Un entrepôt de données de santé peut-il être hébergé par Microsoft ?

  Par Alice Robert et Alexandre Fievee, Derriennic Associés

Rappel du cadre légal des entrepôts de données de santé 

Pour mémoire, la CNIL a publié un référentiel relatif « aux traitements de données à caractère personnel mis en œuvre à des fins de création d’entrepôts de données de santé dans le domaine de la santé » (le « Référentiel »). Ce Référentiel concerne uniquement les entrepôts de données de santé « nécessaire à l’exécution d’une mission d’intérêt public ou relevant de l’exercice de l’autorité publique dont est investi le responsable de traitement ».

Ainsi, un organisme, responsable de traitement, souhaitant mettre en œuvre un entrepôt de données de santé ayant une telle finalité d’intérêt public doit, par principe, s’assurer de la conformité de son projet au Référentiel. 

Dans le cas où l’organisme considère que son projet est en stricte conformité avec le Référentiel, il peut alors se contenter d’une déclaration de conformité auprès de la CNIL (Cas n°1). Dans l’hypothèse où il y aurait des écarts avec les exigences prévues au Référentiel, l’organisme doit saisir la CNIL d’une demande d’autorisation spécifique préalable (Cas n°2).

La demande d’autorisation du Health Data Hub pour « EMC2 »

Le Health Data Hub s’est trouvé dans le Cas n°2 concernant son projet d’entrepôt de données de santé « EMC2 ». Il a donc saisi la CNIL d’une demande d’autorisation.

Pour information, le projet « EMC2 », qui s’inscrit dans le cadre d’une convention de services liant le Health Data Hub à l’Agence européenne des médicaments (EMA), a pour objet la création d’une base de données afin de réaliser des études en pharmaco-épidémiologie. 

Le projet « EMC2 » a, plus précisément, notamment pour objectif d’« observer et évaluer la prise en charge des patients (…) », d’« évaluer l’utilisation et/ou les pratiques, l’efficacité et la sécurité en vie réelle des produits de santé, en particulier les médicaments et les dispositifs médicaux inscrits au remboursement ou en accès précoce (…) ». 

A noter que « la constitution de l’entrepôt nécessite un appariement entre les données de la base principale du système national des données de santé (SNDS) et les dossiers médicaux fournis par les établissements de santé partenaires ».

La position de la CNIL 

Dans le cadre de l’analyse du projet « EMC2 », la CNIL s’est notamment penchée sur la question du recours à la société Microsoft Ireland Operations Ltd en tant qu’hébergeur des données.

En premier lieu, la CNIL a relevé que :

- les données seront conservées dans des centres de données localisés en France ;

- seules les « données techniques d’usage de la plateforme (qui ne révèlent aucune information de santé) », feront, pour des raisons d’administration de ladite plateforme, l’objet de transferts aux Etats-Unis (transferts encadrés par les Clauses Contractuelles Types de la Commission européenne et nécessitant une information spécifique des personnes concernées).

Ensuite, la CNIL a estimé qu’il existe tout de même un risque d’accès aux données par les autorités américaines puisque la maison mère de la société Microsoft Ireland Ltd est située aux Etats-Unis (et donc soumise au droit de cet Etat). Un tel risque demeure, pour la CNIL, en dépit de la décision d’adéquation du 10 juillet 2023 (le « Data Privacy Framework ») reconnaissant que le cadre de transferts des données « Etats-Unis/UE » assure un niveau de protection adéquat.  

« Si ce risque est le plus souvent acceptable, notamment s’agissant des pays adéquats », la CNIL recommande « pour les bases de données les plus sensibles » de faire appel à un hébergeur exclusivement soumis droit européen et certifié « SecNumCloud ». « En particulier, pour les entrepôts de données de santé appariées avec le SNDS, et malgré le fait que ces données soient pseudonymisées, la CNIL a toujours demandé aux porteurs de projet, publics et privés, de s’assurer que l’hébergeur des données n’est pas soumis à une législation extra-européenne ». Pour la CNIL, « cette politique apparaît en cohérence avec (…) la circulaire de la Première ministre du 31 mai 2023 (…) qui demande, sans sa règle n°9, aux autorités publiques de s’assurer que les données "d’une sensibilité particulière" hébergées dans le cloud ne soient pas soumises à des lois extra-européennes ». Ainsi, le choix du Health Data Hub, « chargé par la loi de recueillir les bases de données de santé les plus importants du pays », « apparaît en très nette contradiction avec [ces] éléments ».

Pour répondre aux interrogations de la CNIL, les pouvoirs publics ont fait réaliser une expertise, pilotée par la délégation numérique en santé (DNS), la direction interministérielle du numérique (DINUM) et l’Agence Numérique en santé, « aux fins de déterminer si le projet EMC2 pouvait, sans compromettre le projet vis-à-vis des conditions fixées par [l’Agence européenne du médicament], être mis en œuvre via un prestataire soumis uniquement aux lois de l’Union européenne ». Le rapport d’expertise a conclu à l’absence d’offres d’hébergement répondant à de telles conditions dans les délais requis.

Après avoir (i) « déplor[é] qu’aucun prestataire susceptible de répondre actuellement aux besoins exprimés par le [Health Data Hub] ne protège les données contre l’application de lois extraterritoriales de pays tiers » et (ii) considéré que « le projet EMC2 aurait pu être retenu par le [Health Data Hub] pour préfigurer la solution souveraine vers laquelle il doit migrer », la CNIL a tout de même autorisé l’entrepôt de données de santé « EMC2 » pour une durée de 3 ans (durée de la migration de la plateforme). A cet égard, la CNIL a souligné « qu’il est nécessaire que les engagements pris vis-à-vis de [l’Agence européenne du médicament] puissent être honorés ».

En conséquence, la CNIL a validé l’hébergement de l’entrepôt de données de santé « EMC2 » par Microsoft.

Cette décision ouvre-t-elle alors la possibilité à certains entrepôts de données de santé d’être hébergés par Microsoft ou d’autres hébergeurs américains ?

Les débats associés à la décision de la CNIL 

Cette décision de la CNIL a suscité et suscite encore de vifs débats. Il en ressort notamment la difficulté de concilier, d’une part, la récente décision d’adéquation de la Commission européenne qui constate que les Etats-Unis ont un niveau de protection de données personnelles équivalent à celui de l’Union européenne et, d’autre part, les exigences nationales en matière de souveraineté. Aussi, la position de la CNIL est critiquée (i) en ce qu’elle révèle une « contradiction » du projet « EMC2 » à ces exigences de souveraineté, sans pour autant conclure à une « invalidité » de ce projet, (ii) et ce, alors que d’autres projets d’entrepôts de données de santé similaires au projet « EMC2 » hébergés sur Microsoft Azure ont été refusés par la CNIL.

Il appartient désormais au Conseil d’Etat de trancher cette épineuse question. L’Internet Society France a effectivement annoncé avoir déposé un recours en annulation de la délibération de la CNIL.

A suivre…