L’usage du Droit pour éviter la fuite des données de santé vers l’étranger

La France est riche des données de santé qu’elle a collectées durant des dizaines d’années grâce à son système de santé et à de sécurité sociale. Ces données sont vivement convoitées car elles sont particulièrement utiles pour les recherches médicales et pharmaceutiques. Pour faciliter l’accès à ces données, le gouvernement français a décidé de créer une plateforme des données de santé centralisant toutes les données de santé existantes en France. Cette Plateforme, dénommée également Health Data Hub, a été créée le 30 novembre 2019 sous forme d’un GIP (groupement d’intérêt public) composé de 8 représentants de l’État, des organismes assurant une représentation des malades et des usagers des systèmes de santé, des producteurs de données de santé et des utilisateurs publics et privés de données de santé, y compris des organismes de recherche en santé ou des mutuelles dont la Fédération nationale de la Mutualité Française par exemple[1]. Pour la sélection de l’hébergeur et de l’architecte de la base de données, « la volonté du gouvernement était « de démarrer très vite » et Microsoft était alors « le seul capable de répondre aux prérequis au moment où la consultation a été faite »[2]. Ainsi le Health Data Hub n’a pas fait d’appel d’offres pour choisir son fournisseur[3] et affirmait que le Cloud Act ne risquait pas de s’appliquer. 

Une démarche incomplète

C’est un parti pris qui a pourtant été invalidé par 3 instances européennes et françaises seulement 11 mois après la création de la Plateforme comme le montre ce schéma :

fuite de données 1

Pourquoi cette méconnaissance des effets possibles du Droit alors que les probabilités d’application du Cloud Act américain[4] et les insuffisances du Privacy Shield étaient avérés ? Le Cloud Act permet à l’administration américaine de demander, dans certains cas, la communication des données stockées par des entreprises américaines et les filiales qu’elles contrôlent aux Etats-Unis et à l’étranger. Le Privacy Shield donnait un cadre aux transferts de données vers les États-Unis mais qui était largement controversé depuis sa création le 1er août 2016[5]. La CNIL avait d’ailleurs recommandé d’utiliser les BCR (Binding Corporate Rules) de la Commission Européenne pour encadrer les transferts de données hors de l’Union Européenne en conformité avec le Règlement Européen sur la Protection des Données personnelles ; recommandation suivie par de nombreux acteurs économiques. Son annulation était prévisible.

Avoir une vision plus stratégique du Droit

Une vision stratégique et préventive du Droit – « choisir une solution évitant le risque » -, plutôt que défensive « réagir si le risque devient avéré », aurait permis de gagner du temps tout en préservant des enjeux ô combien importants :

fuites données 2

Les usages dérivés peuvent inclure par exemple, l’exploitation non autorisée des données de santé françaises ou le screening génétique des employés à des fins de prévention des maladies proposé dans le projet de loi américaine HR1313 mars 2017.

Ce cas du Health Data Hub montre que le Droit n’est pas toujours pris en compte au bon moment ni à sa juste valeur. Le Droit, ainsi que l’Administratif et le Judiciaire, comme le souligne Yves-Marie Moray, président d’EuroLaw car les trois forment un ensemble. Le croisement des constats de l’Intelligence Économique avec ceux de l’Intelligence Juridique montrer le champ des possibles. Dans le cas du Health Data Hub, les solutions sont plutôt politiques, opérationnelles ou contractuelles comme le souligne Bernard Benhamou ou Jean-Noël de Galzain : mettre en œuvre une politique industrielle technologique, créer des champions européens, localiser les données de santé sur le territoire de l'Union européenne, limiter le rachat des pépites stratégiques françaises par des géants étrangers ou calibrer la commande publique pour qu’elle permette le développement d’une industrie numérique française et européenne. Sur un plan juridique, si l’obligation d’acheter français ne peut être imposée, en revanche, la conformité des acteurs aux règles sur la protection des données personnelles doit être assurée pour éviter que le cas du Health Data Hub ne se reproduise.

 

Véronique Chapuis,
Directrice du programme d’Intelligence Juridique EGE

 

[1] Cloud Act, March 2018.

[2] Le Privacy Shield sous le feu des critiques, Sébastien Dumoulin, Les Échos, 6 décembre 2017.

[3] Arrêté du 29 novembre 2019 portant approbation d'un avenant à la convention constitutive du groupement d'intérêt public « Institut national des données de santé » portant création du groupement d'intérêt public « Plateforme des données de santé ».

[5] Health Data Hub : « Le choix de Microsoft, un contresens industriel ! », Guillaume Grallet, Le Point, 18 juin 2020,