GAFAM : haro sur les données de santé

10/04/2021 - 6 min. de lecture

GAFAM : haro sur les données de santé - Cercle K2

Le Cercle K2 n'entend donner ni approbation ni improbation aux opinions émises dans les publications (écrites et vidéos) qui restent propres à leur auteur.

Olivier de Maison Rouge est Avocat et Docteur en droit.

---

À l’heure où la souveraineté, en particulier numérique, est dans toutes les bouches et sur toutes les lèvres - à défaut de se traduire toujours en actes - il conviendrait quelque peu, en cette période de crise sanitaire, de se soucier de nos données de santé, dorénavant la proie des big tech.

 

Le constat amer d’une santé publique "parent pauvre"...

Il est vrai que la santé publique est mise en défaut depuis plusieurs années déjà. Non pas que les professionnels de santé et, plus généralement, le corps médical ne puissent être directement mis en cause dans cette défaillance systémique.

Mais il faut néanmoins se rendre à l’évidence : la santé est un budget qui pèse très lourdement dans les comptes publics (avant le remboursement de la dette et le budget de l’éducation qui sont les principaux postes de dépenses publiques), d’une part, et que les politiques de réduction des coûts ont directement affecté la médecine, en général, et les hôpitaux, en particulier. Les soins ambulatoires ont été privilégiés aux séjours hospitaliers jugés trop dispendieux.

Ce faisant, cette consommation financière galopante – exponentielle également en raison de la croissance démographique française, sans évoquer les fraudes sociales récemment pointées à la CMU, fausses cartes vitales en circulation – a davantage été orientée vers la masse salariale (et plus largement dans les coûts de fonctionnement) que dans les investissements et le progrès de la science.

Cela a notamment été cruellement mis en lumière avec une recherche inefficiente dans les vaccins anti-Covid, d’une part, et les sous-équipements en matériels et blocs de réanimation, d’autre part.

Mais cela traduit aussi une grave indigence qui pourrait encore coûter davantage, notamment en matière d’e-santé si l’on n’y prend garde pour l’avenir.

 

… profitant aux big tech

L’offensive des GAFAM sur les données de santé montre que la health tech est l’industrie du futur sur lequel ces entreprises du big tech investissent massivement et prennent d’ores et déjà un ascendant certain dès à présent pour mieux prendre l’avantage décisif à court terme, comme elles l’ont fait dans d’autres secteurs auparavant.

Google a affirmé "vouloir tuer la mort en 2013. C’est pourquoi la régie publicitaire a développé le programme Nightingale en collaboration avec Ascension, un groupe médical américain qui gère plus de 2.600 établissements hospitaliers. Ledit projet porte sur les données médicales de 50 millions d’Américains. Google a besoin de ces données pour développer un logiciel d’intelligence artificielle performant. En effet, plus l’échelle est importante, plus la performance du logiciel est élevée. C’est l’une des règles du big data qui repose sur les "3V" pour Vitesse, Variété et Volume. C’est dire si les données de santé sont une ressource nécessaire pour le développement des nouveaux outils.

De leur côté, les équipes d’Apple ont contracté une dette morale après le décès de Steve Jobs. Aussi, l’entreprise développe-t-elle des applications très largement orientées dans la collecte et l’analyse des données de santé à portée prédictive[1]. Quant à Amazon, l’e-commerçant propose dorénavant des services de mutuelle santé en ligne aux États-Unis.

Le développement de nouvelles technologies, dont la période du Covid-19 a accru le besoin comme la dépendance, montre que l’acteur qui sera en capacité de brasser un maximum de données sera en mesure de délivrer les services les plus performants et, par conséquent, les mieux rémunérés.

 

Le cas du Health Data Hub (HDH) : révélateur d’une cécité en la matière

Le Health Data Hub (HDH) est la plateforme nationale française (comme son nom ne l’indique pas à première vue), en mode SaaS, de collecte et de centralisation des données de santé aux fins de recherche et d’analyse.

Cependant, depuis sa création, de nombreuses voix s’élèvent pour en dénoncer les risques. 

En effet, les données recueillies par le HDH sont stockées sur le cloud Azure de Microsoft. Ce choix ne fait pas l’unanimité, d’autant plus que Microsoft a été nommée via une dispense de marché public par un contrat en date du 15 avril 2020. Étonnamment, ce choix a été fait alors que seule Microsoft avait alors la qualité d’hébergeur de données de santé (HDS) certifié.

