Du secret médical à la mise à disposition des données de santé - le Health data hub

V. par ex. Piquard A. et Untersinger M., « Données de santé : la plateforme de la discorde », Le Monde, 3 déc. 2019 ; Richard P., « Données de santé : la plateforme lancée », Ouest France, 3 déc. 2019.

Expression utilisée par Mme la ministre A. Buzyn pour annoncer la création d’un « Health data hub », communiqué de presse, Paris, 12 oct. 2018.

Article 1er de l’arrêté du 29 novembre 2019 portant approbation d’un avenant à la convention constitutive du groupement d’intérêt public « Institut national des données de santé » portant création du groupement d’intérêt public « Plateforme des données de santé », JO n° 0278, 30 nov. 2019, texte n° 13.

L. n° 2019-774, 24 juill. 2019, relative à l’organisation et à la transformation du système de santé, art. 41 : JO n° 0172, 26 juill. 2019, texte n° 3 ; et arrêté du 29 novembre 2019 portant approbation d’un avenant à la convention constitutive du groupement d’intérêt public « Institut national des données de santé » portant création du groupement d’intérêt public « Plateforme des données de santé », JO n° 0278, 30 nov. 2019, texte n° 13.

Ministère des Solidarités et de la Santé, « Le Health data hub est officiellement créé », Communiqué de presse, 2 déc. 2019, repris sur la page d’accueil du Health data hub : www.health-data-hub.fr.

. www.health-data-hub.fr.

Lequel regroupe des données issues des sources, nombreuses, visées à l’article L 1461-1 du Code de la santé publique. Outre les grands fichiers médicaux déjà réunis dans le SNDS ancienne version (le SNIIRAM, le PMSI, la BCMD, les données médico-sociales des maisons départementales des personnes handicapées et l’échantillon représentatif des données de remboursement par bénéficiaires transmis par les mutuelles), le HDH doit désormais être alimenté par l’ensemble des données cliniques recueillies par les professionnels de santé dans le cadre de leurs activités et liées aux actes ou prestations remboursés par la Sécurité sociale.

Les enjeux économiques de la plateforme ont d’ailleurs été mis en avant à l’occasion d’un pantouflage : Foucart S. et Horel S., « Données de santé : conflit d’intérêts au cœur de la nouvelle plateforme », Le Monde, 26 déc. 2019.

Délibération n° 2019-008 du 31 janvier 2019 portant avis sur un projet de loi relatif à l’organisation et à la transformation du système de santé (demande d’avis n° 19001144).

V. par ex., la proposition de résolution tendant à la création d’une commission d’enquête sur la protection des données de santé, texte n° 576 (2019/2020) de Mme Nathalie Goulet, déposé au Sénat le 26 juin 2020 ; « Non à l’exploitation de données de santé sur une plateforme de Microsoft ! », Le Monde, 11 déc. 2019. Ce choix a été formalisé par un contrat de sous-traitance signé le 15 avril 2020 entre la plateforme de données de santé et la société de droit irlandais Microsoft Ireland Operations Limited, filiale de la société américaine Microsoft Corporation. Ce contrat accorde à la plateforme un accès à un ensemble de produits « Microsoft Azure », comprenant en particulier l’hébergement des données de santé et la concession de licences de logiciels nécessaires au traitement de ces données. CE, 10 oct. 2020, n° 444937, pt 10.

Délibération n° 2020-044 du 20 avril 2020 portant avis sur un projet d’arrêté complétant l’arrêté du 23 mars 2020 prescrivant les mesures d’organisation et de fonctionnement du système de santé nécessaires pour faire face à l’épidémie de Covid-19 dans le cadre de l’état d’urgence sanitaire (demande d’avis n° 20006669).

Article 10-7 de l’arrêté du 23 mars 2020, créé par l’article 1er de l’arrêt du 21 avril 2020 précités ; Pitcho B., « Vers un secret médical transparent », Club des

juristes, 29 juin 2020, https://lext.so/auMyJ0.

CE, réf., 19 juin 2020, n° 440916.

