Citizen Can

Français

HEALTH DATA HUB : Qui a entendu parler de la RGPD ?

HDH-et-RGPD

 

Qui n'a pas en ce moment entendu parler du Health Data Hub (HDH), cette méga base de données médicales lancée en 2019 par le gouvernement français ! Dernier rebondissement en date du 9 juin : une procédure vient d'être initiée devant le conseil d'état par une quinzaine d'entreprises et organismes pour en bloquer le déploiement par Microsoft, déploiement que l'état français venait justement d'accélérer au nom de l'urgence sanitaire par arrêté du 21 avril 2020. 

Il faut dire que, dès le 23 avril, la CNIL s'était clairement positionnée contre la mise en oeuvre accélérée de ce projet. 

Pourquoi tant de haine, me direz-vous peut-être ? 

Revenons aux fondamentaux : Le Health Data Hub, c'est un projet d'immense base de données regroupant l'ensemble des informations médicales sujettes à remboursement des 67 millions de Français. C'est la fusion des données hébergées par les Caisses d'assurances maladies depuis des années, mais en y ajoutant celles des pharmaciens, de l'ensemble des hôpitaux et de nos médecins généralistes. 

Ces données, aujourd’hui réparties un peu partout et difficiles à collecter, font déjà la fortune de sociétés d'analyses et statistiques médicales, qui les vendent à prix d’or aux géants de l'industrie pharmaceutique. 

Le projet HDH est de toutes les regrouper : une mine d'information sur les pathologies et pratiques de santé de l'un des pays les plus médicalisé au monde. 

Le concept pose peut-être question ; cela se discutait justement sur le fond depuis de nombreux mois, hôpitaux et CNIL en tête. Mais s'est ajoutée depuis peu l'allocation du marché de l'hébergement de cette base de données à Microsoft (Microsoft Azure), dans des conditions, semblerait-il, plutôt opaques dixit de nombreuses entreprises et organismes français... et ce coup d'accélérateur brutal par arrêté, qui devait couper court à toute discussion ! 

En Europe, les données personnelles sont protégées par la réglementation RGPD, entrée en application depuis le 25 mai 2018 et dont la CNIL s'est faite le gendarme. 

En revanche, sur le territoire américain, aucune règlementation de ce genre n'existe; pire, sur les bases du Cloud Act, promulgué au USA en mars 2018, une entité américaine pourrait être contrainte de transmettre l'ensemble de ces données aux forces de l'ordre ou agences de renseignement américaine... Que celles-ci soient stockées ou non sur le territoire américain... (lire le très clair article de l'Usine Digitale sur le Cloud Act) 

De ce fait, bien que l'on puisse comprendre que, dans la tourmente de l'épidémie, des procédures d'urgence soient parfois nécessaires, un tel manque d'exemplarité et de prudence laisse pensif.

 

 

Tous ceux qui se sont « amusés » depuis 2018 à négocier avec une banque ou un prestataire de service IS américains un contrat SCORE ou une convention de gestion de compte le savent : le point du secret et de la transmission des données confidentielles est actuellement un sujet clé ! Les données de paiements embarquées dans les TMS et transmises aux banques, les données salariées gérées dans les différents outils des entreprises sont soumises à la réglementation RGPD. Et il est souvent de notre responsabilité, trésoriers, responsables IS, responsables financiers et administratifs et nous, sociétés de conseils, d'être extrêmement rigoureux sur ces sujets qui entrainent, en cas de manquement, la mise en cause de la responsabilité directe du chef d'entreprise.

 

Je vous invite à relire l'excellent livre blanc publié en 2018 par Olivier Lefevre, notre expert Paiements internationaux et DPO. Cela illustre très bien la complexité de ce sujet et la vigilance dont doivent faire preuve tous ceux qui ont à gérer, dans un contexte international parfois très contradictoire, la sécurité des données personnelles.

 


Laurence LASSAUT - Juin 2020

 

 

^ Haut de page