La réponse à ces questions : la santé numérique ! En lançant le volet numérique du Ségur de la santé en juillet dernier, le ministère des Solidarités et de la Santé a pour objectif de généraliser le partage sécurisé des données de santé entre professionnels et patients. Si la pandémie de la Covid-19 a montré les limites de notre système de santé et la nécessité d’effectuer rapidement une transition vers le monde du digital, il convient de souligner que cette transition ne sera ni dénuée d’enjeux et de défis pour l’État, ni de risques pour les patients.
Qu’est-ce que le Ségur numérique de la santé et quels changements va-t-il apporter ?
L’année 2022 marquera en France un virage inédit dans le domaine de la santé grâce au projet Ma Santé 2022. Lancé en février 2018, il annonce entre autres l’arrivée du numérique dans notre système de santé. En effet, au travers de sa feuille de route « Accélérer le virage numérique » datant de Mai 2019, le ministère des Solidarités et de la Santé a dévoilé les grands axes de sa politique relative au numérique en santé qui sont au nombre de cinq : (i) renforcer la gouvernance du numérique en santé, (ii) intensifier la sécurité et l’interopérabilité des systèmes d’information en santé, (iii) accélérer le déploiement des services numériques socles, (iv) déployer au niveau national des plateformes numériques de santé et (v) soutenir l’innovation et favoriser l’engagement des acteurs[1].
Le volet numérique du Ségur de la santé annoncé en juillet 2020 vient concourir à la feuille de route du ministère des Solidarités et de la Santé en y apportant un soutien financier à hauteur de 2 milliards d’euros afin de rattraper le retard accumulé par la France dans la numérisation de son système de santé. L’objectif pour le gouvernement est d’étendre le partage des données de santé parmi les professionnels de la santé entre eux, mais aussi entre ces derniers et le patient et ce, de manière sécurisée.
Selon la Commission Nationale de l’Informatique et des Libertés (CNIL), les données de santé, ou données médicales sont des données à caractère personnel « relatives à la santé physique ou mentale, passée, présente ou future, d’une personne physique qui révèlent des informations sur l’état de santé de cette personne »[2]. Afin de faciliter le partage de ces données, le gouvernement a créé le 29 novembre 2019 une Plateforme des données de santé (PDS) également dénommée Health Data Hub (ci-après HDH) qui assure un rôle de relais entre les personnels de la santé et leurs patients.
Ce nouveau projet de santé numérique amorcera des changements tant pour les patients que pour les praticiens. En effet, le patient aura accès à son Espace Numérique de Santé qui lui permettra de visualiser entre autres ses données administratives, son Dossier Médical Partagé (ci-après DMP), les données relatives aux remboursements de ses dépenses de santé etc... Le patient aura également accès à une messagerie sécurisée de santé grâce à laquelle il pourra échanger avec l’ensemble de son corps médical et aussi recourir à des services de télésanté. Le but de l’Espace Numérique de Santé étant que le patient soit « acteur de sa santé et acteur du système de santé »[3].
Les professionnels de santé, quant à eux, bénéficieront d’une plateforme spéciale dite « bouquet de services ». Grace à celle-ci, ils pourront également avoir accès au DMP du patient, à son dossier pharmaceutique et à plusieurs autres services qui leur seront progressivement proposés. Ils jouiront aussi du dispositif Pro Santé Connect (PSC) qui leur permettra de se connecter de manière mobile sur leur plateforme de santé.
Concilier partage et protection des données
L’un des enjeux les plus importants de la santé numérique est de faciliter le partage des données médicales afin d’améliorer la recherche scientifique et la prise en charge des patients, tout en assurant une protection optimale et sécurisée de ces données. Comme évoqué précédemment, pour répondre à cet enjeu le gouvernement a mis en place le HDH, groupement d’intérêt public qui associe 56 parties prenantes dont l’État, l’Assistance Publique-Hôpitaux de Paris (AP-HP) et le Centre national de la recherche scientifique (CNRS). De nombreuses données médicales de toute nature y sont répertoriées, créant ainsi l’une des plus importantes bases de données de santé au monde.
Cette plateforme ambitieuse mêlant centralisation et partage de données personnelles médicales suscite de nombreuses interrogations quant à la protection assurée par le site hébergeur. En effet, il a été décidé de faire appel à la société américaine Microsoft pour héberger ces données médicales. Or, le droit américain, notamment au travers de son Cloud Act de 2018, permet aux juridictions américaines, en cas de mandat ou d’assignation en justice, de réclamer aux entreprises américaines les données stockées sur leurs serveurs, même ceux situés à l’étranger (dans le cas du HDH, il s’agit d’un centre de données situé aux Pays-Bas)[4]. C’est en grande partie pour cela que la décision de l’État de recourir à Microsoft pour l’hébergement des données du HDH a fait l’objet de plusieurs recours devant le Conseil d’État.
