Passer au contenu

Nos données de santé sont-elles en danger ? Notre nouvelle émission Clic Droit décrypte l’EHDS

Jeudi 7 mars a eu lieu à Bruxelles une ultime négociation sur le règlement sur l’espace européen des données de santé, un texte qui reviendrait, selon certains, à mettre sur un plateau d’argent nos données de santé aux géants du cloud américains. Cette vision des choses est-elle justifiée ? Réponse en vidéo dans Clic Droit, le RDV mensuel de décryptage des enjeux du numérique de 01net.com.

Une petite révolution pour nos données de santé ? Jeudi 7 mars avait lieu à Bruxelles un ultime trilogue, une négociation entre Parlement européen, la Commission européenne et les États membres sur un texte peu connu du grand public, mais dont les implications sur nos données de santé sont importantes : le règlement sur l’espace européen de données de santé (« EHDS », pour « European Health Data Space » en anglais). Et si la discussion s’est prolongée jusque tard dans la nuit, elle n’a pas permis d’aboutir à un compromis sur ce texte, proposé en mai 2022 par la Commission européenne. Les négociateurs ont encore et toujours buté sur le même point : « l’opt-out », la possibilité donnée aux résidents européens de refuser que leurs données de santé soient traitées dans la future plateforme européenne dédiée à la santé.

Ce projet de règlement européen inclut en effet une petite révolution pour nos données de santé. Il permettrait de donner accès à certaines de ces data aux autorités, aux centres de recherches et aux industries du médicament… Sous certaines conditions, jugées bien trop liberticides pour certaines associations de défense des droits numériques ou des consommateurs. Pour ces dernières, l’Europe va, avec le règlement sur l’EHDS, littéralement accélérer la mainmise des géants du cloud américains sur nos données de santé. Cette vision des choses est-elle justifiée ?

À quoi va servir ce nouveau règlement ?

Le futur règlement, qui « vise à accroître la collecte, la circulation, le traitement et l’utilisation des données de santé dans l’UE », a deux objectifs. D’un côté, il permettra la mise en place de dossiers médicaux numériques communs aux 27 – avec, pour les patients, davantage d’accès à leurs données de santé et pour les professionnels, un accès aux informations médicales des Européens.

De l’autre, il créera une plateforme commune, permettant la collecte, la circulation et l’utilisation de ces données partout dans l’UE, à des fins de recherche, d’innovation et d’élaboration des politiques publiques (à l’image du Health Data Hub, la plateforme de données de santé des Français, dans l’Hexagone).

À lire aussi : Health Data Hub : tout comprendre à la polémique sur la plateforme de données de santé des Français

Avec cette infrastructure, on pourrait recouper et analyser avec des outils d’IA des millions de data afin d’améliorer la recherche et la santé publique, expliquait la Commission européenne. Des garde-fous sont prévus : les données de santé communiquées devront être anonymisées, ou pseudonymisées. Toute requête devra passer par une procédure. L’entité qui en fait la demande ne pourra accéder aux données que dans un « environnement de traitement sécurisé ».

Pourquoi inquiète-t-il autant les associations ?

Depuis sa publication, le projet de règlement a suscité une véritable levée de boucliers de la part des associations de défense des droits numériques (comme l’EDRi) et des consommateurs (comme le Bureau européen des unions de consommateurs ou BEUC).

Ce qui les inquiète particulièrement, c’est que pour la première fois, la Commission européenne a décidé de se passer du consentement des patients, dans certains cas. Jusqu’à présent, si un centre de recherche ou une entreprise du médicament souhaitait avoir accès à des données de santé, il fallait en général passer par de très longues procédures, nécessitant dans la majorité des cas l’autorisation des patients. Les données de santé sont en effet des données personnelles, protégées par le RGPD, le Règlement européen sur les données personnelles.

En France, pour accéder aux données de la plateforme des données de santé des Français, le Health Data Hub, il faudrait par exemple « entre sept à huit mois » aux équipes de recherches pour accéder à ces data. Des procédures jugées « obsolètes », pendant lesquelles « les start-up ont le temps de faire faillite », regrettait le mathématicien Cédric Villani l’été dernier, chez nos confrères de TrenchTech. 

