“Heath Data Hub” : comment mieux “sécuriser” les données de santé lors de la Pandémie Covid19 ? Bénédicte BEVIERE-BOYER nous alerte sur les risques probants (Partie 2/2)

 


N°7, Novembre 2020


 

Article publié  par  Bénédicte BEVIERE-BOYER, Docteur en Droit, Maître de Conférences-HDR en Droit Privé au Centre de Recherches juridiques de l’Université de Paris 8 (Unité de Formation et de Recherche). [1].

Elle a codirigé, en collaboration avec Dorothée DIBIE et Astrid MARAIS, deux ouvrages publiés en juillet 2020 en Mai 2019, sur « La bioéthique en débat : quelle loi ? »  et “La bioéthique en débat : le début de la vie” issu des actes du cycle de conférences de l’année 2019 et 2018, à la Cour de cassation.    

Elle assure également la co-direction scientifique d’un cycle de conférences sur « Numérique, Droit et Société » de portée nationale et internationale à la Cour de cassation avec Dorothée DIBIE.

 

Relire la 1ère partie de cet article.

 

Afin d’appréhender tout l’impact de la Plateforme nationale de données de santé, appelée aussi « Heath Data Hub », sur les enjeux à l’égard des données de santé dans le cadre de la Pandémie Covid19, cette rétrospective a pour objet de présenter les étapes ayant mené à la récente ordonnance du Conseil d’État du 13 octobre 2020, qui fera l’objet de probables rebondissements ultérieurs.

Cette présentation est envisagée en deux temps.

Lors d’une première partie intitulée « Entre réactivité européenne et laisser aller français à l’égard de la protection des données de santé », a été exposée la mise en place précipitée de la Plateforme et le choix de recourir à Microsoft en raison de l’urgence de mener des recherches sur la pandémie Covid19. En est résulté plusieurs critiques suite à l’arrêt « Schrems II » de la Cour de justice de l’Union européenne du 16 juillet 2020 à propos du transfert des données. Une requête d’un collectif d’associations, de syndicats et de personnalités a mené à la décision du Conseil d’État du 21 septembre 2020 minimisant les contestations.

Cette seconde partie « Entre mises en gardes persistantes françaises et maintien de Microsoft comme prestataire de la plateforme nationale de données de santé», envisage la nouvelle requête engagée le 28 septembre 2020 par des associations, syndicats, personnalités confortés par les mises en garde de la CNIL, visant à la suspension de la Plateforme nationale des données de santé en raison du choix de Microsoft comme prestataire. L’ordonnance du Conseil d’État du 13 octobre 2020 confirme son maintien, ainsi que le contrat conclu avec Microsoft, tout en demandant au Heath Data Hub d’apporter des garanties complémentaires. Sont ensuite envisagées plusieurs alternatives susceptibles de remplacer Microsoft.

 

Partie II – Entre mises en gardes persistantes françaises et maintien de Microsoft comme prestataire de la plateforme nationale de données de santé

 

Entre le maintien d’un prestataire étatsunien et les conséquences potentielles de ce choix sur la protection des données de santé, mais aussi la nécessité absolue d’avoir à réagir au mieux dans la situation de la pandémie Covid19, le choix du Conseil d’État peut se justifier à court terme, « à situation exceptionnelle, réponse exceptionnelle ». A plus long terme, est posée la question de savoir comment pourront évoluer les stratégies des autorités nationales et européennes afin de pouvoir consolider la protection des données personnelles de santé ?

La requête du 28 septembre 2020 d’associations, syndicats et personnalités à l’égard du Heath Data Hub

Le 28 septembre 2020, une requête de dix-huit associations, syndicats et personnalités, reconnus dans le domaine du numérique en santé[2], fût enregistrée au secrétariat du contentieux du Conseil d’État. Ils demandèrent au juge des référés du Conseil d’État, « sur le fondement de l’article L.521-2 du code de justice administrative : 1°) à titre principal, d’ordonner la suspension de la centralisation et du traitement des données en lien avec l’épidémie de Covid-19 sur la Plateforme des données de santé, ainsi que toutes mesures nécessaires aux fins d’assurer l’absence d’atteinte grave et manifestement illégale au droit à la vie privée et à la protection des données personnelles, en lien avec le traitement et la centralisation des données de santé sur le Health Data Hub ; à titre subsidiaire, de solliciter la Commission Nationale de l’Informatique et des Libertés (CNIL), notamment aux fins de statuer sur les implications de l’invalidation du « Pricacy Shield » sur le traitement et la collecte des données au sein de la Plateforme des données de santé ». A cette occasion, ils invoquèrent « la portée de la mesure litigieuse permettant une collecte et une centralisation très larges de données particulièrement sensibles, ainsi que les réserves émises par la CNIL, risques mis en évidence par l’arrêt de la Cour de justice de l’Union européenne du 16 juillet 2020 ». Ils en conclurent à une « atteinte grave et  manifestement illégale au droit au respect de la vie privée et au droit à la protection des données personnelles, eu égard à la soumission au droit américain de la société choisie pour assurer la solution technique de la Plateforme nationale des données de santé, sans garanties suffisantes au regard des risques qu’emportent, d’une part, le transfert de données vers les États-Unis, mis en évidence par l’arrêt de la Cour de justice de l’Union européenne du 16 juillet 2020, et d’autre part, l’application extraterritoriale du droit américain ». Ces arguments eurent une écoute attentive de la CNIL.

