Demande d'exercice des droits d'accès, d'opposition et d'effacement auprès de la Plateforme des Données de Santé "Health Data Hub"

De e-glop
Plateforme donnees de sante.jpg

URL raccourcie de cette page : https://www.e-glop.net/main/Health_Data_Hub

Si vous aussi la position du Ministère de la Santé vous semble inacceptable et vous incite à vous opposer au traitement et au stockage de vos données de santé de la plateforme des données de santé dite "Health Data Hub", la démarche à suivre est à suivre. Il faut noter que :

  1. Microsoft a été attributaire du marché pour sa plateforme Azure située aux Pays-Bas, sans marché public, pour plusieurs millions d'€uros
  2. L'usage des services de Microsoft implique nécessairement la possibilité de transferts de nos données personnelles vers les USA, sur la base de la législation étasunienne, qu'importe les clauses contractuelles ou les arrêtés pris par le Gouvernement
  3. Les USA ont été déclarés comme pays non adéquat en matière de protection des droits et libertés fondamentaux par l'arrêt de la CJUE du 16/07/2020
  4. L'affaire a été portée devant la plus haute juridiction administrative (le Conseil d'État) qui a demandé à sortir des services de Microsoft dans les délais les plus brefs dans son ordonnance 444937 du 13/10/2020 §21.
  5. Le Ministre de la Santé français a répondu se donner 2 années pour protéger l'ensemble des données de santé des français des services de renseignement étasuniens, délais que j'estime trop longs.

Note: Adresse simplifiée de cette page pour communication ultérieure : https://www.e-glop.net/wiki/Health_Data_Hub

Démarche à suivre

  1. Envoyer l'email ci-dessous au Délégué à la Protection des Données de la Plateforme des Données de Santé
  2. Archiver cet email
  3. Noter un rappel un mois après, délai maximum au bout duquel votre demande doit avoir obtenu satisfaction
  4. En cas d'absence de réponse, adresser une réclamation à la CNIL

Email à envoyer

To: dpd@health-data-hub.fr
Subject: Exercice des droits
Date: Mon, 23 Nov 2020 11:16:41 +0100

Madame/Monsieur le⋅la délégué⋅e à la protection des données de la Plateforme des Données de Santé,

Je me permets de vous contacter dans le but d'exercer mes droits. Je souhaite faire valoir mon droit de :

  1. RGPD art.15 accès : je souhaite obtenir une copie de mes données à caractère personnel en votre possession, ainsi qu'être informé des traitements qui leur sont réservés, ainsi que la présence ou non de transfert hors UE le cas échéant et leur durée de conservation quand cela est possible
  2. RGPD art.17 effacement : je souhaite que mes données soient retirées de la plateforme, du fait des dernières déclaration du Ministre de la Santé considérant que "les délais les plus brefs possibles" (arrêt du Conseil d'État relatif à 'hébergement sur Microsoft Azure) seront de deux années, ce qui ne me convient pas.
  3. RGPD art.21 opposition : je souhaite m'opposer à la présence de mes données dans la plateforme... je réviserai ma position après rapatriement des données chez un hébergeur sous-traitant non soumis à un autre droit que celui de l'UE.

En vous remerciant, Madame, Monsieur, de l'attention que vous porterez à ma demande, j'attends dans les meilleurs délais, et dans un délai d'un mois maximum, par voie électronique (de préférence sécurisée) la réponse à ma requête précédemment décrite. Passé ce délai et sans réponse de votre part, je porterai un recours auprès de l'autorité de contrôle en France (la CNIL).

Bien à vous,

P.J.: une copie de ma pièce d'identité, si cela peut vous être utile.

Démarche singulière de l'auteur de ces lignes auprès de la plateforme des données de santé

Réponse du DPO de la Plateforme

Date de réception: le jour de la date limite, c'est à dire un mois jour pour jour après la demande initiale

Réponse de l'administration :

Bonjour Monsieur,

Je reviens vers vous concernant votre demande d’exercice des droits relatifs à vos données à caractère personnel.

En premier lieu, je me permets de vous présenter en quelques mots le cadre réglementaire dans lequel nous intervenons car celui-ci a une incidence directe sur la manière dont les droits reconnus par le RGPD vont s’exercer.

