Le conseil a fait part début février de "son opposition à un transfert d’une copie du système national des données de santé" (SNDS) sur Microsoft Azure dans le cadre de son examen du projet de décret qui doit pérenniser le fonctionnement du Hub.
En septembre 2020, il avait repoussé son avis sur une précédente version de ce projet de décret, expliquant alors attendre l’avis de la Commission nationale de l'informatique et des libertés (Cnil), qui a sévèrement critiqué ce texte fin octobre.
Le 19 février, il "a adopté à l’unanimité des membres qui ont pris position" une nouvelle délibération, est-il noté dans le communiqué.
En préambule, il se dit "en responsabilité et soucieux de concilier l’impérative protection des données des assurés sociaux et la santé publique, et les enjeux en matière d’innovation et de développement de stratégie nationale".
Le conseil considère toutefois que "les conditions juridiques nécessaires à la protection de ces données ne semblent pas réunies pour que l’ensemble de la base principale soit mis à disposition d’une entreprise non soumise exclusivement au droit européen", en référence au règlement général sur la protection des données (RGPD).
"Et ce, indépendamment de garanties contractuelles qui auraient pu être apportées" par le Health Data Hub et Microsoft, qui ont conclu trois avenants à leur contrat afin de préciser les garanties de confidentialité des données.
"Seul un dispositif souverain et uniquement soumis au RGPD permettra de gagner la confiance des assurés dans l’utilisation de leurs données", ajoute le conseil.
Par ailleurs, "il faut s’inscrire pleinement dans les nouvelles orientations du ministre des solidarités et de la santé [Olivier Véran] ainsi que du [secrétaire d'Etat chargé du numérique, Cédric O], et respecter le calendrier annoncé pour bâtir une nouvelle plateforme de données de santé".
Pour mémoire, Olivier Véran s'est engagé à "faire disparaître complètement" les risques que pose l'hébergement du Health Data Hub par Microsoft et à "adopter une nouvelle solution technique" d'ici deux ans, dans un courrier adressé à la Cnil en novembre 2020.
"Dès maintenant les travaux initiés doivent permettre de confier à un opérateur souverain et de confiance l’hébergement des données", estime le conseil de la Cnam. Le plan de relance "est aussi l’occasion d’étudier d’autres options techniques".
Auditionnée le 18 février par la mission d'information souveraineté numérique nationale et européenne de l'Assemblée nationale, la directrice du Hub, Stéphanie Combes, a estimé que les solutions françaises ou européennes n'atteignent pas encore le niveau d'exigences de la plateforme.
"Dans l’attente que ces travaux aboutissent […] les données du SNDS ne seraient mises à disposition du Hub qu’au cas par cas, pour les échantillons indispensables à la réalisation des recherches nécessaires à la prévention, au traitement et à la prise en charge du Covid-19, les modalités actuelles d’accès à ces données restant opérationnelles pour les autres cas", considère le conseil.
Le Hub n'intègre actuellement que deux bases de données de santé, relatives au Covid-19, grâce à des mesures adoptées dans le cadre de l'état d'urgence sanitaire, rappelle-t-on.
Vos réactions