Expertises des Systèmes d'information - Janvier 2020 - N°453 - Le mensuel du droit de l'informatique et du multimédia - 26

D

O

C

T

R

I

N

E

permet aux agences de renseignement américaines d'accéder aux
informations hébergées sur les
serveurs des fournisseurs de cloud,
y compris lorsque les infrastructures se situent en dehors des
Etats-Unis. Ainsi, en pratique,
les Etats-Unis sont susceptibles
d'obtenir des données de santé
d'un ressortissant français.
Alors que tout au contraire, le
RGPD s'applique en dehors du
territoire  européen (dès lors que le
responsable de traitement ou un de
ses sous-traitants ou la personne
concernée se situe sur le territoire
de l'Espace économique  européen
au moment de la collecte ou du
traitement des données, c'est-à-dire
sur le territoire des Etats membres
de l'Union  européenne, plus ceux
de la Norvège, du Liechtenstein et
de l'Islande).
Les deux philosophies sont donc
bien antagonistes, et juridiquement, ce clivage pourra donner lieu
à des « conflits de lois ».
Si le gouvernement s'est voulu
rassurant en précisant que la
donnée hébergée chez Microsoft
est chiffrée et que la « clef » n'est pas
détenue par Microsoft, cet argument
ne saurait convaincre pleinement
d'un système totalement sécurisé.
Néanmoins, Microsoft n'ayant pas
de concurrent agréé hébergeur
de données de santé, le choix s'est
imposé tel quel, et ce d'autant plus
qu'il a fallu le faire rapidement afin
que le gouvernement puisse rester
dans les délais auxquels il s'était
engagé...
Par ailleurs, les textes restent parfois
imprécis, l'imprécision étant un
facteur de brèches potentielles
dans l'arsenal règlementaire. En
effet, l'arrêté de création du HDH
énonce, concernant la mission de
mise à disposition des données de
santé : « Lorsque c'est pertinent au
regard de la demande des utilisateurs, elle peut élargir son périmètre
à certaines données contextuelles ».
Les termes semblent bien vagues
au regard du contexte de protection

26

de droits fondamentaux qui devrait
imposer une rigueur dépourvue de
toute ambiguïté.
De plus, si l'arrêté permet de larges
possibilités d'embauche assurant
un maximum de ressources
humaines dédiées à la Plateforme,
cela fait craindre une succession
possible d'agents non titulaires
sous contrat de courte durée qui
pourraient éventuellement ne plus
se sentir gardiens des données en
question en quittant le GIP.
Enfin, si les données de santé
sont anonymisées, il demeure
toujours un risque potentiel de
ré-identification d'une personne sur
la base du recoupement de données
anonymisées (par exemple si le
patient souffre d'une pathologie rare
et habite une petite commune). Un
tel recoupement pourrait permettre
à des banques ou à des assurances
de dresser des listes noires de
personnes «  à risque  » et de créer
ainsi une discrimination intolérable.
Tout cela risque de compromettre,
outre les droits des patients, leur
simple confiance humaine dans le
système de soins au moment même
où les patients devraient se sentir
dans une évolution positive de leur
système de santé grâce à l'essor des
nouvelles technologies. La presse
(à l'instar du « Financial Times ») a
souvent relaté, ces derniers mois, la
défiance des patients (partout dans
le monde) quant à l'effectivité de
la confidentialité de leurs données
personnelles.
Cette confiance est déjà largement
mise à l'épreuve au regard des Gafam
(Google, Amazon, Facebook, Apple,
Microsoft), banques et assurances,
qui sont obnubilés par les données
personnelles de chacun, y compris
les données de santé.
Notamment, les principaux sites
internet de santé outre-Manche
placent des cookies qui permettent
aux Gafam de récupérer des
données à des fins publicitaires.
Les Gafam ont d'ailleurs une
politique
commerciale
assez
offensive à ce niveau, comment
EXPERTISES Janvier 2020

en atteste l'acquisition récente par
Google des bracelets Fitbit ou son
partenariat avec le réseau de santé
à but non lucratif Ascension, gérant
près de 150 hôpitaux aux Etats-Unis,
et permettant à Google d'avoir accès
à des données de santé de millions
d'Américains.
Il ne faut pas se leurrer  : l'objectif des Gafam est bien, en toutes
hypothèses, de se constituer de
gigantesques jeux de données pour
connaître l'ensemble de nos usages,
soit dans un but certain de vente
directe de produits ou services, soit
dans un but probable de revente
des données, notamment aux
industriels de la santé.
Là encore, le gouvernement s'est
voulu rassurant, précisant que
si les Gafam demandaient une
mise à disposition de données, il
leur faudrait justifier d'un intérêt
public légitimant leur requête. Cet
argument n'est pas rassurant au
vu de ce que derrière un intérêt
public qu'il peut être facile d'avancer pourraient se cacher certaines
pratiques d'intérêt purement privé
et néfastes pour l'intérêt général....
Enfin, le risque de la cybercriminalité, et donc du «  piratage  » est
le risque le plus difficile à enrayer.
Car si l'on se doute que le HDH ne
devrait pas vendre lui-même les
données de santé à des assureurs
ou banquiers mal intentionnés, rien
ne peut garantir que les réseaux
criminels du «  dark web  » ne
viendront pas les piller...

Les garde-fou
Déjà, dans son rapport « Mission de
préfiguration » du Health Data Hub
remis le 12 octobre 2018 à Agnès
Buzyn, ministre des Solidarités
et de la Santé, des recommandations ont été émises par le
groupe de travail, notamment
sur les aspects organisationnels
et réglementaires pour que la
Plateforme puisse se dérouler
dans un contexte favorable. Ceci
atteste bien de ce que l'esprit de
départ est bien - comme dans tout
Expertises des Systèmes d'information - Janvier 2020 - N°453 - Le mensuel du droit de l'informatique et du multimédia

Table des matières de la publication Expertises des Systèmes d'information - Janvier 2020 - N°453 - Le mensuel du droit de l'informatique et du multimédia