CE, réf, 19 juin 2020, n° 440916 ; Costes L., « Validation par le Conseil d’État du Health data hub », RLDI 2020, n° 172, p. 34-35 ; Martial-Braz N., « Nos données de santé en danger… quand l’arbre de la crise sanitaire cache la forêt de la perte de souveraineté ! », Club des juristes, 22 juin 2020, https://lext.so/WAukJj.

Considérant 15 – « Seules pourront être hébergées par la plateforme les données nécessaires à la conduite de ces projets, lesquelles ne pourront être traitées que pour la durée de l’état d’urgence sanitaire et devront être détruites si, au terme de celui-ci, la poursuite des traitements n’a plus de base légale ».

Considérants 17 et s. Le dispositif règlementaire prévoyait une conservation de 6 mois des données collectées à compter de la fin de l’état d’urgence.

Le bouclier de protection des données personnelles (BPD), aussi appelé Privacy shield, désigne un mécanisme d’auto-certification organisé par la décision d’exécution (UE) n° 2016/1250 de la Commission, du 12 juillet 2016, conformément à la directive n° 95/46/CE du Parlement européen et du Conseil relative à l’adéquation de la protection assurée par le bouclier de protection des données UE-États-Unis. Cette auto-certification permet aux entreprises américaines d’être considérées comme assurant un niveau de protection adéquat au regard du droit de l’Union européenne pour procéder valablement à des transferts de données personnelles vers les États-Unis. Comme le relève la CJUE dans son arrêt du 16 juillet 2020 au point 156, « la décision BPD avait donc un caractère contraignant pour les autorités de contrôle en ce qu’elle constatait que les États-Unis garantissent un niveau de protection adéquat et, partant, avait pour effet d’autoriser des transferts de données à caractère personnel effectués dans le cadre du bouclier de protection des données Union européenne – États-Unis ».

Article 4 du RGPD : « le traitement de données à caractère personnel de telle façon que celles-ci ne puissent plus être attribuées à une personne concernée précise sans avoir recours à des informations supplémentaires, pour autant que ces informations supplémentaires soient conservées séparément et soumises à des mesures techniques et organisationnelles afin de garantir que les données à caractère personnel ne sont pas attribuées à une personne physique identifiée ou indentifiable ».

Arrêté du 10 juillet 2020 prescrivant les mesures générales nécessaires pour faire face à l’épidémie de Covid-19 dans les territoires sortis de l’état d’urgence sanitaire et dans ceux où il a été prorogé, JO n° 0170, 11 juill. 2020.

CJUE, 16 juill. 2020, n° C-311/18, Facebook Ireland Ltd c/Maximillian Schrems ; Berlin D., « David 2, Goliath 0 », JCP G 2020, 1427, spéc. n° 30-35 ; Daoud E., « Conformité au droit de l’Union européenne des clauses contractuelles types et invalidation du “Privacy Shield” », 16 juill. 2020, La veille Permanente, www.editions-legislatives.fr ; Jault-Seseke F., « Quel avenir pour le transfert international des données personnelles après le nouvel arrêt Schrems ? », 24 juill. 2020, 24 juill. 2020, https://lext.so/WcY6rZ ; Christakis T., « After Schrems II : Uncertainties on the Legal Basis for Data Transfers and Constitutional Implications for Europe », 21 juill. 2020, https://lextso/hNAspM.

Les clauses contractuelles types sont des modèles de contrats de transfert de données personnelles adoptés par la Commission européenne (décision n° 2010/87/UE de la Commission, du 5 février 2010, relative aux clauses contractuelles types pour le transfert de données à caractère personnel vers des sous-traitants établis dans des pays tiers en vertu de la directive n° 95/46/CE du Parlement européen et du Conseil, telle que modifiée par la décision d’exécution (UE) n° 2016/2297 de la Commission, du 16 décembre 2016) et permettant schématiquement à un responsable de traitement de procéder valablement à un transfert de données vers un pays ne présentant pas un niveau adéquat de protection grâce à son engagement personnel à assurer un tel niveau de protection.

PE et cons. UE, règl. n° 2016/679, 27 avr. 2016, relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive n° 95/46/CE (règlement général sur la protection des données).

