Données de santé : le Conseil d’Etat recadre le Health Data Hub

Et une deuxième victoire devant le Conseil d'Etat ! Après le retrait ultra-rapide le 5 mai dernier de la rubrique Désinfox du site gouvernement.fr, devant la dénonciation de la profession et le référé-liberté introduit par le seul SNJ, grâce à maitres William Bourdon et Vincent Brengarth devant le Conseil d’Etat, ce dernier nous donne encore raison dans une décision de ce 19 juin contre la plateforme de données de santé Health Data Hub, et la possibilité de collecte et de traitement massifs de ces données au bénéfice de sociétés étrangères.

Cette fois-ci le SNJ n’était pas seul dans ce référé-liberté, plaidé le 11 juin dernier mais avec plusieurs autres organisations de professionnels et d’usagers. Vous trouverez, ci-joint le communiqué commun et les premiers commentaires de nos avocats maitres Jean-Baptiste Soufron et Juliette Alibert : « Comme vous l'avez peut-être vu sur Twitter, nous avons obtenu une belle victoire au Conseil d'Etat, celui-ci enjoignant notamment au HDH de retourner devant la CNIL sous 5 jours, mais surtout d'indiquer clairement sur son site que les données peuvent être transférer hors-UE - ce qui est une catastrophe politique pour eux. A défaut, il faut donc considérer que le site est illégal à ce jour ».
 

Communiqué
Le Conseil d’État ordonne au Health Data Hub de retourner sous 5 jours devant la CNIL pour se mettre en conformité, et d’informer les usagers que leurs données peuvent être transférées

Suite au dépôt d’un référé liberté par un collectif inédit d’organisations et associations issues du logiciel libre, du secteur médical et de la santé, de syndicats d’ingénieurs et techniciens et de journalistes, le juge des référés du Conseil d’Etat a rendu une décision particulièrement lourde concernant le Health Data Hub.

Pour rappel, le 28 mai dernier, les requérants avaient saisi en urgence le Conseil d’État afin de dénoncer la collecte et le traitement massifs des données de santé au sein du Health Data Hub.

Mis en place en urgence au nom de la crise du covid19, en l’absence de garanties suffisantes et en dépit d’un avis CNIL sévère, ils dénonçaient une atteinte grave au droit au respect de la vie privée et à la protection des données, renforcée par le risque de transfert de ces données sensibles sur le sol américain à travers l’entreprise choisie pour assurer la plateforme technique : la société Microsoft.

Ce vendredi 19 juin, à l’issue d’une instruction particulièrement poussée, d’une audience de plus de 3 heures, et alors que plusieurs des conventions en cause n’ont été régularisées en catastrophe qu’après l’audience, le Conseil d’État a finalement ordonné à la plateforme des Données de Santé / Health Data Hub de se mettre en conformité.

Plus particulièrement, le Conseil d’État ordonne au Health Data Hub de retourner sous cinq jours devant la CNIL pour lui communiquer les éléments relatifs à la pseudonymisation afin que celle-ci puisse se prononcer sur ce point. Egalement, le Conseil d’Etat impose au Health Data Hub de prévenir les citoyens de la possibilité que les données de santé qu’il héberge soient transférées vers des pays étrangers dont les Etats-Unis.

Par ailleurs, le juge précise, contrairement à ce qu’avait annoncé la responsable du projet lors de l’audience, que les données en lien avec l’épidémie de Covid19 devront être détruites à l’issue de l’état d’urgence sanitaire et qu’elles ne pourront en aucun cas être simplement « archivées ».

Concernant les risques liés au Cloud Act, le Conseil d’État rappelle qu’un litige est en cours devant la Cour de Justice de l’Union Européenne et qu’il convient d’en attendre le résultat.

Enfin, le Conseil d’Etat pointe une importante faille juridique en indiquant que le Health Data Hub ne relève pas du régime des « Hébergeur de données de santé ». Concrètement, pour peu qu’il ne s’agisse pas d’un usage médical des données, il est aujourd’hui possible de laisser un « entrepôt de données », recueillir des données couvertes par le secret médical sans que cet entrepôt dispose des certifications obligatoires pour les hébergeurs de santé. Etant donné l’importance de ce point, et alors que les données sont potentiellement traitées hors de l’Union Européenne, il est envisageable qu’une QPC soit rapidement déposée afin de clarifier cette question.

Cette décision de 16 pages particulièrement motivée, est un signal fort envoyé contre le projet Health Data Hub. Elles révèlent que par-delà un discours consistant à s’alarmer au nom d’une crise sanitaire pour forcer le cadre légal, les garanties attendues en termes de protection des données de santé ne peuvent être bafouées. Elles laissent entrevoir pour les requérants, plusieurs actions potentielles qu’il s’agisse de se pourvoir directement devant la Cour de Justice de l’Union Européenne ou de déposer une potentielle QPC.

Le collectif SanteNathon,
Collectif Interhop,
Représentante des usagers du Conseil de surveillance de l'APHP,
le Syndicat National des Jeunes Médecins Généralistes,
le Syndicat National des Journalistes,
le Syndicat de la Médecine Générale,
l’Union Française pour une Médecine Libre,
Bernard Fallery, Professeur émérite en systèmes d’information, Université de Montpellier,
Monsieur Didier Sicard, médecin et professeur de médecine à l’Université Paris Descartes,
l’Union Générale des Ingénieurs, Cadres et Techniciens CGT,
l’Union Fédérale Médecins, Ingénieurs, Cadres, Techniciens CGT Santé et Action Sociale,
l’Observatoire de la Transparence dans les Politiques de Médicament.