La recommandation de la CNIL, du 8 octobre 2020 de changer la solution d’hébergement du Heath Data hub  dans un délai aussi bref que possible.

La Commission nationale de l’informatique et des libertés (CNIL), suite à la requête, a apporté différentes observations produites dans le cadre d’un mémoire « confidentiel »[3]. Cette absence de communication publique du document est regrettable puisqu’il a opportunément envisagé des explications à l’égard des risques potentiels axés sur les moyens des autorités étatsuniennes d’obtenir les données de santé et ce, malgré les garanties apportées par les responsables de la Plateforme nationale de données de santé qui se veulent « rassurantes ».

A propos de la pseudonymisation des données personnelles, la CNIL note que celle-ci « est souvent avancée comme une autre garantie permettant de limiter les détournements de données. Si cette mesure permet effectivement de limiter les risques, (…) elle ne permet pas d’éviter tout risque d’identification des personnes. En effet, les données détenues par la plateforme des données de santé sont des données de santé très détaillées et donc très fortement identifiantes. Elles le seront de plus en plus, à mesure que cette nouvelle infrastructure montera en puissance. Même si les noms et prénoms n’y figurent pas, il sera possible de réidentifier une part, probablement substantielles, des personnes en croisant les données de santé avec d’autres sources de données ».

Elle estime aussi que « même dans le cas où l’absence de transfert de données personnelles en dehors de l’Union européenne à des fins de fournitures de services, serait confirmé, la société Microsoft, peut être soumise, sur le fondement du Foreing Intelligence Surveillance Act (FISA), voire peut être de lExecutive Order 123333, à des injonctions des services de renseignements l’obligeant à leur transférer des données stockées et traitées sur le territoire de l’Union européenne ». Elle souligne par ailleurs « qu’il ne suffit pas que l’hébergeur ait son siège social hors des États-Unis pour ne pas être soumis en partie au droit étatsunien, s’il exerce une activité dans ce pays». Elle recommande aux autorités publiques « d’évaluer en urgence l’existence de fournisseurs alternatifs et leurs capacités, tant en qualité de stockage qu’en qualité de service, afin d’évaluer la durée nécessaire pour assurer cette transition la plus courte possible ». Elle en conclut « que le changement de la solution d’hébergement du Heath Data Hub et des autres entrepôts de santé hébergés par les sociétés soumises au droit étatsunien devrait intervenir dans un délai aussi bref que possible ».

Les développements de la CNIL mettent ainsi en exergue toute l’importance des risques potentiels affectant la sécurité des données de santé des citoyens, ce qui aurait dû amener le Conseil d’État à être particulièrement restrictif concernant le recours de la plateforme de santé à la société Microsoft. Il n’en est rien. La tactique a plus été que le gouvernement se mobilise en aval pour consolider les garanties en matière d’interdiction de transfert des données à caractère personnel hors de l’Union européenne. De son côté, le Conseil d’État, s’est cantonné à demander des garanties complémentaires, sans suspendre la plateforme nationale de santé pouvant continuer de recourir à la société Microsoft.

 

L’initiative du gouvernement du 9 octobre 2020 d’interdire tout transfert de données à caractère personnel hors l’Union européenne, avant même l’ordonnance du Conseil d’État

Alors même que le Conseil d’État n’avait pas encore rendu, ni publié son ordonnance, le 9 octobre 2020, un arrêté modifia l’arrêté du 10 juillet 2020 prescrivant les mesures générales nécessaires pour faire face à l’épidémie de covid-19 dans les territoires sortis de l’état d’urgence sanitaire et dans ceux où il a été prorogé[4], en imposant qu’« aucun transfert de données à caractère personnel ne peut être réalisé en dehors de l’Union européenne ». Cette réactivité du gouvernement, fût même anticipée par les déclarations du secrétaire d’État chargé de la transition numérique et des communications électroniques, ayant évoqué le choix possible d’un nouveau sous-traitant, ainsi que l’hébergement prochain des données dans un centre situé en France. Cette initiative gouvernementale préalable préfigura le contenu de l’ordonnance du Conseil d’État du 13 octobre 2020.