CE, 21 sept. 2020, n° 444514 ; Le Monde AFP, « Données de santé : le Conseil d’État rejette un nouveau recours contre le Health data hub », 22 sept. 2020 ; Le Figaro AFP, « Le mégafichier des données de santé françaises fait débat à l’Assurance maladie », 24 sept. 2020.

CNIL, Mémoire en observation, 8 oct. 2020, disponible sur https://cnll.fr/news/health-data-hub-memoire-cnil-rgpd/, p. 6 ; Hourdeaux J., « La CNIL demande l’arrêt du stockage de nos données de santé par Microsoft », Mediapart, 9 oct. 2020.

CNIL, Mémoire en observation, 8 oct. 2020, disponible sur https://cnll.fr/news/health-data-hub-memoire-cnil-rgpd/, p. 7 et s., en particulier p. 9 et 10.

Arrêté du 9 octobre 2020 modifiant l’arrêté du 10 juillet 2020 prescrivant les mesures générales nécessaires pour faire face à l’épidémie de Covid-19 dans les territoires sortis de l’état d’urgence sanitaire et dans ceux où il a été prorogé : JO n° 0247, 10 oct. 2020.

CE, réf., 13 oct. 2020, n° 444937, pt 14 ; Untersinger M., « Données de santé : la plate-forme Health data hub survit à nouveau au Conseil d’État », Le Monde, 14 oct. 2020.

Sur ce triple fondement du secret médical, v. par ex. Verspieren P., « Le secret médical et ses fondements », Revue Laennec 2007/1, p. 6-11 ; Couturier M., « Que reste-t-il du secret médical ? », in Py B. et a. (coord.), in Mélanges en l’honneur de Gérard Mémeteau. Droit médical et éthique médicale : regards contemporains, 2015, LEH Éditions, vol. I, p. 351-360, spéc. p. 353-354.

Garçon E., Code pénal annoté, t. 1, 1re éd., 1901-1906, Sirey, sous art. 378, n° 7.

Serment d’Hippocrate, dans sa version officielle depuis 2012, disponible sur le site du Conseil national de l’ordre des médecins : https://www.conseil-national.medecin.fr/medecin/devoirs-droits/serment-dhippocrate.

CSP, art. R. 4127-4.

Couturier M., « Que reste-t-il du secret médical ? », in Py B. et a. (coord.), in Mélanges en l’honneur de Gérard Mémeteau. Droit médical et éthique médicale : regards contemporains, 2015, LEH Editions, vol. I, p. 358, qui s’interroge en conséquence sur l’opportunité de réfléchir en termes de secret des informations de santé plutôt que de secret médical.

Version en vigueur de 2002 à 2004 : « Deux ou plusieurs professionnels de santé peuvent toutefois, sauf opposition de la personne dûment avertie, échanger des informations relatives à une même personne prise en charge, afin d’assurer la continuité des soins ou de déterminer la meilleure prise en charge sanitaire possible. Lorsque la personne est prise en charge par une équipe de soins dans un établissement de santé, les informations la concernant sont réputées confiées par le malade à l’ensemble de l’équipe. » Version en vigueur actuellement : « II.- Un professionnel peut échanger avec un ou plusieurs professionnels identifiés des informations relatives à une même personne prise en charge, à condition qu’ils participent tous à sa prise en charge et que ces informations soient strictement nécessaires à la coordination ou à la continuité des soins, à la prévention ou à son suivi médico-social et social ».

Couturier M., « Que reste-t-il du secret médical ? », in Py B. et a. (coord.), in Mélanges en l’honneur de Gérard Mémeteau. Droit médical et éthique médicale : regards contemporains, 2015, LEH Editions, vol. I, p. 353 et s. ; Medjkane M., « Le partage des informations à caractère secret », AJ pénal 2017, p. 371 ; Zorn-Macrez C., Données de santé et secret partagé. Pour un droit de la personne à la protection de ses données de santé partagées, 2010, PU Nancy, 502 p. ; sur l’étendue du secret médical, ses sanctions et ses dérogations faisant suite à la loi du 4 mars 2002, v. not. Thouvenin D., « Secret médical et loi du 4 mars 2002 : quels changements ? », Revue Laennec 2007/1, p. 23 à 37.