À lire aussi : Health Data Hub : le cloud français est passé sur le grill… pour mieux faire gagner Microsoft ?

To opt or not to opt out

Pour raccourcir ces délais, la Commission européenne a alors eu l’idée de court-circuiter le système, en supprimant l’étape du recueil de consentement. Dans le futur espace européen des données, les chercheurs et industriels n’auraient plus à obtenir l’autorisation des patients. En d’autres termes, les Européens n’auraient plus la possibilité de s’opposer à ce que leurs données de santé soient réutilisées et accessibles à certains tiers (administrations, chercheurs et industriels).

Un non-sens pour les associations, qui réclament au minimum la mise en place d’un système « d’opt out », une position aussi défendue par les Eurodéputés. Par défaut, les données seraient accessibles, sauf si le patient s’y oppose. De leur côté, les représentants des 27 pays de l’UE défendent une autre idée : le fait de laisser chaque État décider si leurs ressortissants bénéficient de cette possibilité d’opt out. Pour l’instant, aucun accord n’a été trouvé sur ce point.

La mainmise des clouders américains ?

Certaines ONG sont même allées plus loin dans la critique de l’EHDS, en expliquant qu’avec un tel texte, on se dirigeait tout droit vers une mainmise des géants du cloud comme Amazon, Google et Microsoft, sur les données de santé des Européens. Il n’existe en effet aujourd’hui aucune plateforme qui centraliserait à ce point les données de santé, à l’exception du HDH en France, qui fonctionne aujourd’hui au ralenti. Or dans l’univers du cloud, l’informatique en nuage, et de l’IA, ces données sont absolument essentielles. La mise en place d’une plateforme centralisée au niveau européen, où les données seraient rapidement accessibles – sans avoir à demander à chaque fois le consentement des patients – aiguise forcément les appétits des géants américains.

Et c’est bien ce qui inquiète ces 17 associations et syndicats, signataires d’un communiqué le 27 février dernier. Avec ce texte, écrivent-elles, « l’Europe déroule le tapis rouge à Amazon, Google et Microsoft, qui pourraient utiliser les données de santé des citoyens européens pour étendre leur monopole au secteur de la santé ». Faut-il alors imposer un fournisseur de cloud européen, au nom de la souveraineté numérique ? Faut-il ouvrir la porte aux géants américains, comme on l’a fait en France avec Microsoft pour le HDH, et le projet d’entrepôt de données « EMC2 » ? La réponse à cette question, éminemment politique, dépend d’une autre négociation, qui a aussi lieu en ce moment à Bruxelles : celle qui entoure le référentiel EUCS, l’équivalent européen du SecNumCloud français – un ensemble de normes à respecter en termes de cybersécurité et de souveraineté pour les données particulièrement sensibles, comme les données de santé. Il pourrait en effet reprendre l’exigence d’immunité aux lois extraterritoriales étrangères (américaines) du SecNumCloud 3.2.

À lire aussi : Notre souveraineté numérique en danger avec la loi sur le renseignement US, selon ce député

Quelles sont les prochaines étapes ?

Pour l’instant, chaque partie avance ses pions, et rien est gravé dans le marbre : tant qu’il n’y aura aucun accord sur l’opt out, les négociations ne devraient pas avancer. Mais le calendrier des réunions devrait s’accélérer, l’objectif étant pour les colégislateurs de trouver un consensus sur l’EHDS avant la fin de leur mandat, c’est-à-dire avant le début de l’été : un défi logistique qui pourrait être difficilement réalisable. Les discussions devraient reprendre dès la semaine prochaine.

🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.


Votre opinion
  1. Je suppose que les données de santé des citoyens européens que sont Emmanuel, Olaf, Ursula, … et quelques militaires au passage, ne figurent pas sur cette plateforme. Mais qu’en est-il du (de la) futur(e) président(e) français(e) qui vient de naître ?
    Si ces citoyens européens ne sont pas dans la plateforme européenne des données de santé, il serait normal que les citoyens européens n’y figurent pas, par défaut.

Les commentaires sont fermés.