Dans une décision publiée hier 31 janvier au Journal officiel, la Cnil autorise la création d’un entrepôt de données de santé hébergé sur le cloud de Microsoft pour 3 ans, tout en formulant ses inquiétudes.
La Cnil avait été saisie par le groupement d’intérêt public « Plateforme des données de santé » (GIP PDS) qui lui demandait d’autoriser un traitement automatisé de données à caractère personnel dans le but de constituer un entrepôt de données de santé dénommé « EMC2 ». Cet entrepôt vise à permettre la réalisation de recherches, d’études et d’évaluations. Il s’agira notamment d’évaluer la prise en charge des patients, ainsi que l’utilisation et/ou les pratiques, l’efficacité et la sécurité en vie réelle des produits de santé, en particulier les médicaments et les dispositifs médicaux inscrits au remboursement. EMC2 contiendra des données d’hôpitaux partenaires et de la base principale du SNDS (système national des données de santé), ainsi que les données de professionnels de santé (spécialité, mode d’exercice, sexe, âge et département d’implantation). Toutes seront pseudonymisées. « Le GIP PDS n’aura accès ni aux données directement identifiantes de personnes ni aux documents bruts produits à l’occasion de leur prise en charge sanitaire. Les opérations de pseudonymisation et de structuration des données seront mises en œuvre par les établissements partenaires avant la transmission des données », précise la décision de la Cnil.
Aucun prestataire européen à la hauteur
Pour l’hébergeur, la Cnil n’a eu d’autre choix que de valider le choix du GIP : il s’agira de Microsoft, qui conservera les données de l’entrepôt dans ses centres situés en France. Il est cependant possible que « des données techniques d’usage de la plateforme (qui ne révèlent aucune information de santé) soient transférées vers des administrateurs situés aux États-Unis. Ces transferts de données vers les États-Unis sont encadrés par les clauses contractuelles types de la Commission européenne. Les personnes devront être spécifiquement informées de ces transferts », précise la Cnil, qui se montre inquiète : « Les données stockées par un hébergeur soumis à un droit extra-européen peuvent être exposées à un risque de communication à des puissances étrangères. Pour les entrepôts de données de santé appariées avec le SNDS, et malgré le fait que ces données soient pseudonymisées, la Cnil a toujours demandé aux porteurs de projet, publics et privés, de s’assurer que l’hébergeur des données n’est pas soumis à une législation extra-européenne. » Cependant, aucun prestataire européen ne peut proposer d’offres d’hébergement répondant aux exigences techniques et fonctionnelles du GIP PDS dans les délais imposés, ce que la Cnil « déplore ». De manière générale, elle regrette que la stratégie mise en place pour favoriser l’accès des chercheurs aux données de santé n’ait pas stimulé une offre européenne pouvant répondre aux besoins. Elle pointe aussi du doigt le choix du GIP PDS de recourir au cloud, car il « a conduit à privilégier des offres d’acteurs étasuniens dont il apparaît désormais difficile de se détacher à court terme malgré l’émergence progressive de fournisseurs souverains. Le projet EMC2 aurait pu être retenu par le GIP PDS pour préfigurer la solution souveraine vers laquelle il doit migrer ». Dans ces conditions, elle autorise la constitution de l’entrepôt EMC2 pour une durée de 3 ans, ce qui correspond à la réalisation du projet de migration de la plateforme de la PDS qui a été confirmé par le gouvernement.