L’ordonnance du Conseil d’État du 13 octobre 2020, tout en reconnaissant l’existence de risques en matière de sécurité des données, met en demeure le Heath Data Hub de prévoir un nouvel avenant au contrat conclu avec Microsoft précisant la loi applicable

Le Conseil d’État, dans son ordonnance du 13 octobre 2020[5], après avoir émis nombre d’observations sur l’existence de risques en matière de sécurité des données de santé, tout en ne souhaitant pas suspendre le Heath data hub en raison de son utilité pour la gestion de la Covid-19, mentionna « qu’en l’état de l’instruction, il n’apparaît pas que des données à caractère personnel du système de santé puissent, à ce jour, faire l’objet de transferts en dehors de l’Union européenne en application du contrat conclu entre la Plateforme des données de santé et Microsoft ». Considérant néanmoins que l’avenant du 3 septembre 2020 manque de précisions, le Conseil d’État mit en demeure le Health Data Hub en ces termes : « La Plateforme des données de santé justifiera avoir conclu, dans un délai de quinze jours à compter de la notification de la présente décision, un nouvel avenant aux documents contractuels l’unissant à la société Microsoft Ireland Operations Limites pour préciser que la loi applicable, dont il est fait mention dans l’avenant du 3 septembre 2020, est celle du droit de l’Union ou du droit de l’État membre auquel la société est soumise, et que les modifications, que cet avenant apporte dans l’addendum sur la protection des données pour les services en ligne Microsoft, s’appliquent à l’ensemble des services fournis par Microsoft susceptibles d’être utilisés pour le traitement de données à caractère personnel du système de santé ».

Par cette décision, le Conseil d’État ne suspend ni le fonctionnement du Heath Data Hub, ni le contrat avec Microsoft. Toutefois, l’action du Collectif SantéNathon constitué d’associations, de syndicats et de particuliers, ainsi que les conclusions alarmistes de la CNIL, ont certainement eu pour effet d’inciter autant le gouvernement, que la Plateforme nationale de données de santé à rester vigilants sur le contenu et l’application du contrat conclu avec Microsoft, notamment en termes de contrôles concernant le stockage et la conservation des données devant être opérées sur le territoire national avec, dans le futur, des perspectives possibles de prestataires nationaux ou de l’Union européenne. Reste à savoir si les changements à venir se feront au final avec ou sans Microsoft et, dans le second cas, quelles seront les suites financières dans le cas de l’annulation du contrat conclu, d’autant que Microsoft affirme mettre toutes les mesures de sécurité pour être en conformité avec les nouvelles exigences contenues dans l’arrêt Schrems II du 16 juillet 2020.

Que deviendront les données de santé déjà en sa possession ? Quelles garanties pourront être apportées ?

La nécessité de redoubler de vigilance à l’égard des géants du numérique pour une mise en pratique des prescriptions envisagées lors de l’arrêt Schrems II

Quant au maintien du prestataire, il convient de redoubler de vigilance quant on sait que l’homologue irlandais de la CNIL, en septembre 2020, a engagé une nouvelle enquête sur les conditions de transfert des données personnelles des internautes européens vers les États-Unis. Il s’apprêtait à intimer au réseau social Facebook de cesser tout transfert, ce qui montre qu’en dépit de la portée médiatique de l’arrêt Schrems II du 16 juillet 2020, du chemin reste encore à faire pour les géants du numérique de mettre en pratique les prescriptions de la Cour de justice de l’Union européenne[6].

Au surplus se pose la question des sociétés hors communauté européenne ayant obtenu des certifications en tant qu’hébergeurs de données de santé[7]. Seront-elles black listées en France en raison de l’affirmation des autorités de privilégier les sociétés françaises ou européennes ? ou, au contraire, un réelle concurrence technique sera-t-elle encore à l’ordre du jour ? Les sociétés françaises pourront-elles se passer des services des entreprises américaines ?

De nouvelles perspectives pour une « Health Data Hub » avec un « cloud de confiance » souverain ?

Se pose aussi la question de savoir quelles seront les entreprises nationales ou européennes, susceptibles de répondre à l’avenir aux besoins de la Plateforme nationale des données de santé? La Société OVHCloud, se plaçant parmi les plus importants acteurs mondiaux de l’infrastructure cloud, est fréquemment mise en avant. De nouvelles tractations sont-elles déjà en cours ? Dès le 14 octobre 2020, soit le lendemain de la décision du Conseil d’État, une information de l’AFP a précisé que cette société obtiendra « avant la fin de l’année » son visa de sécurité par la qualification SecNumCloud attestant de sa fiabilité pour le stockage des données sensibles des entreprises et administrations françaises par l’Agence Nationale de la Sécurité des Systèmes d’Information (Anssi)[8].

