La Cnil donne son feu vert à un projet du Health Data Hub



Le projet Hydro porté par la société Implicity, un des dix lauréats de l'appel à projets du Health data hub, a obtenu l’autorisation de la Commission nationale de l'informatique et des libertés (Cnil). Ce projet, le premier à avoir recueilli cette approbation, « vise à développer une solution permettant de "prédire les crises d'insuffisance cardiaque nécessitant une hospitalisation pour les patients porteurs de prothèses rythmiques implantables grâce à l'analyse par intelligence artificielle des données cliniques et de télésuivi" ». L'autorisation de la Cnil « annonce le début effectif du projet », déclare le Dr Arnaud Rosier, rythmologue et président-directeur général d'Implicity.

 

Afin d’obtenir cette autorisation, Implicity indique avoir mis en place «  un dispositif renforcé pour garantir la protection de la vie privée des patients ainsi que la confidentialité et l'intégrité des données ». La société aura accès « "aux données nécessaires au projet" mises à disposition par le GIP "dans un espace sécurisé" » et les données « ne seront traitées que pour mener des travaux de recherche et développement "afin de renforcer les capacités de ses modules d'intelligence artificielle" ».

 

Depuis 2016, Implicity dispose d’une « plateforme universelle de télésuivi de ces prothèses rythmiques implantables auprès de quarante-cinq centres en France et à l'international ». « Concrètement, le Health data hub permettra le croisement des données de ces dispositifs cardiaques implantables sur plus de 20 000 patients en soin courant avec celles du système national des données de santé (SNDS). » Le but : « entraîner des modèles prédictifs "sans avoir à labelliser manuellement les épisodes d'intérêt", comme les aggravations des crises d'insuffisance cardiaque des patients concernés. »

 

Peu après cette autorisation délivrée fin mai, la Cnil a noté, « dans une publication consacrée à la plateforme mise en ligne le 11 juin », que « "des données [du Health Data Hub] pourront être transférées hors de l’Union européenne dans le cadre du fonctionnement courant de la solution technique, notamment pour gérer et assurer le bon fonctionnement du système informatique" » et elle s’inquiète.

 

Dans un avis du 20 avril, la Cnil avait relevé « que les contrats qui lui ont été fournis ne prévoient eux-mêmes ni la localisation des données ni l’ensemble des garanties relatives aux modalités d’accès aux données par les administrateurs de l’hébergeur [Microsoft] ». Et qu’en outre « le contrat mentionne l’existence de transferts de données en dehors de l’Union européenne dans le cadre du fonctionnement courant de la plateforme, notamment pour les opérations de maintenance ou de résolution d’incident », « les données traitées pouvant être transférées vers les Etats-Unis pour y être stockées et traitées, ainsi que dans tout autre pays dans lequel le sous-traitant ou ses sous-traitants ultérieurs sont implantés ».

 

Rappelant les « "inquiétudes soulevées à plusieurs reprises" par le Comité européen de la protection des données (CEPD) concernant l’accès par les autorités américaines aux données transférées aux Etats-Unis, "plus particulièrement la collecte et l'accès aux données personnelles à des fins de sécurité nationale" en vertu de plusieurs lois américaines », la commission déclare, dans sa publication du 11 juin, souhaiter « eu égard à la sensibilité des données en cause », que l’hébergement et les services liés à la gestion de la plateforme « puissent être réservés à des entités relevant exclusivement des juridictions de l’Union européenne ».

 

Par ailleurs, la Cnil précise qu’« une décision de la Cour de justice de l'Union européenne (CJUE) relative aux transferts des données hors de l'UE est attendue "dans les mois qui viennent" ».

 

 

Pour aller plus loin :

Rapport de la CNIL : des plaintes toujours plus nombreuses dans le domaine de la santé

COVID-19 : Le Health data hub en charge du traitement des données « nécessaires »

Quelle protection des données en temps de pandémie ?

La protection des données de santé priorité numéro un de la CNIL pour 2020

La Certification d’hébergeur de données de santé en France accordée à des sociétés privées : les professionnels de la santé s’inquiètent


Sources: 

Hospimedia, Géraldine Tribault (15/06/2020) – Tic Pharma, Léo Caravagna (16/06/2020)