RGPD, art. 4, pt 15.

Rappelons en effet qu’en principe, les données, une fois valablement collectées, ne peuvent être transmises à un tiers que sous certaines conditions, en particulier l’information appropriée de la personne à l’origine des données ; l’objectif étant de lui permettre, le cas échéant, de faire valoir ses droits (v. not. RGPD, art. 14). Ces obligations d’informations sont écartées lorsque « les données à caractère personnel doivent rester confidentielles en vertu d’une obligation de secret professionnel réglementée par le droit de l’Union ou le droit des États membre, y compris une obligation légale de secret professionnel » (art. 14.5 (h)).

Sur le secret professionnel dans le RGPD, v. Déroudille A., « Le secret professionnel dans le règlement général sur la protection des données », RFDA 2018, p. 1112.

CSP, art. L. 1110-4 III et CSP, art. L. 1110-12 créé par la loi n° 2016-41 du 26 janvier 2016 : JO n° 0022, 27 janv. 2016. Eon F., « Hôpital public et données personnelles des patients », RDSS 2015, p. 85, v. spéc. sur ce point le III de l’article.

Sur l’origine et les suites du dossier médical personnel, v. not. Isaac-Sibille C., Le dossier médical partagé et les données de santé, rapport d’information présenté par la commission des affaires sociales en conclusion des travaux de la mission d’évaluation et de contrôle des lois de financement de la Sécurité sociale, AN, n° 3231, déposé le 22 juillet 2020, 124 p., p. 21 ; Peigné V., Le dossier médical électronique, Thèse, 2011, Paris 1 ; Forgeron J.-F. et Nacache G., « Le dossier médical personnel : enjeux et confidentialité (1re partie) », Gaz. Pal. 20 oct. 2005, n° F7126, p. 17 ; Monnier A., « Le dossier médical personnel : histoire, encadrement juridique et perspectives », RDSS 2009, p. 625 ; Hocquet-Berg S., « Le dossier médical personnel en questions… », Resp. civ. et assur. 2005, alerte 59 ; Fieschi M., « Vers le dossier médical personnel – les données du patient partagées : un atout à ne pas gâcher pour faire évoluer le système de santé », Dr. sociétés 2005, p. 80.

CSP, art. L. 1111-4.

Isaac-Sibille C., Le dossier médical partagé et les données de santé, rapport d’information présenté par la commission des affaires sociales en conclusion des travaux de la mission d’évaluation et de contrôle des lois de financement de la Sécurité sociale, AN, n° 3231, déposé le 22 juillet 2020, 124 p., p. 30 et s. et p. 88 (fin 2019, 9,7 % des patients alimentent leur DMP).

Cour des comptes, rapport public annuel 2018 – t. II, p. 4. Les services publics numériques en santé : des avancées à amplifier, une cohérence à organiser, p. 219. www.ccomptes.fr.

L. n° 2019-774, 24 juill. 2019 relative à l’organisation et à la transformation du système de santé : JO n° 0172, 26 juill. 2019, qui prévoit en son article 50 II une entrée en vigueur des articles L. 1111-4 du Code de la santé publique et s. nouveaux au plus tard à compter du 1er juillet 2021.

CSP, art. L. 1111-5.

CSP, art. L. 1111-13-1 et s.

CSP, art. L. 1111-13-1, II.

Isaac-Sibille C., Le dossier médical partagé et les données de santé, rapport d’information présenté par la commission des affaires sociales en conclusion des travaux de la mission d’évaluation et de contrôle des lois de financement de la Sécurité sociale, AN, n° 3231, déposé le 22 juillet 2020, 124 p., p. 12.

Déjà à propos du consentement au don d’organe, Thouvenin D., « La loi relative à la bioéthique ou comment accroître l’accès aux éléments biologiques d’origine humaine », D. 2005, p. 116.

Sur cette évolution, v. not. Moisdon J.-C., « Une histoire de la T2A », Journal de gestion et d’économie médicales 2013, p. 107-120.

