La Cnil a autorisé l’hébergement temporaire chez l’américain Microsoft d’un entrepôt de données de santé pour la recherche alimenté par l’Assurance maladie, une première pour la gardienne française des libertés numériques, selon une décision parue mercredi sur Legifrance. Jusqu’à présent, la Cnil n’avait jamais accepté d’autoriser des entrepôts alimentés par des données du Système national des données de santé (SNDS, géré par l’Assurance maladie), si ceux-ci devaient être hébergés sur une plateforme «cloud» – infrastructure informatique dématérialisée – non européenne.
La Cnil mettait en avant le risque d’accès aux données par des autorités étrangères, avec dans le collimateur les lois américaines à portée extraterritoriale notamment. Grâce à ces lois, les autorités américaines peuvent exiger dans certains cas que les opérateurs de cloud américains leur fournissent les données stockées chez eux, où qu’elles se trouvent dans le monde. Mais dans une décision en date du 21 décembre, publiée mercredi sur Legifrance, la Cnil a accepté de valider pour trois ans la constitution d’un tel entrepôt, pour le compte de l’Agence européenne du médicament. «Aucun prestataire potentiel» parmi les opérateurs de cloud français ou européens «ne propose d’offre d’hébergement répondant aux exigences techniques et fonctionnelles» du projet, constate la Cnil pour justifier sa décision, s’appuyant sur une mission d’étude réalisée par l’Etat. Le futur entrepôt est un projet du Health Data Hub, la structure publique créée en 2019 qui doit devenir à terme le méga-entrepôt de données de santé françaises.
Le projet validé par la Cnil, baptisé EMC2, concerne les données de patients fournies par quatre grands hôpitaux français et les données de l’Assurance maladie (remboursements de consultations et de soins, parcours hospitaliers, etc…), pour ces mêmes patients. La décision de la Cnil va permettre au Health Data Hub d’expérimenter enfin le traitement de masse des données de l’Assurance maladie par des chercheurs. Du fait de son choix controversé de départ de se reposer sur Microsoft, ce Health Data Hub n’a jamais pu obtenir la copie totale du SNDS, qui devait constituer le joyau de sa couronne. Le feu vert de la Cnil couvre une durée de trois ans, le temps nécessaire pour installer le Health Data Hub chez un opérateur de cloud français ou européen (ce qu’elle a toujours demandé). Le projet EMC2 doit permettre de faire avancer la recherche pharmaco-épidémiologique sur les effets à long terme des traitements médicaux. Le temps mis par la France à exploiter pour la recherche les données de son système de santé exaspère des chercheurs, qui redoutent d’être distancés dans une course scientifique à l’échelon mondial.
