’hospitalisation et plus particulièrement les Groupements Hospitaliers de Territoire en mettant en avant ses quatre Datacenters français.

La question que chacun se pose est donc de savoir si nous disposons d’un dispositif de sécurité de nos données de santé suffisant ?

Un régime de protection européen performant

La réponse est à priori positive.

Face à la mondialisation des flux de données et à la multitude de cadres légaux disparates (plus de 130 !), l’Union européenne a choisi d’élaborer un référentiel global : le Règlement Général de Protection des Données que chacun connait désormais sous son acronyme RGPD.

Chacun a pu constater que le RGPD conduit à abandonner notre culture latine « de la légalité » pour une culture anglo-saxonne de « la conformité ». En d’autres termes, plus d’autorisation préalable au bénéfice d’une responsabilisation des acteurs dont la contrepartie est de lourdes sanctions pour les plus malins qui confondent conformité avec liberté de faire ce que l’on veut !

Ce texte – qui a harmonisé vers le haut les réglementations européennes – apporte en matière de santé une double protection constitutive actuellement du plus haut degré de protection qui existe dans le monde.

• Concept d’extraterritorialité :

Le RGPD protège les personnes non pas suivant un critère de nationalité, mais de rattachement géographique.

Ainsi les européens sont protégés le plus complètement possible grâce au concept ambitieux d’extraterritorialité puisque le RGPD s’applique si le responsable de traitement ou un de ses sous-traitants ou si la personne concernée se situe sur le territoire de l’EEE au moment de la collecte ou du traitement des données (c’est-à-dire sur le territoire des Etats membres de l’UE, plus ceux de la Norvège, du Liechtenstein et de l’Islande).

Par exemple, si une société chinoise confie ses données à un sous-traitant européen, celles-ci sont alors protégées par le RGPD, même si les données ne concernent pas des citoyens européens. Dans l’autre sens, les données personnelles collectées dans l’UE mais traitées en Chine entrent également dans le champ du RGPD.

De même, si un site internet américain collecte des données de personnes localisées sur le territoire de l’Union, le RGPD s’applique, du moins selon les textes, ce que nous verrons un peu plus loin.

• Sanctuarisation des données de santé :

Outre un dispositif de protection reposant sur l’extraterritorialité, certaines données particulières dites sensibles comme les données de santé « méritent une protection plus élevée » (considérant 53). Nous retiendrons 3 aspects singuliers ;

• les traitements de données de santé sont soumis aux dispositions du RGPD avec un principe d’interdiction et non de liberté. Ainsi il est interdit de collecter une donnée de santé sauf dérogation.
• En outre, le RGPD a élargi la notion de donnée de santé pour la protéger davantage. La CNIL limitait les données de santé aux informations relatives aux pathologies. Désormais la donnée de santé se définit comme toute information susceptible de révéler une indication sur l’état de santé d’une personne.
• Enfin, le RGPD invite les Etats à offrir aux données de santé une protection plus élevée, notamment en donnant à ces Etats une grande latitude pour prendre des mesures supplémentaires.

L’Etat Français a semblé y adhérer, nous en voulons pour preuve :

.Un régime d’autorisation de la CNIL a été maintenu pour les traitements de données de santé présentant une finalité d’intérêt public (par exemple, la garantie de normes élevées de qualité et de sécurité des soins de santé et des médicaments ou des dispositifs médicaux) et les traitements de recherche.

La volonté du législateur français a été incontestablement d’éviter toute marchandisation des données de santé, qui sont une émanation du corps humain pour lequel l’indisponibilité est un principe essentiel du droit français.

.Une autre mesure supplémentaire adoptée par le législateur français concerne le stockage des données de santé. La France est sans doute l’un des pays, voire le pays, qui a mis en place les conditions de sécurité les plus exigeantes et les plus coûteuses pour l’hébergement, avec la certification HDS (Hébergement des Données de Santé).

Nous voici donc rassurés ?

La question est importante.

Ainsi la plateforme nationale des données de santé, le Health Data Hub (HDH) aurait choisi – vient-on d’apprendre- Microsoft Azure, la plateforme applicative en nuage de Microsoft.

Nos données seront-elles sécurisées ?

Hélas, trois fois hélas, rien n’est moins sûr.