La loi du 24 juillet 2019 relative à l'organisation et à la transformation du système de santé qui a créé la Plateforme des données de santé ou Health Data Hub («HDH») a aussi entendu revoir l’organisation du Système national des données de santé («SNDS») et organiser un cadre d’utilisation des données de santé à des fins de recherche dans le respect de la confidentialité des données et des droits des personnes. Nous travaillons avec nos partenaires à la mise en place de ce système cible mais plusieurs de ses caractéristiques, en particulier les modalités d’exercice des droits, doivent encore être définies lors de la mise à jour du décret relatif au SNDS (décret n° 2016-1871 du 26 décembre 2016) qui devrait intervenir prochainement.

Notre objectif est que le HDH devienne un véritable outil de gouvernance et de confiance pour les citoyens et nous souhaitons mettre en place un formulaire d’exercice des droits accessible sur internet qui permettra l’expression de votre choix une fois pour toutes, en un lieu unique. Le moment venu, nous détaillerons les modalités de cette procédure mais, dans l’immédiat, notre fonctionnement est limité aux projets liés à la Covid-19 et aux projets dits « pilotes » du HDH qui ont été sélectionnés lors de deux appels à projets.

La collecte des données dans ce cadre a été adaptée par rapport à la logique envisagée dans le mode de fonctionnement pérenne du SNDS. Afin de veiller à la confidentialité des données traitées, nous fonctionnons sans identifiant de référence mais avec des identifiants spécifiques à chaque base si bien que les données d’une même personne qui se retrouveraient dans plusieurs bases de données seraient rattachées à autant d’identifiants différents qu’il y a de bases, sans aucune correspondance entre ces identifiants. Les droits relatifs aux données hébergées dans la plateforme technologique à ce jour ne peuvent donc être gérés qu’au cas par cas pour chaque base, en passant par les sources de données.

Notre fonctionnement actuel est donc un peu plus contraignant et nous oblige à vérifier avec vous, base de données par base de données, si des données vous concernant sont ou vont se retrouver sur la plateforme technologique du HDH.

A ce jour, nous n’avons collecté que deux bases de données jugées prioritaires pour améliorer les connaissances sur l’épidémie :

  • une base sur les données de l’assurance maladie depuis mars 2019 relatives aux individus avec un diagnostic hospitalier de Covid-19, appelée « SNDS Fast Track », pour laquelle les droits peuvent s’exercer par l’intermédiaire de la Caisse nationale de l’assurance maladie et de son vmécanisme en vigueur pour le SNDS ;
  • une base sur les résumés de passages aux urgences, dénommée « OSCOUR », communiquée par Santé publique France et qui est agrégée de telle manière que nous ne sommes pas en mesure d’identifier les personnes concernées, même en nous appuyant sur Santé publique France.

Pour plus de détails sur ces bases, je vous invite à consulter notre site internet (https://www.health-data-hub.fr/catalogue-de-donnees <https://www.health-data-hub.fr/catalogue-de-donnees>).


Dans les prochaines semaines, nous envisageons de travailler sur les bases SI-DEP et SI-VIC qui ont été mobilisées pendant l’épidémie. SI-DEP est la base de données des résultats des tests de dépistage de la Covid-19 et SI-VIC est la base de données de suivi des victimes de situation sanitaire exceptionnelle. Ce dernier dispositif aide les autorités sanitaires à anticiper les conséquences d’un événement inattendu et grave sur l’organisation du système de santé et nous souhaitons recueillir les données relatives à la Covid-19 qu’elle contient.