La difficulté est que, le 9 novembre 2020, un partenariat stratégique a été annoncé entre OVHcloud et Google cloud[9], ce dernier mettant à disposition sa technologie Anthos[10], outil permettant «à des développeurs de transférer des applications déjà existantes dans le cloud, ou d’en créer directement de nouvelles »[11], l’enjeu étant la construction d’un cloud de confiance en Europe[12]. Bien qu’il soit affirmé que OVHcloud exploite cette technique sur sa propre infrastructure dédiée, exploitée en Europe exclusivement, avec des garanties apportées en termes de sécurité et de confidentialité des données, le doute subsiste sur la dépendance réelle de cette entreprise à l’égard de la technique utilisée par Google, ce qui remettrait alors en cause l’enjeu de la construction d’un cloud permettant d’offrir une souveraineté nationale ou européenne.

Cette annonce est pour le moins surprenante de la part d’OVHcloud, membre fondateur de Gaia X, qui se présentait jusqu’alors comme la solution permettant aux Etats européens de limiter les risques de dépendances aux plateformes des géants du numérique (Microsoft, Amazon, Google). Bien que le secrétaire d’État chargé de la transition numérique et des communications électroniques se félicite de ce partenariat en considérant que « cette offre va sans ambiguïté dans le bon sens, tant pour l’indépendance européenne, que pour le développement de nos champions nationaux », cette nouvelle orientation laisse perplexe, d’autant que le Comité de protection européen des données (CEPD) a exhorté, le 29 octobre, 2020 les institutions européennes de s’abstenir de programmer toute nouvelle activité impliquant le transfert de données personnelles vers les Etats-Unis[13] suite à l’arrêt de la Cour de justice de l’Union européenne Schrems II du 16 juillet 2020[14]. Ce rappel, très ferme, tient compte de la demande de la député européenne Alexandra Geese ayant exposé que les informations personnelles qu’elle avait saisies sur le site web de gestion de la Covid-19 du Parlement européen, géré par EcoCare, demandait l’autorisation de transférer les données personnelles des utilisateurs de la plateforme vers des sociétés tierces telles que Google et la plateforme Stripe, plateforme de services financiers américaine soutenant la société Palantir, spécialiste de l’analyse des données. Constatant que « le centre de test du Parlement européen utilise des morceaux de code qui permettent à Google de suivre les utilisateurs sur internet – et depuis les révélations du Snowden, nous savons que l’entreprise met ces données à la disposition des agences des renseignements américaines »[15], la député avait déposé une plainte auprès du CEPD.

D’autres alternatives à OVHcloud existent. Les sociétés Outscale, une filiale de Dassault Systèmes, et Oodrive détiennent déjà la certification française SecNumCloud et quatre autres ont aussi déposé une demande. Un appel d’offre en bon et due forme devra être envisagé pour ne pas reproduire la même erreur d’une précipitation du choix de la société Microsoft sans appel d’offre. L’option stratégique envisagée sera d’autant plus politique que le Ministre de l’économie et des finances a annoncé, dès 2019, la volonté du gouvernement de développer « un cloud de confiance » souverain, éventuellement avec l’Allemagne, puis étendu au niveau européen, susceptible d’accueillir des données des entreprises françaises et européennes. Il a justement demandé à Dassault Systèmes, maison mère d’Outscale et OVH de contribuer à sa mise en place[16]. Dans une perspective similaire, OVHcloud et l’allemand T-Systems, filiale de Deutsche Telekom se sont associés, en septembre 2020, pour développer, par un partenariat stratégique, un cloud européen pour les secteurs sensibles en rapport avec le projet Gaia-X[17]. Une telle démarche, si elle est réellement envisagée avec des moyens exclusivement européens, permettra de soutenir la  souveraineté nationale battue en brèche par les géants du numérique, les GAFAM (Google, Apple, Facebook, Amazon, Microsoft)[18] qui s’imposent de plus en plus en termes de souveraineté numérique, par tous les moyens, en investissant de manière importante dans le domaine de la santé, offrant des potentialités économiques particulièrement attractives.

Pourraient aussi être envisagées les solutions actuellement retenues par les établissements publics de santé. Les hôpitaux de Paris APHP, fortement mobilisés par la communauté du renseignement français[19], ont refusé la proposition de Palantir[20], entreprise américaine, soumise au Cloud Act concernant des outils numériques dans la gestion de la Covid-19, travaillant par ailleurs avec la NSA, le FBI et la CIA. Ils ont préféré créer leur propre plateforme Big Data qui pourrait apporter des solutions pertinentes à l’avenir pour la construction d’un cloud souverain dédiée aux données sensibles des données de santé[21]. Il est regrettable que cette option reste peu envisagée et pas développée.

Quel que soit le choix stratégique opéré, lors du contrat conclu avec l’entreprise choisie pour la gestion du Heath Data Hub, le contenu contractuel devra être préparé avec une extrême prudence concernant les conditions de sécurité des données, notamment le lieu du stockage, conditionnant la loi applicable, qui devra être sur le territoire national, ou a minima dans la communauté européenne.