Décret n° 94-666, 27 juill. 1994 relatif aux systèmes d’informations médicales et à l’analyse de l’activité des établissements de santé publics et privés et modifiant le Code de la santé publique : JO n° 180, 5 août 1994 créant les articles R. 710-5-1 et s. du Code de la santé publique devenus R. 6113-1 ; Domin J.-P., « Le Programme de médicalisation des systèmes d’information (PMSI) », Histoire, médecine et santé 2013, p. 69-87 ; Morvan O., « L’heure est grave en psychiatrie : PMSI et confidentialité », Perspectives Psy 2004, p. 158-161.

L. n° 98-1194, 23 déc. 1998 de financement de la Sécurité sociale pour 1999, art. 21 : JO n° 300, 27 déc. 1998, créant les articles L. 161-28-1 du Code de la sécurité sociale.

« Le chaînage d’enregistrements est la tâche qui consiste à identifier parmi différentes sources de données les enregistrements qui concernent les mêmes entités », définition donnée par Li X., Évaluation et amélioration des méthodes de chaînage de données, Thèse, 2015, université d’Auvergne-Clermont-Ferrand I, p. 7. Alla F., « Le Sniiram, un outil pour la recherche et la santé publique », RESP 2015, p. S51.

L. n° 2016-41, 26 janv. 2016 de modernisation de notre système de santé, art. 193 : JO n° 0022, 27 janv. 2016, créant les articles L. 1461-1 et suivants du Code de la santé publique.

CSP, art. L.14161-1 I en vigueur jusqu’en 2019 : « Le système national des données de santé rassemble et met à disposition : 1°Les données issues des systèmes d’information mentionnés à l’article L. 6113-7 du présent code ; 2°Les données du système national d’information inter-régimes de l’Assurance maladie mentionné à l’article L. 161-28-1 du Code de la sécurité sociale ; 3°Les données sur les causes de décès mentionnées à l’article L. 2223-42 du Code général des collectivités territoriales ; 4°Les données médico-sociales du système d’information mentionné à l’article L. 247-2 du Code de l’action sociale et des familles ; 5°Un échantillon représentatif des données de remboursement par bénéficiaire transmises par des organismes d’Assurance maladie complémentaire et défini en concertation avec leurs représentants ».

David M., « Le secret médical tire sa révérence en 2015 », L’information psychiatrique 2015, p. 637-639.

L’article est complété comme suit depuis la loi du 24 juillet 2019 : « 6°Les données destinées aux professionnels et organismes de santé recueillies à l’occasion des activités mentionnées au I de l’article L. 1111-8 du présent code donnant lieu à la prise en charge des frais de santé en matière de maladie ou de maternité mentionnée à l’article L. 160-1 du Code de la sécurité sociale et à la prise en charge des prestations mentionnées à l’article L. 431-1 du même code en matière d’accidents du travail et de maladies professionnelles ; 7°Les données relatives à la perte d’autonomie, (…) lorsque ces données sont appariées avec les données mentionnées aux 1° à 6 du présent I ; 8°Les données à caractère personnel des enquêtes dans le domaine de la santé, lorsque ces données sont appariées avec des données mentionnées aux 1° à 6° ; 9°Les données recueillies lors des visites médicales et de dépistage obligatoires prévues à l’article L. 541-1 du Code de l’éducation ; 10°Les données recueillies par les services de protection maternelle et infantile dans le cadre de leurs missions définies à l’article L. 2111-1 du présent code ; 11°Les données de santé recueillies lors des visites d’information et de prévention, telles que définies à l’article L. 4624-1 du Code du travail ».

Pitcho B., « Vers un secret médical transparent », Club des juristes, 29 juin 2020, https://lext.so/auMyJ0.

V. par ex. le rapport de l’OPECST rendu en 1999 en matière de génétique : Sérusclat F., Génomique et informatique : l’impact sur les thérapies et sur l’industrie pharmaceutique, rapport remis au nom de l’OPECST le 15 octobre 1999, n° 1871, AN, et n° 20, Sénat.

Articles 40-3, 40-1 et 40-4 (pour le droit d’opposition) ; devenus respectivement les articles 55, 53 et 56 de la loi informatique et libertés à compter de 2004.