Dans une première décision datant de juin 2020[5], le Conseil d’État a considéré que le transfert des données de maintenance (et non des données de santé) à Microsoft aux États-Unis, adhérant au Privacy Shield[6], ne constituait pas « une atteinte grave et manifestement illégale au droit au respect de la vie privée et au droit à la protection des données personnelles ».
Toutefois, la Cour de Justice de l’Union européenne a jugé dans un arrêt en date du 16 juillet 2020 (arrêt dit « Schrems II »)[7] que la surveillance exercée par les services de renseignements américains sur les données personnelles des citoyens européens était excessive, insuffisamment encadrée et sans réelle possibilité de recours. Ainsi, les transferts de données personnelles depuis l’Union européenne vers les États-Unis sont contraires au RGPD[8] et à la Charte des droits fondamentaux de l’Union européenne, sauf si des mesures supplémentaires sont mises en place ou si les transferts sont justifiés au regard de l’article 49 du RGPD. À la suite de cette décision européenne, le Conseil d’État a de nouveau été saisi et a rendu sa décision en s’alignant sur la solution de l’arrêt Schrems II de la CJEU : il estime désormais qu’il existe un risque de transfert de données du HDH vers les États-Unis du fait même de la soumission de Microsoft au droit américain et impose de prendre des précautions particulières, sous le contrôle de la CNIL[9].
Face aux inquiétudes de la CNIL et à la récente jurisprudence, le ministre des Solidarités et de la Santé, Olivier Véran, s’est donc engagé à trouver une nouvelle solution permettant de ne pas exposer les données hébergées par le HDH à d’éventuelles demandes d’accès provenant des autorités américaines d’ici fin 2022[10]. Par ailleurs, Amélie de Montchalin, ministre de la Transformation et de la Fonction publiques, a confirmé lors de la présentation de la stratégie nationale pour le cloud le 17 mai 2021 la mise en place d’une labellisation « Cloud de confiance »[11] pour le HDH, qui constitue l’un des trois piliers de cette stratégie aux côtés de la politique « Cloud au centre » des administrations et de la politique industrielle mise en œuvre dans le prolongement du plan France Relance[12]. Cette stratégie nationale portant sur les technologies Cloud a un objectif simple : « protéger toujours mieux les données des entreprises, des administrations et des citoyens français tout en affirmant notre souveraineté »[13].
Vers un accroissement de la vulnérabilité des patients ?
Est-il encore nécessaire de rappeler qu’au cœur de toutes ces nouvelles réformes numériques du système de santé se trouvent les données de santé des patients, véritables mines d’or pour les cybercriminels ?
En effet, selon l'Agence nationale de la sécurité des systèmes d'information (Anssi), l’année 2020 a vu augmenter de 255% ses signalements d’attaques par ransomware (un logiciel malveillant de prise en otage de données personnelles) ; un pourcentage ne reflétant pourtant pas la réalité des attaques compte tenu du fait que celles informatiques ne sont pas signalées à l’Agence. Ces attaques n’épargnent aucun secteur puisqu’au début de l’année 2021 les hôpitaux français ont dû faire face à un incident par semaine en moyenne : l’AP-HP, les hôpitaux de Villefranche-sur-Saône, de Dax, l’Institut Pasteur… Toutes ces structures n’ont pu échapper à ces différentes attaques qui ont endommagé à échelle variable leurs systèmes, avec un but commun : « dépouiller » les patients de leurs données personnelles sensibles, les laissant dans une situation de vulnérabilité sans précédent.
Face à la recrudescence de ces attaques et à l’évolution de la société vers le numérique, la CNIL, consciente de l’importance de ces données, a décidé d’inscrire la sécurisation des données de santé parmi ses thématiques prioritaires de contrôle pour l’année 2021. C’est à ce titre que le 14 octobre dernier la Commission a mis en demeure la société Francetest (spécialisée dans l’acheminement des données de tests de dépistage de la Covid 19 vers la plateforme gouvernementale SI-Dep) de « prendre toutes les mesures nécessaires pour garantir la sécurité des données de santé qu’elle traite pour le compte de centaines de pharmacies [14]» à la suite d’une violation de sécurité rendant accessible les données de 386. 970 français.
