Nos données de santé sont précieuses. Elles racontent nos parcours, nos maladies, nos traitements. Elles peuvent sauver des vies, améliorer les soins, faire progresser la recherche. Mais entre de mauvaises mains, elles peuvent aussi devenir une source de profits, d’exclusions ou d’atteintes à notre vie privée. Aujourd’hui, les associations de patients tirent la sonnette d’alarme. Eclairage sur un contexte qui pourrait mettre en péril notre souveraineté et entamer la confiance des citoyens.
La situation politique actuelle aux Etats-Unis nous laisse craindre une éventuelle instabilité dans les règles de protection des données qui sont confiées aux prestataires américains, renforçant l’urgence de constituer une véritable souveraineté numérique européenne. Une préoccupation dont s’est emparé le législateur avec la loi du 21 mai 2024 visant à sécuriser et à réguler l’espace numérique. Cette dernière s’appliquera prochainement à la Plateforme nationale de Données de Santé, le Health Data Hub, pour imposer le recours à des prestataires conformes au référentiel SecNumCloud de l’Agence nationale de la sécurité des systèmes d’information (ANSSI).
Plus que jamais une stratégie interministérielle est nécessaire, avec un pilotage fort et franc, pour réussir cette transition, avec des acteurs souverains présentant enfin des capacités d’hébergement à même de répondre à nos besoins les plus sensibles. A l’aube de l’espace européen des données de santé, France Assos Santé appelle à passer à la vitesse supérieure pour ce qui est du développement du Health Data Hub. Foin des polémiques et inquiétudes, nous voulons faire rimer l’utilisation efficiente des données avec les valeurs de notre système de santé. Un enjeu sur lequel convergent de nombreux acteurs de la société civile, comme en témoignent le récent avis du Conseil Économique Social et Environnemental ou encore l’avis du Comité Citoyen de la Délégation ministérielle du Numérique en Santé.
L’actualité récente a mis en lumière les tensions entre le bénéfice d’utiliser les données pour l’intérêt public et les craintes qui subsistent sur le bon niveau de protection à accorder à ses données. Un enjeu vivace alors que, conformément au projet européen de recherche DARWIN, mené par l’Agence Européenne du Médicament, dix millions de données d’assurés français s’apprêtent à être hébergées sur Microsoft Azure, le géant américain du cloud. Même pseudonymisées avant leur transfert, la loi américaine expose potentiellement ces données à des accès illégitimes par les autorités.
C’est ce que rappelle la CNIL dans son récent avis qui autorise tout de même le projet, en prenant en compte à la fois son utilité d’intérêt public et les risques jugés acceptables par le Conseil d’Etat. Mais la Commission nationale de l’informatique et des libertés recommande également de recourir dès que possible à un prestataire exclusivement soumis au droit de l’Union européenne pour ce type d’usages, afin de préserver la confiance des usagers dans le devenir de leurs données. Un avis que nous comprenons et partageons.
Si les données pseudonymisées dont il est question sont déjà protégées par la perte de l’identité des personnes, il faut rappeler que de nombreuses données identifiantes peuvent être concernées. Et ce n’est pas l’exemple de la faillite récente d’une entreprise américaine de tests génétiques récréatifs qui est à même de nous rassurer : le risque de revente des données personnelles récoltées par cette entreprise ne pouvant être exclu. Bien qu’interdits en France, de nombreuses personnes ont eu recours à ces tests.
C’est pourquoi la CNIL tire la sonnette d’alarme et propose un tutoriel pour essayer de faire valoir vos droits sur vos données personnelles afin de les effacer. Sans oublier que les sociétés américaines d’hébergement des données sont utilisées par de très nombreuses plateformes (prise de rendez-vous en ligne, stockage de dossiers médicaux nominatifs, etc.), dont les contrats de protection pourraient à terme être affaiblis par les politiques à venir outre-Atlantique.
Pour éviter la perte de contrôle sur nos données, une véritable éducation au numérique doit accompagner le déploiement des exigences structurelles que nous réclamons pour mieux protéger nos données et leur confidentialité, et respecter les choix de chacun sur leur partage.
France Assos Santé appelle à une accélération pour parvenir au plus vite à une véritable souveraineté numérique. La santé n’est pas un marché comme les autres : nos données ne sont pas à vendre. Pour toutes ces raisons, nous réclamons des garanties claires, une transparence totale ainsi qu’une gouvernance fondée sur l’intérêt des patients, pas sur celui des géants du numérique.
Laisser un commentaire public