Compte tenu de cette ambiguïté apparente, un collectif a alerté les pouvoirs publics sur ce choix inopportun et saisi le Conseil d’État pour faire annuler le contrat confiant à Microsoft Ireland Ltd l’hébergement de ladite plateforme.

Dans son mémoire, la CNIL a précisé au Conseil d’État que les États-Unis - en raison de leur loi de sécurité nationale et de renseignement électronique (loi US 702 du Foreign Intelligence Surveillance Act – FISA – et Executive Order 12333) - n’offraient pas les garanties de protection requises et qu’en vertu du Cloud Act US de mars 2018, confier à Microsoft la conservation de données sensibles revenait à les exposer à l’ingérence des services de renseignement américains, d’une part, et violait la décision de la CJUE du fait de la suspension des transferts transatlantiques dernièrement prononcée sur le même fondement (arrêt Schrems II – annulation du Privacy Shield), d’autre part.

Par ordonnance du 13 octobre 2020, le Conseil d’État n’a toutefois pas renversé la table, évoquant toutefois des risques. Il a pris acte d’un avenant en date du 2 septembre 2020 aux termes duquel Microsoft s’engageait à ne pas traiter les données de santé hébergées hors d’Europe. 

En conséquence, le Conseil d'État a ainsi autorisé le Health Data Hub à continuer à travailler avec Microsoft, sous le contrôle un peu plus serré de la CNIL chargée de renforcer la protection des droits des personnes concernées sur leurs données personnelles, et sous réserve de la conclusion d’un nouvel avenant écartant clairement l’application des lois américaines. 

 

L’affaire Doctolib : une autre erreur d’appréciation

Dans cette autre affaire, initiée par le même collectif InterHop notamment, les autorités françaises avaient mandaté la société Doctolib pour la prise de rendez-vous de vaccination anti-Covid.

Or, cette plateforme en ligne est hébergée cette fois-ci par AWS, le cloud d’Amazon. Les causes produisant les mêmes effets, pour les mêmes raisons, les requérants allaient porter le fer dans la plaie une seconde fois.

Si ce n’est que – peut-être pour ne pas pour déjuger une fois encore l’exécutif, comme souvent en cette période crise sanitaire –, cette fois-ci, le Conseil d’État n’a pas cru devoir saisir la CNIL pour observation.

Jugeant en référé que Doctolib avait pris des garanties suffisantes (chiffrement des données, suppressions à échéance, recueil d’informations succinctes), la haute juridiction a, en outre, estimé de manière sibylline que ces données de prise de rendez-vous ne relevaient pas du caractère de données de santé.

Or, au regard du RGPD et selon la doctrine de la CNIL, les données à caractère personnel concernant la santé sont les données relatives à la santé physique ou mentale, passée, présente ou future, d’une personne physique (y compris la prestation de services de soins de santé) qui révèlent des informations sur l’état de santé de cette personne. (…) Cette définition permet d’englober certaines données de mesure à partir desquelles il est possible de déduire une information sur l’état de santé de la personne.

Ce faisant, la CNIL estime que l’information sur la prise en charge dans une structure de soins contenue dans un traitement constitue une donnée de santé dès lors qu’elle donne une indication sur l’état de santé (ex : admission dans un établissement ou service hospitalier spécialisé).

Ce qui semblait pourtant bien être le cas en l’espèce.

Sinon, pourquoi Doctolib aurait-elle mandaté une société ayant le statut d’hébergeur de données de santé (HDS) ?

Entre une prise de rendez-vous chez un podologue et un rendez-vous chez un cancérologue, cela donne tout de même une information de santé relativement substantielle qui intéressera une mutuelle comme une banque…

Prenons garde dès lors : Bismark et Beveridge ont été opposés au XIXème dans l’élaboration des politiques de prise en charge de soins de santé entre l’Allemagne, d’une part, et l’Angleterre, d’autre part. De nos jours, big health impose sa technique avec des visées sans doute un peu moins philanthropiques.

Il est loin le temps où la santé était un service gratuit, au service des plus faibles et des plus fragiles, assuré par des œuvres et congrégations caritatives, confessionnelles et/ou hospitalières précisément.

Olivier de Maison Rouge

---

[1] Encore que la prédiction est une continuation de la courbe d’analyse qu’une véritable projection prédictive. On a vu combien les courbes variaient à la lueur de la crise de la Covid-19.

10/04/2021

Dernières publications