Préalablement, toutefois, le traitement des données à des fins de recherche devait en principe avoir bénéficié d’un avis positif du Comité consultatif sur le traitement de l’information en matière de recherche dans le domaine de la santé (le CCTIR dont le silence valait avis favorable) et d’une autorisation de la CNIL (dont le silence valait refus), à moins que la recherche ne se conformât à l’une des méthodologies de référence établies par la commission.

V. par ex. les sites des entrepôts des CHU de Nantes (https://www.chu-nantes.fr/entrepot-de-donnees) ; Rennes (https://www.chu-rennes.fr/recherche-et-innovation/centre-donnees-cliniques-625.html) et de l’APHP (https://eds.aphp.fr/).

V. par ex., la Cour des comptes, « Les données personnelles de santé gérées par l’Assurance maladie – une utilisation à développer, une sécurité à renforcer », communication à la commission des affaires sociales et à la mission d’évaluation et de contrôle des lois de financement de la sécurité sociale de l’Assemblée nationale, mars 2016, 167 p., spéc. p. 50 ; ministère de la Cohésion territoriales et ministère de l’Économie et des Finances, « Prospective. Intelligence artificielle 1– État de l’art et perspectives pour la France », Études économiques, rapport final, févr. 2019, 333 p., p. 187.

Texte original du Plan France médecine génomique remis au Premier ministre le 22 juin 2016, disponible et partiellement repris sur https://pfmg2025.aviesan.fr/presentation.

« Préparer à l’intégration de la médecine génomique dans le parcours de soins courant et la prise en charge des pathologies ».

« Mettre en place une filière nationale de médecine génomique au service des patients, capable d’être un levier d’innovation scientifique et technologique, de valorisation industrielle et de croissance économique ».

« Placer la France dans le peloton de tête des grands pays engagés dans la médecine personnalisée ».

Villani C., Donner un sens à l’intelligence artificielle – Pour une stratégie nationale et européenne, rapport au Premier ministre, 2018, 235 p., focus 2 – La santé à l’heure de l’IA, p. 194 et s. ; Berthet C., « Vers une politique de l’intelligence artificielle ? », D. 2018, p. 1640 ; Bévière-Boyer B., « Le défi de la santé transformée par l’intelligence artificielle : rapport Villani du 5 avril 2018 », RGDM 2018, p. 177, n° 67.

Villani C., Donner un sens à l’intelligence artificielle – Pour une stratégie nationale et européenne, rapport au Premier ministre, 2018, 235 p., spéc. p. 201-202.

Cour des comptes, « Les données personnelles de santé gérées par l’Assurance maladie – une utilisation à développer, une sécurité à renforcer », communication à la commission des affaires sociales et à la mission d’évaluation et de contrôle des lois de financement de la sécurité sociale de l’Assemblée nationale, mars 2016, 167 p., spéc. p. 50. ; Longuet G. et Villani C., « L’intelligence artificielle et les données de santé – Compte rendu de l’audition publique du 21 février 2019 et de la présentation des conclusions du 21 mars 2019 », OPECST, 21 mars 2019, AN n° 1795 ; Sénat n° 401.

Faisant figure de précurseur en la matière, le législateur européen était ainsi intervenu pour favoriser l’accès à certaines données en matières environnementales dans la directive n° 2003/4/CE du Parlement européen et du Conseil du 28 janvier 2003 concernant l’accès du public à l’information en matière d’environnement et abrogeant la directive n° 90/313/CEE du Conseil : JO n° L041, 14 févr. 2003, p. 0026-0032.

Rapport d’information n° 589 (2013-2014) de Mme Corinne Bouchoux, fait au nom de la MCI sur l’accès aux documents administratifs, déposé le 5 juin 2014, disponible sur www.senat.fr.

V. par ex., Cluzel-Métayer L., « Les limites de l’open data », AJDA 2016, p. 102 ; Teller M., « Éthique et IA : un préambule pour un autre droit », Banque et droit, HS 2019, p. 38 ; Marchand J., « L’open data, la réutilisation des données publiques entre exigence démocratique et potentiel économique », JCP A 2014, n° 7. Conseil national de l’information statistique, L’accès des chercheurs aux données administratives. État des lieux et propositions d’actions, mars 2017, n° 147, 65 p.

