Health Data Hub - retrait de la demande CNIL
Partager l'article



Health Data Hub : Retrait de la demande d’autorisation auprès de la CNIL

 

Article rédigé le 30 janvier 2022 par Me Laurence Huin

Actualité majeure en ce début d’année pour la recherche en santé !! Pour ceux qui n’auraient pas suivi l’information : le groupement d’intérêt public Health Data Hub – le « HDH » – a retiré sa demande d’autorisation auprès de la CNIL pour héberger au sein de la plateforme :

  • la base principale de données de santé, qui n’est autre que le SNDS historique
  • le catalogue, c’est-à-dire toutes les nouvelles bases de données dont le HDH est responsable de traitement

Loin de s’arrêter là, le feuilleton a continué avec le refus de l’assurance Maladie de verser sa quote-part de 11,5 millions d’euros pour alimenter le budget 2022 du Health Data Hub. Raisons invoquées les doutes liés à ce retrait de demande d’autorisation.

Qu’implique donc réellement ce retrait dont l’ensemble des acteurs de la recherche en santé se sont fait l’écho ? Mise à l’arrêt du HDH ou simple réorientation ? On décrypte cela ensemble.

 

Pourquoi ce retrait ?

Ce retrait coïncide avec le délai de 18 mois sur lequel s’était engagé le Ministre de la Santé en novembre 2020 pour adopter une nouvelle solution technique du HDH. En effet, il est important de rappeler que le HDH a retenu Microsoft Azure comme solution d’hébergement et ce malgré les critiques de la CNIL et du conseil de la CNAM. A la suite de l’ordonnance du conseil d’Etat saisi en urgence pour suspendre la plateforme de données de santé hébergée chez Microsoft et dont notre cabinet s’était fait l’écho, Olivier Véran s’était engagé en novembre 2020 à changer de solution d’hébergement dans un délai entre 12 et 18 mois.

Novembre 2020 – Novembre 2021 – 12 mois – Janvier 2022 – 14 mois On a l’explication

 

Pour Combien de temps ?

Stéphanie Combes, directrice du HDH, avait indiqué dès le 7 janvier que ce retrait n’était que temporaire : “dans l’attente de la finalisation de l’instruction par la Cnil de l’arrêté définissant la composition de ces bases“.

Il convient de rappeler que le HDH a vu son champ réglementaire complété par un décret en juin 2021 qui fixe notamment les modalités de fonctionnement du SNDS. Ce décret de juin 2021 renvoyait à un arrêté du ministre chargé de la santé, devant être pris après avis de la CNIL. Or, l’arrêté est attendu depuis plusieurs mois et à ce jour aucune publication n’a eu lieu malgré les souhaits de l’ensemble des acteurs de la recherche en santé.

Nous apprenions tout juste en séance publique au Sénat le 19 janvier par la Ministre déléguée chargée de l’autonomie, Brigitte Bourguignon, que la CNIL avait commencé à instruire l’arrêté définissant la composition de ces bases de données.

L’issue semblait proche. C’était sans compter la déclaration du secrétaire d’Etat chargé de la transition numérique et des communications électroniques, Cédric O, qui, le lendemain le 20 janvier, annonçait que le choix de l’hébergement du HDH était repoussé « après la présidentielle ».

Il y a donc fort à parier que la demande d’autorisation ne sera pas redéposée auprès de la CNIL avant les présidentielles.

 

Quel est l’enjeu ?

Cette demande d’autorisation doit être obtenue par le HDH pour stocker les bases de données.

En effet, la centralisation de données au sein de la Plateforme technologique, constitue un entrepôt de données de santé et doit donc être soumise à autorisation préalable de la CNIL.

Sans cette autorisation, l’intégration des données du SDNS est à l’arrêt et leur accès ne peut se faire uniquement que par le guichet de la CNAM dont les acteurs de la recherche se plaignent des délais de plus en plus long (presque 8 mois à l’issue des autorisations de la CNIL sur les projets de recherche) et l’accès aux bases catalogues quant à lui reste limité pour les porteurs de projets.

 

Et maintenant on fait quoi ? On attend ?

Le cabinet Houdart ne peut que saluer cette décision de retrait qui vient mettre un terme à des atermoiements sans fin. Confier les données de santé de millions de français à une entreprise soumise à des lois extraterritoriales a constitué en effet une erreur stratégique et technique.

Mais attention il y a urgence à ne pas attendre pour la recherche en santé. Contrairement aux affirmations de Cédric O, il ne s’agit pas d’attendre une période de sérénité nécessaire pour aborder la question du transfert de l’hébergement du HDH. Cette pause doit être l’occasion de mettre en place rapidement la réversibilité et donner une nouvelle direction tant attendue au projet du HDH dont tout le monde s’accorde sur son utilité.

Au-delà des présidentielles, une nouvelle exigence de souveraineté numérique se confirme et qui ne peut être ignorée par les décideurs publics :

  • non seulement par le référentiel publié par la CNIL relatif aux entrepôts de données de santé
  • mais également par la toute récente proposition de loi relative à l’innovation en santé déposée au Sénat. Le texte prévoit en effet la création d’un nouvel article du code de la santé prévoyant que l’hébergement et la gestion des données du HDH seront assurés par un ou plusieurs opérateurs soumis non seulement à la certification Hébergeur de données de santé mais également – en reprenant les termes de la CNIL – relevant exclusivement de la juridiction de l’Union européenne.

Nous formulons ainsi le vœu en ce début d’année du choix (rapide) d’une solution de cloud européen pour le HDH ; prérequis indispensable pour assurer la sécurité des données et convaincre ainsi les producteurs de données de projets locaux et interrégionaux à partager leurs données.

Avocat depuis 2015, Laurence Huin a initialement exercé, au sein de cabinets parisiens, une activité de conseil auprès d’acteurs du numérique, que ce soit côté prestataires, que clients. Forte d’une solide formation en droit des TIC, Laurence Huin a développé une expertise juridique et technique en matière de projets numériques.

Elle a rejoint le Cabinet Houdart & Associés en septembre 2020 et est collaboratrice au sein du pôle Santé numérique.

Elle est ainsi régulièrement sollicitée auprès des acteurs du numérique pour les conseiller et les assister dans leurs problématiques contractuelles et pré-contentieuses et en particulier :
- Mise en conformité à la réglementation en matière de données personnelles (Autorisations devant la CNIL pour des finalités de recherche en santé, rédaction et négociations de DPA, de contrats responsables conjoints, mentions d’information, règlementation cookies, politiques de durées de conservation, PIA, registres des traitements…)
- Rédaction et négociation de contrats sur des projets informatiques (intégration, infogérance, maintenance, hébergement de données de santé, développements spécifiques, licence, cession, POC…)
- Sécurisation juridique de projets numériques (e-santé, télémédecine, développement d’applications mobiles, mise à dispositions de bases de données …)
- Régulation des contenus et e-reputation (mise en œuvre du droit à l’oubli et droit à l’image)