Au regard de la multitude d’outils utilisant - ou appelés à utiliser - ce type de données (comme les applications gouvernementales de traçabilité contre le Covid-19, les serveurs d’hôpitaux, le HDH etc…), il convient de se questionner sur le risque accru pour les patients de voir leurs données médicales soudainement exposées sur internet comme ce fut le cas pour environs 500.000 français en février 2021. En effet, les informations de ces citoyens avaient été détournées depuis novembre 2020, mais la fuite ne fut révélée au grand jour par les médias que le 21 février 2021[15], alertant au passage la CNIL et mettant en exergue les failles présentes dans la lutte contre la répression de telles infractions au droit des données personnelles protégé par le RGPD.
Dans un contexte d’épidémie généralisée et de généralisation de l’utilisation d’outils numériques dans la gestion de la santé des citoyens français, il apparaît fondamental que ces derniers puissent jouir d’une confiance en ces nouveaux services afin de pouvoir être « acteurs » de leur santé comme le souhaite le gouvernement français.
Ainsi, si les attentes relatives à l’e-santé sont nombreuses, les défis qu’elle promet le sont davantage. La clé de la boite de pandore appartient à l’État, seul habilité à relever ces enjeux afin de renouveler, reconduire ou raffermir la confiance de ses concitoyens quant à la protection de leurs données dans l’espoir d’une collaboration en parfaite symbiose pour le développement d’une santé numérique.
Chronique « Droit, Juriste et Pratique du Droit Augmentés »
Cette chronique a pour objectif, de traiter de questions d'actualité relatives à cette transformation. Dans un contexte où le digital, le big data et le data analytics, le machine learning et l'intelligence artificielle transforment en profondeur et durablement la pratique du droit, créant des « juristes augmentés » mais appelant aussi un « Droit augmenté » au regard des enjeux et des nouveaux business models portés par le digital.
Avec son Augmented Law Institute, l'EDHEC Business School dispose d'un atout majeur pour positionner les savoirs, les compétences et la fonction du juriste au centre des transformations de l'entreprise et de la société. Il se définit autour de 3 axes de développement stratégiques : son offre de formations hybrides, sa recherche utile à l'industrie du droit, sa plateforme de Legal Talent Management. https://www.edhec.edu/fr/ledhec-augmented-law-institute
[1] https://esante.gouv.fr/sites/default/files/media_entity/documents/Dossier_virage_numerique_masante2022.pdf
[2] https://www.cnil.fr/fr/quest-ce-ce-quune-donnee-de-sante
[3] https://esante.gouv.fr/sites/default/files/media_entity/documents/Dossier_virage_numerique_masante2022.pdf
[4] Lucie Cluzel-Métayer « L'hébergement de la plateforme des données de santé par Microsoft : une validation sous surveillance », AJDA 2021 p.741
[5] Conseil d'État, Juge des référés, 19/06/2020, n°440916, inédit au recueil Lebon https://www.legifrance.gouv.fr/ceta/id/CETATEXT000042040572/
[6] Aussi appelé Bouclier de protection des données UE-Etats-Unis - https://eur-lex.europa.eu/legal-content/FR/TXT/?uri=CELEX%3A32016D1250
[7] CJUE, 16/07/2020, Data Protection Commissioner c/ Facebook Ireland Ltd, Maximillian Schrems, affaire C-311/18 - https://eur-lex.europa.eu/legal-content/FR/TXT/?uri=CELEX%3A62018CJ0311
[8] Règlement Général sur la Protection des Données
[9] Conseil d'État, Juge des référés, 13/10/2020, n°444937, inédit au recueil Lebon - https://www.legifrance.gouv.fr/ceta/id/CETATEXT000042444915
[10] https://www.cnil.fr/fr/la-plateforme-des-donnees-de-sante-health-data-hub
[11] https://www.economie.gouv.fr/cloud-souverain-17-mai#
[12] Le Plan France Relance a été créé pour relancer l’économie suite à la crise sanitaire - https://www.economie.gouv.fr/plan-de-relance
[13] https://cloud-computing.developpez.com/actu/318885/La-DINUM-estime-que-Microsoft-365-n-est-pas-conforme-a-la-strategie-Cloud-au-centre-de-l-Etat-Francais-dans-une-circulaire-adressee-aux-secretaires-generaux-des-ministeres/
[14] https://www.cnil.fr/fr/covid-19-mise-en-demeure-societe-francetest-securisation-insuffisante-donnees-sante
[15] https://www.dalloz-actualite.fr/flash/fuite-massive-de-donnees-personnelles-de-sante#.YW3CSy8isdU