Il en est de même des modalités de protection des données, d’autant que leur pseudonymisation pourra être aisément être levée dans un assez proche avenir par la combinaison des données et aussi par les puissances informatiques à venir telles que la 5G et l’ordinateur quantique.

 

Une première réaction officielle du gouverneur de New-York concernant les risques possibles liés à la protection des données des ressortissants américains à l’égard de la campagne de vaccination engagée dans le cadre de la pandémie Covid-19

La prudence est d’autant plus essentielle que la protection des données personnelles recueillies à l’occasion de la campagne de vaccination engagée dans le cadre de la pandémie Covid-19, sous contrôle des Centers for Disease Control and Prévention (CDC), pose des difficultés. Selon un article de Génétique dans le New-York Government, paru le 2 novembre 2020[22], il est fait état que le gouverneur de New-York, Andrew M. Cuona a demandé au Président des Etats-Unis, au directeur du CDC et au secrétaire du ministère américain de la santé et des services sociaux, différentes explications concernant la demande des services de l’administration fédérale, exigeant des Etats la fourniture de données sensibles telles que « le nom, l’adresse, la date de naissance, l’origine ethnique, la race et le sexe, ainsi qu’un numéro d’identification[23] unique pour chaque personne vaccinée ». Le gouverneur s’interroge sur « Pourquoi ces données sont nécessaires, à quoi elles serviront et comment elles seront sauvegardées ? ». Il revendique des garanties assurant « qu’aucune information personnelle identifiable ne sera utilisée à des fins non liées à la santé publique ou fournie à une agence de santé non publique telle que le ministère américain de la sécurité intérieure ou de l’immigration des douanes ». Il demande aussi que soient apportées des garanties sur le fait qu’aucune information personnelle « ne sera utilisée à des fins lucratives ou plus pernicieuses, ni ne sera laissée sans surveillance et sujette à un détournement ou à une cyber-attaque ». Cette réaction officielle sur la protection des données sensibles des ressortissants américains va dans le prolongement des critiques envisagées au niveau européen sur Clarifying Lawful Overseas Use of Data Act (Cloud-Act)[24], loi fédérale des Etats-Unis autorisant les forces de l’ordre et les agences de renseignements américains à rapatrier l’ensemble des données personnelles en possession des multinationales américaines sur le territoire américain. Si des premières réactions ont été apportées en Europe par la Cour de justice européenne à l’occasion des arrêts Schrems I[25] et II[26] destinées à éviter tout dérapage à l’encontre des données sensibles des ressortissants européens, d’autres devront les consolider en Europe. Dans un sens comparable, des actions protectrices des données sensibles aux Etats-Unis pourront se développer. Cette prise de conscience à l’égard particulièrement des données de santé recueillies lors de la pandémie Covid 19 appelle à une réactivité plus importante des autorités nationales, européennes, américaines et probablement même à terme internationales.

La nécessité d’une réactivité plus importante des autorités nationales à l’égard de la protection des données personnelles des citoyens confortée par une veille citoyenne

Alors même que cette première leçon du Heath Data hub montre que la protection des données de santé des ressortissants nationaux demeure encore incertaine, puisque paradoxalement les autorités nationales peinent à réagir ou le font a minima, se profilent de nouvelle failles à l’occasion d’un projet de décret relatif au « Système national des données de santé »[27], déjà fortement critiqué par la CNIL à l’occasion de sa délibération confidentielle du 29 octobre 2020[28] portant avis sur ce décret, informations rapportées en exclusivité par un article publié par NextInpact le 4 novembre 2020[29].

Le secteur de la santé est en effet fortement impacté par une intrusion forte des géants du numérique, générateurs d’un d’important lobbying, de conflits d’intérêts n’épargnant pas les responsables qu’ils soient politiques, administratifs ou autres. La protection de l’intérêt public général peut paradoxalement être amoindrie, détournée, occultée, de même que celle de chaque citoyen pour ses données. Ceci nécessite par conséquent un suivi et une réactivité importante de la communauté, comme cela a déjà été le cas du collectif d’associations, de syndicats et de personnalités fortement mobilisé sur la protection des données de santé. Ce contrepouvoir, par une veille citoyenne active, est essentiel et devient de plus en plus indispensable. Il pourrait même s’élargir à l’avenir à d’autres domaines.

 

En effet, pour l’Education nationale et l’Enseignement supérieur, l’État français a lancé un appel d’offres à hauteur de 8,3 millions d’euros pour équiper les services. De nouveau Microsoft a été appelé à intervenir. Ce choix est critiquable comme l’a déjà exprimé le Conseil national du logiciel libre. Il ne faudrait pas, qu’en plus de leurs données personnelles de santé, les citoyens français voient leurs données personnelles scolaires et universitaires à la merci des géants du numérique, les GAFAM qui, d’une manière ou d’une autre, trouveront le moyen de les exploiter à leur profit. Les résultats, les commentaires sur les élèves, les étudiants restent des données personnelles sensibles qui pourraient avoir des conséquences majeures sur leur avenir auprès notamment de leurs futurs employeurs, mais aussi des banques et des assurances.

