Edward Snowden s'inquiète pour nos données de santé

L’analyse systématique et massive des données de santé est nécessaire pour faire avancer la recherche et orienter la prise de décision. C’est d’autant plus vrai en période de crise sanitaire, comme aujourd’hui, car cela permet l’amélioration des connaissances sur la Covid-19, pour mieux lui faire face. La crise du Coronavirus  a accéléré le développement du Health Data Hub, plateforme qui regroupe toutes les données de santé de la population française, centralisées sur le cloud de Microsoft. Cette attribution de marché, qui pose question, a aussi attiré l’attention d'Edward Snowden qui se montre (encore une fois ) préoccupé par la sécurité des données des français.

Microsoft : Seul capable d’assurer la mise en place d’une base de données pareille?

Un arrêté publié le 21 avril oblige les hôpitaux à intensifier l’envoi des données de santé chez Microsoft (données liées aux pharmacies, aux prises en charge en ville, aux applis ou outils numériques de santé, aux services d’urgences) et les éléments présents dans le Système national des données de santé (SNDS). Dans un tweet, Edward Snowden se demande : “Pourquoi? C’est plus simple….”, en ajoutant un lien vers le site du collectif Interhop.  Le site d’information Zdnet  décrit sa posture d’indignation et d’ironie. Les données seraient aussi accessibles au gouvernement américain (par l’intermédiaire du CloudAct).

La justice américaine pourrait avoir accès à nos données de santé avec le Cloud Act

Les data centers qui hébergent le Health Data Hub se situent en France et Microsoft est certifié hébergeur de données. Laurent Tréluyer, directeur des systèmes d’information à l’Assistance publique des hôpitaux de Paris (APHP), qui regroupe 39 établissements et 100 000 salariés, explique que c’étaient les deux conditions pour utiliser leurs services.
Cependant, une loi américaine, Le Cloud Act, permet à la justice américaine d’avoir accès aux données stockées dans des pays tiers en cas de volonté politique ou d’attaque informatique.
La présidente de la Commission Nationale de l’Informatique et des Libertés (CNIL), Marie-Laure Denis, a affirmé, en septembre, à l’Assemblée Nationale, que ce texte est contraire au Règlement Général sur la Protection des Données (RGPD) censé protéger les citoyens européens. « Toute demande d’accès d’une juridiction ou d’une autorité administrative d’un pays tiers, adressée au sous-traitant […] ne pourrait […] être considérée comme licite ». La Cnil recommande également que la plateforme des données de santé assure un hébergement et un traitement des données sur le territoire de l'Union européenne.

 Il existe des alternatives en France

Selon Interhop, des acteurs français du cloud existent : OVH par exemple. La direction interministérielle du numérique et du système d’information et de communication de l’État (DINSIC) pourrait aussi unir ses efforts à ceux des pays européens, pour créer un “cloud européen”, et construire un écosystème plus souverain, indépendant et sécurisé. 
Dans le contexte particulier du déconfinement, une politique nationale, de dépistage du Covid-19 et d’enquêtes sanitaires, a été mise en place. Ces données seront également centralisées par le Health Data Hub pour être mises à disposition de la recherche.  La CNIL s’est prononcée le 8 mai 2020, en urgence, sur un projet de décret encadrant les deux systèmes d’information, SI-DEP et Contact Covid, données très sensibles, capables de déterminer qui a pu être contaminé par une personne testée positive.

Cet avis demande des garanties supplémentaires afin de protéger la vie privée des Français.