Pourquoi la CNIL a autorisé le Health Data Hub à héberger des données de santé chez Microsoft

Clément Bohic,
Linkedin
Health Data Hub EMC2 Microsoft

La CNIL a récemment autorisé le Health Data Hub à héberger un entrepôt de données chez Microsoft. Dans quel contexte ?

Le projet EMC2 était-il l’occasion pour le Health Data Hub de préfigurer la solution souveraine vers laquelle il doit migrer ? La CNIL l’estime et le fait savoir dans une décision récente qui autorise le groupement à héberger des données de santé… chez Microsoft. Une première.

La CNAM mettra à disposition une partie des données en question, provenant de la base principale du SNDS (Système national des données de santé). En l’occurrence :

base principale SNDS

Ces données seront appariées avec des dossiers médicaux que fourniront quatre établissements de santé. Nommément, les Hospices civils de Lyon, le Centre Léon Bérard (Lyon), le CHRU de Nancy et l’hôpital Saint-Joseph (Paris).

Un contrat avec l’Agence européenne des médicaments

L’autorisation de recourir aux services de Microsoft tient notamment à la nature d’EMC2. Le projet n’est effectivement pas franco-français. Il s’inscrit dans une convention de prestation de service conclue voilà deux ans avec l’Agence européenne des médicaments.

Le Health Data Hub avait répondu à l’appel d’offres en association avec les quatre établissements susmentionnés, ainsi qu’avec PramacoEpi (plate-forme de pharmaco-épidémiologie, à Bordeaux), l’ANS et Capgemini. Le lot remporté consiste à mettre à disposition de l’agence un EDS (entrepôt de données de santé) pour accompagner l’instruction de problématiques relatives aux effets secondaires des médicaments.

Base légale des traitements de données personnelles : l’exécution d’une mission d’intérêt public ou relevant de l’autorité publique dont on a investi le Health Data Hub.

Qui ces traitements concernent-ils ? En premier lieu, les patients hospitalisés en MCO (médecine, chirurgie ou obstétrique) à partir de 2022 dans les quatre établissements associés au projet. On récupérera également, dans le SNDS, des données relatives aux enfants des femmes prises en charge dans ces mêmes établissements et ayant accouché depuis 2015.

L’appariement des données se fera grâce au NIR (numéro d’inscription au répertoire national d’identification des personnes physiques), au sexe et à la date de naissance complète.
À ces données identifiants, on greffera un « numéro d’accrochage » aléatoire. Lui seul accompagnemra données de l’étude issues des dossiers médicaux.

Afin de dédoublonner a posteriori les patients sélectionnés dans plusieurs centres, la CNAM générera, pour chaque numéro d’accrochage, un identifiant unique dérivé du NIR correspondant.
Pour réduire les risques de réidentification des partients à partir de cet identifiant, il sera spécifique à l’entrepôt. La CNAM transmettra séparément la table de correspondance avec les numéros d’accrochage, « via un canal sécurisé dédié ». Un nouvel identifiant s’y substituera lors de l’étape de dédoublonnage et de versement des données dans l’entrepôt.

L’offre SecNumCloud, pas encore au niveau ?

Sur le recours à Microsoft, la CNIL note que l’hébergement de l’EDS se fera sur des datacenters en France. Il est possible, reconnaît-elle, que surviennent des transferts de données techniques d’usage de la plate-forme vers les USA. Des opérations qu’encadrent néanmoins les clauses contractuelles types de la Commission européenne.

Quant aux risques d’accès par les autorités étasuniennes, la législation sur place a été jugée conforme aux standards de protection européens, d’où l’existence du Data Privacy Framework, souligne la Commission. Cela n’écarte pas pour autant le risque de communication à des puissances étrangères, regrette-t-elle. Et de rappeler sa préconisation, « [jusqu’ici toujours] acceptée », de « s’assurer que l’hébergeur des données n’est pas soumis à une législation extra-européenne ».

Le choix du Health Data Hub ne va pas dans ce sens, constate la CNIL. Mais il faut honorer les engagements pris vis-à-vis de l’Agence europénne des médicaments. Or, en l’état, aucun prestataire soumis uniquement aux lois de l’UE ne répond aux exigences techniques et fonctionnelles pour la mise en œuvre du projet EMC2 dans un délai compatible avec les impératifs. C’est tout du moins la conclusion d’une mission d’expertise que les pouvoirs publics avaient mise en place à la suite des interrogations de la CNIL.

La construction d’une plate-forme d’hébergement spécifique pour EMC2 pourrait par ailleurs retarder la migration de la solution d’hébergement du Health Data Hub pour toutes ses missions. En attendant, la CNIL autorise donc la constitution de l’EDS chez Microsoft. Ce pour 3 ans, durée correspondant à la réalisation du projet de migration.

L’autorisation CNIL marque une nouvelle étape dans la démultiplication des copies partielles du SNDS, regrette-t-on chez Cloud Temple. Un autre rapport de mission gouvernementale, paru début décembre 2023, avait pointé ce risque. Il préconisait d’adopter sous six mois une solution transitoire pour héberger une copie du SNDS.

Illustration © your123 – Adobe Stock