Regardons de plus près :

D’un régime de protection en « adéquation » à un régime « équivalent »

Prenons l’exemple de Google Cloud France qui a créé cet été une activité dédiée à la santé et au secteur public.

Google Cloud France a obtenu la certification HDS sans aucun datacenter en France !

Certes la certification HDS n’exige pas une présence physique sur notre territoire. Ainsi Google Cloud a obtenu une certification HDS pour 25 datacenters en Europe, mais aussi aux Etats-Unis et en Asie du Sud-Est.

Pourquoi ?

D’une part, Google répond aux normes et exigences du référentiel de certification HDS.

D’autre part, Google peut parfaitement transférer des données hors UE, sous réserve que le niveau de protection des données soit équivalent à celui du RGPD (articles 44 à 47 du RGPD).

Un niveau de protection équivalent n’est pas un niveau de protection comparable. Il permet de réduire certaines différences entre deux systèmes de protection des données.

La meilleure protection pour un transfert hors UE est la décision d’adéquation qui permet la circulation, en toute sécurité, des données entre l’EEE et le pays tiers concerné, sans autorisation ou garantie supplémentaire.

Mais rares sont les pays qui bénéficient d’une décision d’adéquation totale de la Commission européenne : l’Andorre, l’Argentine, Israël, le Japon, la Nouvelle-Zélande, la Suisse, l’Uruguay.

En l’absence de décision d’adéquation, des instruments sont mis en place pour obtenir des garanties (Binding Corporate Rules, clauses contractuelles types, codes de conduite, mécanismes de certification approuvés…) mais l’équivalence du niveau de protection est tout à fait relative, pour ne pas dire insuffisante.

Par exemple, la Chine et la Russie ne sont pas des pays reconnus comme adéquats par l’UE : les transferts de données vers ces pays nécessitent d’être encadrés par les outils de transfert susvisés.

Les Etats-Unis sont, eux, reconnus adéquats pour certains traitements spécifiques d’activités commerciales, mais le niveau de protection est également insuffisant pour le reste.

L’exemple américain : une protection en réalité insuffisante

Les Etats-Unis sont reconnus « en adéquation » par l’Union Européenne pour les traitements d’entreprises ayant adhéré à un mécanisme d’auto-certification, le Privacy Shield  (bouclier de protection des données UE-USA).

Cependant, ce dispositif – qui permet de transférer des données hors UE – est constitutif d’une protection bien « moins-disante » que celle du RGPD.

Remarquons que des Etats américains en sont conscients et tentent d’apporter une meilleure protection des données de leurs citoyens sur internet et d’encadrer les activités des géants du numérique. En témoignent le California Consumer Privacy Act et tout récemment la loi « SB-220 » du Nevada. [1]

Selon des récents sondages, les deux tiers des américains souhaiteraient disposer d’un dispositif plus protecteur.

Il n’y a donc pas de RGPD américain : le Privacy Shield  est un outil à la disposition des entreprises américaines et non un accord fédéral.

Le privacy shield : un faux RGPD

Pour mémoire, la CJUE avait annulé, en octobre 2015, le précédent accord (le Safe Harbor) car le niveau de protection des données était insuffisant pour permettre le transfert de données de l’Europe vers les USA, d’où le Privacy Shield accepté en 2016 dans l’urgence par la Commission européenne.

Pourtant, les autorités de protection des données européennes demandaient aux américains de renforcer leurs mécanismes de contrôle et de conformité et constataient des contradictions dans les documents du Privacy Shield.

De même, en 2018, les députés européens de la commission des libertés civiles demandaient la suspension du Privacy Shield. Ils dénonçaient notamment les pouvoirs insuffisants et l’absence d’indépendance du médiateur américain, en charge d’examiner les recours des citoyens européens.

Le Conseil national du numérique a également fait part de ses inquiétudes, à la fois parce que la sécurité nationale américaine pourrait porter atteinte à la vie privée des européens et parce que l’accord crée un déséquilibre économique évident, une « asymétrie critique ».

Et si cela n’était pas déjà suffisamment inquiétant, le président Trump a signé, en janvier 2017, un décret d’amélioration de la sécurité publique Enhancing Public Safety in the Interior of the United States qui prévoit que les politiques de protection des données personnelles d’agences comme la NSA et le FBI excluent des protections offertes par le bouclier, les non-citoyens américains et les non-résidents permanents autorisés.

