Souveraineté des données de santé
Il y a les bons, les mauvais élèves et ceux qui progressent. Il y a les grands principes et les petits détails qui fâchent. Puis il y a nos données de santé si précieuses et convoitées.
Données de santé et acteurs privés
Certaines sociétés vont jusqu'à stocker 30 000 données de santé sur votre vie, selon une enquête en 2020 de Cash investigation où quelques acteurs français dénotaient déjà. Par exemple, Doctissimo épinglé par une ONG qui accusait le site de vendre à des tiers, de manière illégale, les données sensibles de ses visiteurs.
Si depuis les choses ce seraient améliorées, la visite du site ne permet plus (selon mon expérience) de lire les contenus sans accepter les cookies. Pratique courante dans certains médias qui semblent faire une application particulière du consentement. A ce sujet, parenthèse, j'aime à préciser que - selon moi - un média qui impose l'acceptation de ses cookies pour lire ses contenus, n'est pas un véritable média. Et la liste est malheureusement longue.
Puis il y a Doctolib qui en 2021 était au cœur d'un scandale autour de l'envoi de données à Facebook (4) et faisait l'objet en 2022 d'une enquête de France info qui remarquait que les donnés médicales transmises n'étaient pas entièrement protégées. Comme le relevait l'investigation, assez technique, “Les données de santé se moyennent à prix d’or” et c'est tout le problème, d'autant que beaucoup de sociétés n'hébergent ces données en Europe.
En 2022 Doctolib justifiait d'ailleurs le choix du géant américain Amazon pour héberger les données des Français disant avoir "mis en place les protections suffisantes". Choix sans doute basé sur des aspect de sécurité, dans le contexte où des acteurs ont lourdement failli pour des défauts de sécurité condamnés par la CNIL. Mais au final faut-il pour autant déléguer la sécurité aux Gafam...
Données de santé et secteur public
Cela n'est pas sans rappeler la polémique autour du Heath Data Hub (en anglais dans le texte) qui prévoyait de centraliser les données du Système National des Données de Santé (SNDS) chez Microsoft.
Le projet bruyamment arrêté début 2022 pour cause de législative repartit de plus belle, garantissant bien à Microsoft d'en rester l'hébergeur jusqu'en 2025. Ce hub de nos données de santé hébergé par Microsoft n'aura pas manqué d'appeler la position de la CNIL appelant à une vigilance particulière.
En réaction, dès 2021, l'Assurance maladie s'est prononcé sans équivoque contre dans ce projet avec Microsoft s'engageant en 2022 à "construire un cloud souverain avec l'Assurance Maladie et l'Assurance Retraite".
Il est d'ailleurs remarquable de constater la transparence et la volonté de la CNAM dans sa démarche de transformation qui communique dans un podcast savoureux "les aventuriers de la santé numérique" tout le travail nécessaire pour établir un système conforme face à la complexité et la diversité de nos données de santé. Ce podcast cite notamment Dominique Pons chargé de l'état des lieux "le manque de volontarisme fait qu'on a laissé se développer des logiciels sans fixer de normes et de cadre"...
Données de santé, enjeu de souveraineté
Récemment un lettre ouverte d'acteurs français dit combien la protection de nos données est "un enjeu collectif au delà des intérêts économiques isolés". Reste que beaucoup encore, y compris parmi ses signataires, hébergent encore leurs processus via des acteurs non européens. Il ne suffit plus de parler de souveraineté : jouer collectif nécessite une action volontariste et exemplaire. Nous devons héberger nos données en Europe pour traiter à la fois nos besoins de sécurité et renforcer notre économie.