Données de santé, données de réseaux sociaux, données scolaires, données universitaires, la toile numérique ne saurait opprimer et briser la liberté des citoyens par une plus grande connaissance de ce qu’ils sont et font! Plus que jamais, « prendre garde », s’avère indispensable. Attentions, réactions, revendications, précautions, actions constituent les mesures élémentaires indispensables pour assurer a minima la sécurité des citoyens français concernant leurs données personnelles sensibles, qu’elles soient de santé et de toute autre nature.

 


Pour aller plus loin : 

[1] benedictebeviere@hotmail.com

[2] L’association le Conseil national du Logiciel Libre (CNLL), l’association Ploss Rhônes-Alpes, Association SoLibre, Société Nexedi, l’association Interhop, les hôpitaux français pour l’interopérabilité et le partage libre des algorithmes, Mme B… I…, M.C…, le syndicat national des journalistes (SNJ), le syndicat de la médecine générale (SMG), l’union française pour une médecine libre (UFML), M.H… J…, M.D.. G.., l’union générale des ingénieurs, cadres, techniciens CGT (UGICT-CGT), l’union fédérale médecins, ingénieurs, cadres, techniciens CGT santé et action sociale (UFIMCT-CGT santé et action sociale), Mme L..K.., M. E… F…, l’association Constances, l’association les Actupiennes et l’association française des hémophiles (AFH).

[3] Il est possible toutefois d’y accéder à partir d’un lien sur le site de SantéNathon ; voir aussi l’article de Mediapart, « La Cnil demande l’arrêt du stockage de nos données de santé par Microsoft », 9 octobre 2020 

[4] JORF n°0247 du 10 octobre 2020, Texte n°28.

[5] CE, n°444347 Association le Conseil national du logiciel libre et autres, communiqué de presse, « Heath Data Hub et protection de données personnelles : des précautions doivent être prises dans l’attente d’une solution pérenne », 14 octobre 2020.

[6] S. Schechner, E. Glazer, « L’Irlande ordonne à Facebook de cesser d’envoyer des données utilisateur aux États-Unis », The Wall Street Journal, 9 sept 2020,  ; J. Lausson, « Facebook pourrait être forcé d’arrêter le transfert des données des européens aux USA », Numerama, 10 sept 2020.

[7] Liste des hébergeurs certifiés. Pour plus de précisions sur les certifications : P. Richard, « Des données de santé chez Microsoft : un hébergement sous haute tension », Techniques de l’ingérieur, 6 octobre 2020, 

[8]AFP, « OVHcloud obtiendra son Visa de sécurité par l’Anssi « avant la fin de l’année », FrenchW, 14 octobre 2020, 

[9] Communiqué de presse sur le site de OVHcloud du 9 nov 2020, « OVHcloud et GoogleCloud annoncent un partenariat stratégique pour co-construire une solution de confiance en Europe », « OVHcloud annonce avoir conclu un partenariat stratégique avec Google Cloud pour accélérer la capacité des organisations françaises et européennes à mener leur transformation numérique de leurs activités. Ce partenariat vise à apporter aux organisations européennes des technologies de pointe, reposant sur une infrastructure de confiance, pour répondre à leurs besoins croissants en matière de contrôle strict de leurs données, de sécurité, de transparence et de confidentialité, tout en déployant des applications directement créées dans le cloud. OVHcloud proposera une nouvelle offre Hosted Private Cloud alliant la technologie Anthos de Google Cloud, compatible avec les technologies Open source, depuis sa propre infrastructure dédiée, hyper évolutive qui sera entièrement exploitée et gérée en Europe, par les équipes OVHcloud ».  

[10] https://cloud.google.com/anthos

[11] « OVHcloud s’allie à Google en promettant aux européens le contrôle des données », Maddyness, avec AFP, 10 nov 2020,

[12] « OVH s’associe à Google afin de co-construire un Cloud de confiance en Europe », La Revue du Digital, Brèves, 10 nov 2020

[13] https://edps.europa.eu/sites/edp/files/publication/2020-10-29_edps_strategy_schremsii_en_0.pdf

[14] Cette consigne est rapportée dans l’article de S. Stolton, « La surveillance des données de l’UE encourage fortement les institutions à éviter les transferts de données aux Etats-Unis », Euractiv.com, 29 oct 2020, 

[15] S. Stolton, « Le site web Covid du Parlement européen est envahi par les trackers web américains, le député européen soulève des inquiétudes sur les données », Euractiv.com, 28 octobre et mise à jour le octobre 2020,  