L’avenir du bouclier est incertain. La CJUE examine actuellement une affaire dans laquelle les clauses contractuelles types pourraient être invalidées, en tant que mécanisme de transfert, ce qui pourrait affaiblir le Privacy Shield.

Que le Privacyshield soit un texte transitoire, qu’il soit périodiquement critiqué, ne change pas grand-chose et permet de continuer à faire du business en Europe et notamment en France même si la protection des données est loin d’être suffisante.

S’ajoute enfin le Cloud Act (Clarifying Lawful Overseas Use of Data Act, loi autorisant l’utilisation légale des données à l’étranger) du 23 mars 2018 qui autorise des autorités et services américains à accéder aux datacenters des entreprises américaines, y compris en dehors des Etats-Unis, même pour des petits délits.

Autrement dit, le droit américain, peu soucieux de se conformer aux règles du RGPD, permet à ses entreprises et à l’Etat de disposer des données de santé européennes et françaises lorsqu’elles en assurent l’hébergement.

Une politique française surprenante

Ce contexte est connu bien évidemment de tous et en premier lieu des pouvoirs publics.

Ainsi, ministre de l’Economie et des Finances, Bruno Lemaire fonde ses espoirs dans le partenariat OVH – 3DS Outscale (Dassault Systèmes), après un échec cuisant avec Cloudwatt! (Orange/Thales) et Numergy (SFR/Atos).

Le ministre rêve même d’une infrastructure de données sécurisée franco-allemande.

Il existe également une autre solution, mais réservée pour l’instant aux opérateurs d’importance vitale (OIV) et prévue par le Code de la défense.

Cette solution, c’est le référentiel « SecNumCloud » du 11 juin 2018 de l’Anssi (Agence nationale de la sécurité des systèmes d’information). Mais cela ne concerne que certains opérateurs. [2]

En outre, dans une note du 5 avril 2016, le gouvernement invite les collectivités territoriales à s’orienter uniquement vers une offre de Cloud souverain en argumentant que l’utilisation d’un Cloud non souverain est illégale pour toute institution produisant des archives publiques. Les données numériques des collectivités sont juridiquement des trésors nationaux en raison de leur intérêt historique et ne peuvent donc pas sortir du territoire douanier français.

De même, l’Etat aura son Cloud interne en 2020, géré par ses propres services, pour ses données les plus stratégiques.

En revanche, les données de santé échappent à toute considération de stratégie nationale à la différence des données issues des collectivités territoriales ou de l’Etat.

Sinon, comment comprendre cette « bienveillance » du futur Health Data Hub (HDH) à l’égard des GAFAM ?

Rappelons que le Health Data Hub (HDH) serait très tenté par Microsoft Azure, la plateforme applicative en nuage de Microsoft ! La confiance auprès de cette entreprise est d’ailleurs telle que le HDH recherche dans le cadre de sa préfiguration un directeur technique ayant une connaissance approfondie des offres IaaS ou PaaS du marché et plus particulièrement de Microsoft Azure….

Quel signal surprenant pour l’ensemble des acteurs de santé !

Il en est de même pour plusieurs GHT qui ont choisi comme hébergeur et pour leurs entrepôts de données de santé, des entreprises américaines sans s’inquiéter de la réalité de la protection des données !

Bientôt le partage des données de santé collectées par tous les centres de données cliniques sera une réalité grâce aux plateformes régionales ou interrégionales et au Health Data Hub, qui mettra en place les chaînages nécessaires au croisement de toutes ces données.

Il n’y aura plus qu’à se servir…

Sauf à ce que nous revendiquions un patriotisme européen sanitaire, dans la lignée du référentiel « SecNumCloud » !

C’est d’autant plus rageant que France est le seul pays à avoir réglementé un dispositif de cybersécurité (le SecNumCloud) pour des infrastructures jugées indispensables pour la survie de la Nation.

Les données de santé des établissements publics de santé, un trésor national ?

N’y aurait-il pas un moyen de protéger les données de santé malgré les choix hasardeux de certains ?

En effet, les données hospitalières, qu’elles soient administratives ou médicales, sont des archives publiques, régies par le Code du patrimoine.

