La Société IBM a annoncé avoir obtenu la certification HDS[1] « pour héberger des données de santé dans un environnement sécurisé ». Cette certification doit garantir que les datacenters sur lesquels les données sont hébergées « respectent la confidentialité, l’intégrité et le disponibilité des données des clients ».
Un collectif initié par des professionnels de la santé et de l’informatique médicale s’inquiète, dans une tribune du journal le Monde, de « ce choix du privé ».
« Les données concernées sont celles des centres hospitaliers, des pharmacies, du dossier médical partagé et les données de recherche issues de divers registres », rappellent-ils. Le Health Data Hub (HDH) dont le déploiement est proposé par le gouvernement français « vise à devenir un guichet unique d’accès à l’ensemble des données de santé ». Et « il est prévu que ces données soient stockées chez Microsoft Azure, cloud public du géant américain Microsoft », ce qui est source de leur inquiétude. Ils expliquent : « Les Gafam (Google, Apple, Facebook, Amazon et Microsoft), les start-up et même les assureurs pourraient accéder aux données de santé et au pouvoir financier qu’elles représentent, si ces entreprises démontrent que leurs projets de recherche peuvent avoir un usage pour « l’intérêt public » », ce qui reste un « concept relativement flou » d’après eux.
Les signataires jugent également qu’il existe un risque de « captivité numérique, avec notamment les contrats passés entre Microsoft et les hôpitaux », puisque Microsoft est utilisé via des licences payantes. De plus, le Cloud Act adopté en 2018 par le gouvernement américain « permet à la justice américaine d’avoir accès aux données stockées dans des pays tiers », ce qui pourrait conduire à « une rupture du secret médical », « un danger aussi personnel que symbolique », jugent-ils, « l’intégrité du serment d’Hippocrate étant remise en cause ».
Enfin le modèle centralisé adopté pour le HDH est plus fragile au risque de piratage informatique. Et « bien que les données hébergées par le HDH soient désidentifiées, l’anonymat complet est impossible, car il suffit de croiser un nombre limité de données pour réidentifier un patient ». De plus, la SNDS[2], intégrée dans le HDH, « a été critiquée par la CNIL pour l’obsolescence de son algorithme de chiffrement » rappellent-ils.
Affirmant toutefois « l’intérêt de la recherche sur données et du développement des outils statistiques en médecine », ils préconisent l’emploi « d’alternatives qui protègent la vie privée et le secret médical, en garantissant l’indépendance et le contrôle collectif des infrastructures ».
Complément du 28/05/2024 : La révision du référentiel de certification « Hébergeur de données de santé » (HDS) a été publiée au Journal officiel le 16 mai 2024. Désormais il est obligatoire que les données soient physiquement localisées dans l’Espace économique européen qui regroupe les 27 Etats membres de l’UE, la Norvège, l’Islande et le Liechtenstein.
Pour aller plus loin :
- Le CCNE lance son « Comité pilote d’éthique du numérique »
- Création de la plateforme Health Data Hub : un accueil réservé
- La ministre de la santé lance la France dans la course aux données de santé
[1] Hébergeur de données de santé.
[2] Base de données médico-administrative du Système national des données de santé.
Sources : Le Monde (10/12/2019) ; Capital (09/12/2019) ; L’Usine digitale, Alice Vitard (27/05/2024)