[16] Euronews, « La France recrute Dassault Systems, OVH pour une alternative aux firmes cloud américaines », 9 décembre 2019,; D. Filippone, « OVH-Outscale : le cloud souverain vraiment ressuscité », 4 octobre 2019, 

[17] A. Vitard, « Dans le cadre de Gaia-X, OVHcloud et T-Systems s’allient pour fournir un cloud européen », l’Usine digitale, 14 septembre 2020, 

[18] Par exemple, voir le communiqué de presse du Forum Athena, « Pour une souveraineté européenne de la santé », 

[19] A Laidi, « Covid 19 : les espions sortent de l’ombre pour lutter contre la pandémie », France24, 24 avril 2020, 

[20] E. Trujillo, « Données de santé : l’AP-HP écarte la proposition de Palantir », BFM Business, 17 avril 2020, 

[21] AP-HP, « La plateforme Big-Data de l’AP-HP constitue la brique technique principale de l’Entrepôt des données de santé », Présentation détaillée de la plateforme, 

[22] Informations exposées dans : « Vaccination contre la Covid-19 : quelle utilisation des données personnelles ? », Génétique, 3 nov 2020, 

[23] Ce peut être le numéro de la sécurité, de passeport ou de permis de conduire.

[24] Liens d’accès : https://epic.org/privacy/cloud-act/cloud-act-text.pdf ; https://epic.org/privacy/cloud-act/ ; https://www.congress.gov/bill/115th-congress/house-bill/4943/related-bills

[25] CJUE, 6 octobre 2015, aff. C-362/14, 

[26] CJUE, Grande Chambre, 16 juillet 2020, Data Protection Commissioner c/ Facebook Ireland Ltd, Maximillian Schrems, affaire C‑311/18,

[27] Projet de décret non publié

[28] Projet de délibération portant avis non publiée.

[29] M. Rees, « heath Data Hub, le sombre diagnostic du docteur CNIL », Next Inpact, 4 nov 2020,  Dans cet article figurent les deux liens renvoyant au projet de décret et à la délibération de la CNIL.

 

Nous remercions vivement le  Bénédicte BEVIERE-BOYER Docteure en Droit, Maître de Conférences-HDR en Droit Privé à l’UFR de l’Université de Paris 8 , co-directrice scientifique du Cycle « Numérique, Droit et Société » à la Cour de Cassation, de portée nationale et internationale, organisatrice de colloques sur des thématiques d’actualité en rapport avec le Droit de la Santé  en collaboration avec les Universités chinoises et québécoises, pour partager son expertise professionnelle pour nos fidèles lecteurs de http://www.managersante.com

Biographie de Bénédicte BEVIERE-BOYER, :
Bénédicte BEVIERE-BOYER est Maître de conférences-HDR en droit privé à l’Université de Paris 8 et rattachée au Centre de recherches juridiques de Paris 8. Ses travaux de recherches portent principalement sur le droit de la bioéthique, l’éthique et le numérique. Elle a écrit plus de 60 articles et 70 chroniques d’actualités sur la recherche, l’innovation, le numérique, les données de santé, la relation de soins, les principes fondamentaux protecteurs de la personne, la vulnérabilité, les dons d’organes, l’AMP et le DPI, la recherche sur l’embryon, le diagnostic préimplantatoire, la médecine personnalisée, l’IA et les systèmes de santé, le principe de garantie humaine, etc.
Elle a pour prédilection les recherches pluri et inter-disciplinaires. Elle organise régulièrement des colloques sur des thématiques d’actualité en rapport avec le droit de la santé, le numérique, la personne (Médecine personnalisée, Big Data, Humain en transformation – transhumanisme, Vieillissement, souveraineté numérique, responsabilité numérique), en collaboration avec des Universités chinoises et québécoises. Elle organise actuellement un cycle de conférences à la Cour de cassation sur « Numérique, Droit et société » 2020-2022.
Elle dirige le M1 Droit de la santé. Ses cours sont axés sur le droit de la santé: droits des patients, droit de la recherche et droit du numérique. Elle enseigne aussi l’éthique dans le domaine des assurances, ainsi que la méthodologie du mémoire. Elle a enseigné dans les différentes années du cursus universitaire français (LMD) essentiellement en droit privé général et en droit des affaires.

Vient de paraître : 

 

2020 Dossier sur « Le transhumanisme » en co-direction avec Isabelle Moine, Cahiers, Droit, Sciences et Technologies, Novembre 2020,

2020 «L’appréhension contemporaine du corps humain France-Chine », Actes du colloque, sous la direction de Bénédicte Bévière-Boyer, Les Etudes Hospitalières, Collection Actes et séminaires.

 

A paraître en Décembre 2020 :

2020 « Vieillissement et droit – Perspectives internationales France – Chine – Canada – Suisse », sous la direction de Bénédicte Bévière-Boyer, Bérengère Legros et Xin Chen, Les Etudes Hospitalières.