Le sens commun considère, à tort, qu’un document acquiert le statut d’archive à partir d’une certaine ancienneté. Or un document est une archive au sens juridique dès sa conception.

Sa conservation est interdite en dehors du territoire national, conformément à l’article R212-23 2° du Code du patrimoine, puisque toutes les archives publiques sont assimilées à des trésors nationaux depuis 2015.

Ainsi, les données de santé produites par les structures publiques étant des archives dès leur conception, elles devraient être conservées et donc hébergées sur le territoire national.

Toutefois l’article L212-4 du Code du patrimoine crée un flou juridique pour les données de santé. Pour ces données, l’agrément du ministère de la culture semble s’effacer au profit de la certification HDS, sous réserve d’une déclaration préalable à l’administration des archives. Or si l’agrément du ministère de la culture exige une conservation des archives sur le territoire national, le référentiel de certification HDS ne l’exige pas.

La France dispose d’un gisement de données de santé très convoité et sous-utilisé. Nous devons avoir conscience qu’il s’agit d’un patrimoine, encore fragmenté, qui – grâce à notre système d’assurance maladie – répertorie l’ensemble de la population française et que le HDH va permettre enfin de tout chaîner.

Pourquoi les données de santé de 67 millions de personnes, dont l’accès est pourtant plus réglementé en raison du secret médical, pourraient sortir du territoire français ou européen alors que les autres données liées à une activité ou mission de service public seraient soumises à un régime de circulation plus contraignant ?

Rien évidemment ne le justifie et pourtant…

Ainsi, le projet de loi portant suppression des surtranspositions des directives européennes en droit français, adopté par le Sénat après engagement de la procédure accélérée le
7 novembre 2018, toujours en suspens à l’Assemblée nationale, prévoit non pas un cloud souverain pour les données de santé, mais au contraire de ne plus réserver ce périmètre national qu’aux seules archives publiques issues de la sélection en vue d’une conservation définitive.

Autrement dit, seules les archives définitives seraient des trésors nationaux, contrairement aux archives courantes et intermédiaires, ce qui représenterait au plus 10% des documents !

Il resterait une dernière solution entre les mains de l’ASIP Santé :

Il s’agirait d’inclure dans la procédure de certification HDS une condition obligeant un hébergeur étranger à respecter le RGPD. 

L’enjeu pour la France est de demeurer un pays souverain et le cyberespace est un outil de souveraineté.

Sachons protéger nos données !

Ne faisons pas rentrer le loup dans la bergerie !

Google dispose d’ores et déjà de l’accès aux données de santé de millions d’américains de plus de 150 hôpitaux et d’une cinquantaine de maisons de retraite.

Ayant commencé par héberger des données de santé de cliniques ou d’entreprises pharmaceutiques américaines, il a ensuite analysé des dossiers médicaux complets (comportant l’identité des patients), pour proposer des nouveaux outils aux professionnels de santé.

En France, ce type de comportement est ralenti par notre réglementation plus protectrice, mais il ne faut pas se leurrer, « un loup apprivoisé n’en fait pas un agneau ».

Cette même entreprise n’a-t-elle pas, après avoir décroché la certification française HDS, mis la main sur Fitbit, société américaine partenaire d’assureurs et qui commercialise des bracelets connectés contenant des données de bien-être…et de santé de millions de ressortissants européens !

« Où le loup trouve un agneau, il en cherche un nouveau »….

Croisons les doigts pour que le Health Data Hub ne soit pas le prochain agneau !

[1]En témoigne également la proposition de loi fédérale « Online Privacy Act » qui comprend des dispositions inspirées du RGPD et un projet de création d’une « CNIL » américaine.

[2]Ce référentiel favorise une territorialité nationale mais toute restriction supplémentaire de localisation doit se faire dans le respect des règles de la commande publique. Rares sont les hôpitaux reconnus OIV. Certains CHU, établis en zone de défense, sont OIV alors qu’un CHU situé non loin et de taille supérieure, peut ne pas l’être.

La France est le seul pays à avoir réglementé un tel dispositif de cybersécurité pour des infrastructures jugées indispensables pour la survie de la Nation. L’Allemagne a également mis en place un dispositif, mais moins opérationnel. Un projet de référentiel européen est en cours d’étude.