Par ailleurs, nous allons accueillir prochainement les données nécessaires à plusieurs projets dont la réalisation sur notre plateforme technologique a été autorisée par la CNIL:

  • En lien avec la Covid-19 :
    • l’étude « CoviSAS » portera sur les impacts du syndrome d’apnées obstructives du sommeil sur la survenue des formes graves de la Covid-19 ;
    • l’étude « Frog Covid » portera sur l’identification des facteurs prédictifs et le profil des patients à fort risque de développer une Covid-19 sévère afin de prédire les besoins et les surcoûts pharmaco-économiques de la prise en charge des patients Covid-19 hospitalisés en réanimation ;
    • l’étude « CoData Cancer du Sein » portera sur les modalités de prise en charge des patientes atteintes de pathologie mammaire pendant la crise sanitaire de la Covid-19.
  • Projets pilotes :
    • le projet « HYDRO » portera sur la prédiction des crises de décompensation cardiaque chez les patients insuffisants cardiaques porteurs de prothèse rythmique ;
    • le projet « DeepSARC » visera à identifier les meilleurs schémas thérapeutiques pour le traitement du sarcome ;
    • le projet « Deep-Piste » visera à évaluer l’apport de l’utilisation d’une Intelligence Artificielle dans le programme de dépistage

organisé du cancer du sein francais ;

    • le projet « HUGO-SHARE » visera à analyser et prédire des événements indésirables liés aux interactions ou aux ruptures médicamenteuses ambulatoires et hospitalières dans le Grand Ouest ;
    • le projet « REXETRIS » visera à évaluer l’influence de l’immunosuppression à long terme et de son ajustement fin sur le

devenir du greffon et du patient.

Afin de rester concis et compréhensible, je ne détaille pas plus ici ces projets mais je reste à votre disposition pour vous présenter ceux qui sont susceptibles de vous concerner. Nous n’avons pas encore recueilli les données correspondantes mais votre éventuelle opposition peut toujours être recueillie afin que vos données ne soient pas incluses dans le projet et donc pas transmises sur notre plateforme technologique.

D’autres projets pourront être réalisés au cours de l’année 2021 et apparaîtront au fur et à mesure dans le répertoire public des projets ( https://www.health-data-hub.fr/projets ).

Concernant la durée de conservation des données que vous évoquez dans votre message, celle des bases de données liées à la Covid-19 est liée à la durée de vigueur de l’article 30 de l’arrêté du 10 juillet 2020 prescrivant les mesures d'organisation et de fonctionnement du système de santé nécessaires pour faire face à l'épidémie de covid-19 dans le cadre de l'état d'urgence sanitaire. Eu égard à leur grand intérêt scientifique, même quand la crise sera terminée, nous envisageons de les conserver à plus long terme mais cela ne sera possible que si le cadre de droit commun (notamment le décret SNDS) nous le permet. Les données relatives aux projets sont quant à elles conservées pour des durées variables fixées en fonction des projets. De même, les destinataires des données sont différents selon les projets. Toutes ces informations seront également accessibles sur notre site internet dans le répertoire des projets.

Concernant la protection et l’hébergement des données de la plateforme technologique, nous avons toujours annoncé publiquement être à l’écoute des industriels pour migrer la plateforme technologique vers une autre solution d’hébergement, nationale ou européenne, dès qu’une offre répondant aux besoins fonctionnels et exigences de sécurité du Health Data Hub sera disponible.

Dans l’attente d’une solution optimale française ou européenne n’existant pas à court terme, le Health Data Hub a donc fait le choix de s’appuyer sur l’une des solutions d’hébergement à l’état de l’art, malgré son origine américaine. Nous avons pris toutes les mesures techniques, organisationnelles et contractuelles afin de s’assurer qu’aucune donnée de santé relative aux citoyens français ne soit transférée en dehors de l’Union Européenne. Le contexte de sécurité et de protection des données de la plateforme technologique est défini dans le cadre d’une démarche conduite en collaboration avec l’Agence nationale de la sécurité des systèmes d’information (ANSSI) et le Haut fonctionnaire de défense et de sécurité du ministère des Solidarités et de la Santé. De plus, nous échangeons régulièrement avec la CNIL sur le développement du Health Data Hub et les orientations que nous prenons.

De manière générale, si vous pensez que des données à caractère personnel vous concernant sont effectivement hébergées sur la plateforme technologique du HDH ou vont l’être à court terme, alors nous vous remercions de bien vouloir nous indiquer par quelle base de données vous êtes concerné et nous vous accompagnerons pour la suite des démarches.

Je reste à votre disposition pour échanger si ces éléments n’étaient pas suffisamment clairs.

Respectueusement,

Par ordre du Délégué à la protection des données

Réponse de la personne concernée

Bonsoir,

Merci pour ces riches informations.