2020 « Vieillissement et santé », sous la direction de Xin Chen, Bénédicte Bévière-Boyer, Bérengère Legros, Chine, Shanghai.

 


OUVRAGE DEJA PUBLIE EN 2020

 co-écrit & co-dirigé par Bénédicte BEVIERE-BOYER

En exclusivité sur ManagerSante.com, nous avons le plaisir de vous informer de la publication  de l’ouvrage du cycle de conférences de Droit et Bioéthique 2019 


Résumé de l’ouvrage : 
La bioéthique s’intéresse aux questions éthiques soulevées par les progrès techno-scientifiques. La loi a vocation à encadrer ces progrès afin de s’assurer que la science reste au service de la personne et non l’inverse.
C’est dans cette optique qu’ont été adoptées les différentes lois bioéthiques en 1994. Parce que la médecine est en constante évolution, ces lois font l’objet d’un réexamen régulier.
La prochaine révision sera sans doute l’occasion de combler les lacunes ou imperfections de la loi auxquelles le juge est régulièrement confronté. Les progrès de la médecine concernent tous les stades de la vie de la personne.
Ses incidences juridiques peuvent être mesurées de la conception à la mort de la personne.
Cet ouvrage est issu des actes du cycle de conférences de l’année 2019, à la Cour de cassation.

AUTRE OUVRAGE PUBLIE EN 2019

 co-écrit  avec Bénédicte BEVIERE-BOYER

En exclusivité sur ManagerSante.com, nous avons le plaisir de vous informer de la publication  de l’ouvrage du cycle de conférences de Droit et Bioéthique 2018 

006481062


Résumé de l’ouvrage : 
La bioéthique s’intéresse aux questions éthiques soulevées par les progrès techno-scientifiques. La loi a vocation à encadrer ces progrès afin de s’assurer que la science reste au service de la personne et non l’inverse.
C’est dans cette optique qu’ont été adoptées les différentes lois bioéthiques en 1994. Parce que la médecine est en constante évolution, ces lois font l’objet d’un réexamen régulier.
La prochaine révision sera sans doute l’occasion de combler les lacunes ou imperfections de la loi auxquelles le juge est régulièrement confronté. Les progrès de la médecine concernent tous les stades de la vie de la personne.
Ses incidences juridiques peuvent être mesurées de la conception à la mort de la personne.
Cet ouvrage est issu des actes du cycle de conférences de l’année 2018, à la Cour de cassation.

Cycle Numérique, droit et société – 2020-2021

avec Bénédicte BEVIERE-BOYER

Grand’chambre de la Cour de Cassation 
5 quai de l’Horloge
75001 Paris
Entrée libre
Télécopie : 01 44 32 78 28
http://www.courdecassation.fr

 

TÉLÉCHARGEMENT

DU PROGRAMME 2020/2021

CALENDRIER 2020/21 : en ligne 

INSCRIPTION GRATUITE

OBLIGATOIRE 

Présentation du Cycle : 

“Si le droit, et notamment celui de la responsabilité, a réussi à s’adapter à plusieurs reprises au cours de son histoire aux progrès, il est aujourd’hui confronté à la rapidité de développement des technologies numériques.

Maintenant, l’heure est à l’avènement de l’intelligence artificielle par le biais des objets connectés et du traitement massif de données (les mégadonnées ou « big data » en anglais). Ces nouvelles applications posent évidemment de multiples questions nouvelles (responsabilité, protection des données et de la vie privée, utilisation dans les relations contractuelles…). Reste à déterminer si les premières règles dégagées par la jurisprudence à propos de l’internet seront appliquées à ces nouvelles hypothèses ou si le juge devra à nouveau faire œuvre de création. Cela d’autant que le législateur est assez peu enclin à légiférer en la matière afin de ne pas freiner, par un régime trop strict, le développement des acteurs économiques intervenant dans le domaine du numérique.

Le nombre d’affaires dont la Cour de cassation aura à connaître au cours des prochaines années invite à la réflexion, afin de mieux saisir les dimensions techniques de ces nouvelles technologies et dans l’objectif d’anticiper, par une étude des solutions actuellement dégagées, sur les éventuelles questions qui pourront se poser lors de l’examen des pourvois à venir.

 


Prochaines manifestations de la Cour de cassation du cycle de conférences

« Numérique, droit et société »

 

 


DÉCOUVREZ NOTRE NOUVELLE CHAÎNE YOUTUBE

youtube.com/c/ManagerSante

 

Prochain webinar, en accès libre, Mardi 20 Octobre 2020 à 18 heures

 


Et suivez l’actualité sur ManagerSante.com, 

GIF grand format 08 08 2020

Vous aimez notre Site média ?

Cliquez sur les étoiles et votez :

five-stars

FESTIVAL DE LA COMMUNICATION SANTE Visuel ManagerSante MAJ 01 08 2019 Version 5

 

Laisser un commentaire

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.