Qui veut noyer son chien l’accuse de la rage. Ainsi peut être résumée la décision de la #CNIL du 21 décembre 2023, publiée il y a quelques jours, et qui fait beaucoup parler d’elle.

Dans cette décision, la CNIL autorise le GIP Plateforme des Données de Santé, plus connu sous sa dénomination en Anglais « Health Data Hub » (HDH), à héberger des données de santé sur le service #cloud de #Microsoft Ireland Opérations Ltd.

● De quelles données de santé parle-t-on ?

Il s’agit de données pseudonymisées issues :

– des dossiers médicaux des patients ayant été hospitalisés en médecine, chirurgie ou obstétrique depuis 2022 dans 4 hôpitaux partenaires du HDH.
– du Système National des Données de Santé et notamment de l’Assurance Maladie.

● Pourquoi Microsoft pose problème ?

Filiale irlandaise d’une société américaine, le CNIL rappelle que « les autorités états-uniennes sont susceptibles d’adresser à Microsoft des injonctions de communication des données qu’il héberge ». C’est presqu’un lieu commun que de le rappeler.

Fort de ce constat, la CNIL rappelle également sa doctrine qui veut que « pour les bases de données les plus sensibles » il est préconisé « de recourir à un prestataire exclusivement soumis au droit européen ». Cette préconisation avait toujours été respectée dans le cadre d’entrepôts de données de santé.

● Pourquoi la CNIL change de doctrine ?

Selon un avis technique rendu par un comité d’expert, « aucun prestataire potentiel ne propose d’offres d’hébergement répondant aux exigences techniques et fonctionnelles du GIP PDS pour la mise en œuvre du projet ».

Et la CNIL de conclure, à contre coeur : « pour autant (…) il est nécessaire que les engagements pris vis-à-vis de l’EMA puissent être honorés. Dans ces conditions, elle autorise la constitution de l’entrepôt ».

● Quels sont les « engagements vis-à-vis de l’EMA » (European Medicines Agency) en question ?

Il faut s’armer de patience pour trouver sur internet que, à la suite d’un appel d’offres lancé par l’Agence Européenne du Médicament (EMA) intitulé « Real World Data Subscription – Hospital Database from any EU/EEA Country », le HDH a été attributaire en décembre 2021 d’un marché portant sur le lot 3 ainsi résumé « Access to and use of a hospital database from any EU/EEA country; the database should provide data from hospital electronic health care records or hospital drug utilisation or prescription records available at the individual-patient level; to be of a sufficient sample size, the database should cover several hospitals or an established network of hospitals ».

En creusant encore, on peut encore trouver (i) les spécifications techniques du marché et (ii) le projet de contrat de service conclu entre l’EMA et l’HDH.

Rien dans ces documents qui ne puisse faire la lumière sur la nécessité qu’il y aurait à conclure avec un groupe américain pour remplir les objectifs du marché. Au contraire, les documents du marché rappellent « Processing of personal data in connection with this service must comply with Union data protection legislation, in particular, Regulation (EU) 2016/679 (General Data Protection Regulation) ».

Si, comme le disent les experts, « aucun prestataire potentiel ne propose d’offres d’hébergement répondant aux exigences techniques et fonctionnelles du GIP PDS pour la mise en œuvre du projet », les exigences du HDH étaient-elles nécessaires pour répondre au marché conclu avec l’EMA ?

● Ce que l’on peut conclure

La décision de la CNIL est surprenante à plusieurs titres.

Politique : il y a peu de chances que la France et l’Europe rattrapent leur retard technologique s’il suffit de se dire que l’Amérique peut pourvoir à tout, tout le temps, tout de suite et au juste prix.

Technique : sans aucune prétention de compétence en la matière, on reste dubitatif devant l’affirmation selon laquelle il ne saurait y avoir en France ou en Europe aucune entreprise pouvant répondre aux besoins fonctionnels et techniques résultant du lot 3 de l’appel d’offres de l’EMA.

Juridique : et c’est dans ce domaine qu’on s’autorise à avoir un avis. L’incapacité (déclarée) de ne pouvoir faire autrement pour respecter ses engagements et l’impossibilité (affirmée) à trouver une solution technique européenne est la justification imparable au non respect du droit. Le RGPD doit ici se soumettre à un étonnant principe de réalité (voire de pseudo-réalité).

Espérons que le CNIL saura être aussi conciliante quand ce sera une société privée qui s’en prévaudra…