A leur lecture je me pose la question : qui de la personne concernée ou du responsable de traitement doit être capable d'identifier les données d'une personne concernée dans ses traitements et bases de données ? A ma connaissance, il s'agit d'un droit de la personne concernée de s'opposer aux traitements qui la concernent et d'exprimer ce droit auprès du responsable du traitement. Votre réponse est alors de vous aider à identifier, et ce par email, dans quelle base de données de santé je pense que mes données se trouvent. Je ne suis pas en mesure de vous aider sur ce point, et en particulier via ce média non sécurisé, et vous m'en voyez désolé (imaginez que je vous réponde en clair que mes données se trouvent dans le traitement « CoData Cancer du Sein » et que cette information fuite puisque l'échange n'est pas sécurisé).

Ma réponse est dans ma demande : je demande à ce que mes données ne soient pas traitées par la Plateforme des Données de Santé, quel que soit le traitement, quelle que soit la base de données, dès lors que la loi me permet de m'y opposer.

Quant à votre assertion "Nous avons pris toutes les mesures techniques, organisationnelles et contractuelles afin de s’assurer qu’aucune donnée de santé relative aux citoyens français ne soit transférée en dehors de l’Union Européenne." vous devez savoir qu'elle est fausse ou au moins en partie fausse, sinon quoi le Conseil d'État aurait considéré que l'hébergement chez un hébergeur étasunien était conforme... et ici si cet hébergement est toujours légal, c'est de manière dérogatoire et en visant un retour en Europe "dans les délais les plus brefs".

Notez par ailleurs que l'idée de la Plateforme des Données de Santé me semble tout à fait intéressante, bien que particulièrement porteuse de risques pour les droits et libertés. Les principes, à l'état de l'art, en matière de protection des données dès la conception auraient du dicter d'éviter un hébergeur soumis à un droit étranger à portée extra-territoriale. J'estime que cela est une faute et motive à nouveau ma requête en :

  1. RGPD art.15 accès
  2. RGPD art.17 effacement
  3. RGPD art.21 opposition

Le point 3 est celui sur lequel je ne transigerai pas. Puisque c'est mon droit, c'est à vous de faire le nécessaire. Dans 2 semaines, sans réponse satisfaisante de votre part qui aurait du m'arriver ce jour au plus tard (RGPD art.12), j'envisagerai un recours pour les faire valoir.

Je reste à votre écoute et, encore une fois et en dehors des critiques précédentes, je vous remercie des riches précisions apportées dans votre email. Avec mes meilleures salutations, Cordialement,

Recours déposé à la CNIL

Suite à ces échanges et suite à l'absence de réponse complémentaire, j'ai porté le recours suivant à la CNIL le 13/01/2021 :

J'ai adressé le 23 novembre 2020 une demande d'exercice de mes droits sur mes données à caractère personnel à la plateforme des données de santé (PDS ou "Health Data Hub") :

1. RGPD art.15 accès : obtenir une copie de mes données à caractère personnel en leur possession, ainsi qu'être informé des traitements qui leur sont réservés, ainsi que la présence ou non de transfert hors UE le cas échéant et leur durée de conservation quand cela est possible
2. RGPD art.17 effacement : retirer mes données de la plateforme, du fait des dernières déclaration du Ministre de la Santé considérant que "les délais les plus brefs possibles" (arrêt du Conseil d'État relatif à l'hébergement sur Microsoft Azure) seront de deux années, ce qui ne me convient pas. 
3. RGPD art.21 opposition : opposition à la présence de mes données dans la plateforme... je réviserai ma position après rapatriement des données chez un hébergeur sous-traitant non soumis à un autre droit que celui de l'UE. 

Le 22/12/2020 je reçois une longue réponse de la PDS m'indiquant en substance qu'ils ne savent pas où chercher mes données, dont ils sont pourtant responsables de traitement.

En l'état actuel de ma demande et de l'absence de réponse valable dans le délai imparti, je m'adresse à vous pour faire valoir mes droits auprès de la plateforme des données de santé, indiqués précédemment.

J'ai reçu l'avis de recevabilité par la CNIL le 25/01/2021.