Cattan J., « La mise à disposition des données de santé », RFDA 2016, étude 9, p. 15-22 ; Roche T., « Données personnes : recherches et évaluation en santé », Expertises des systèmes d’information, 2016, p. 146-148, n° 412 ; Pechillon É, « L’accès ouvert aux données de santé : la loi peut-elle garantir tous les risques de dérives dans l’utilisation de l’information ? », L’information psychiatrique 2015, p. 645-649 ; Martial-Braz N., « La liberté d’accès des données de santé en question », LPA 18 août 2014, p. 13 ; Laude A., « De quelques problématiques relatives à l’ouverture des bases de données en santé », JDSAM 2014, p. 30-34 ; Laude A., « Démocratie sanitaire, open data et Médiator », JDSAM 2014, p. 58-61.

Bernelin M., « Intelligence artificielle en santé : la ruée vers les données personnelles », Cités 2019, n° 80, p. 75-89 ; la Cour des comptes, « Les données personnelles de santé gérées par l’Assurance maladie – une utilisation à développer, une sécurité à renforcer », communication à la commission des affaires sociales et à la mission d’évaluation et de contrôle des lois de financement de la sécurité sociale de l’Assemblée nationale, mars 2016, 167 p., spéc. p. 50 ; Isaac-Sibille C., Le dossier médical partagé et les données de santé, rapport d’information présenté par la commission des affaires sociales en conclusion des travaux de la mission d’évaluation et de contrôle des lois de financement de la sécurité sociale, AN, n° 3231, déposé le 22 juillet 2020, 124 p., p. 21.

« Afin de garantir l’échange, le partage, la sécurité et la confidentialité des données de santé à caractère personnel, doivent être conformes aux référentiels d’interopérabilité et de sécurité élaborés par le groupement d’intérêt public (…) : 1°Les systèmes d’information ou les services ou outils numériques destinés à être utilisés par les professionnels de santé et les personnes exerçant sous leur autorité, les établissements et services de santé, le service de santé des armées et tout organisme participant à la prévention ou aux soins dont les conditions d’exercice ou les activités sont régies par le présent code ; 2°Les systèmes d’information ou les services ou outils numériques destinés à être utilisés par les professionnels des secteurs médico-social et social et les établissements ou services des secteurs médico-social et social (…) ; 3°Les systèmes d’information ou les services ou outils numériques mis en œuvre par les organismes d’Assurance maladie, ayant pour finalité principale de contribuer directement à la prévention ou au suivi du parcours de soins des patients ».

V. pour une analyse détaillée des dispositions de l’époque : Vacarie I., « L’hébergement des données de santé : entre contrat et statut », RDSS 2002, p. 695.

D. n° 2006-6, 4 janv. 2006 relatif à l’hébergement de données de santé à caractère personnel et modifiant le Code de la santé publique : JO n° 4, 5 janv. 2006, texte n° 14, créant dans la partie réglementaire la sous-section « Hébergement des données de santé à caractère personnel » aux articles R. 1111-9 et s.

CSP, art. R. 1111-10.

https://lext.so/RidoVj.

Hache C. et Paquette E., « Les hôpitaux français dans le collimateur des pirates informatiques », L’express, 25 juin 2019 ; Triolier G., « Frappé par une cyberattaque massive, le CHU de Rouen forcé de tourner sans ordinateurs », Le Monde, 18 nov. 2019 ; Poncet G., « Des cyberpirates ont tenté de rançonner un hôpital militaire français », Le Point, tech & net, 9 sept. 2020.

Liste disponible sur https://lext.so/7K6vrI.

En ce sens, v. CNIL, Mémoire en observation, 8 oct 2020, disponible sur https://cnll.fr/news/health-data-hub-memoire-cnil-rgpd/.

CNIL, Mémoire en observation, 8 oct. 2020, disponible sur https://cnll.fr/news/health-data-hub-memoire-cnil-rgpd/.

CNIL, Mémoire en observation, 8 oct. 2020, disponible sur https://cnll.fr/news/health-data-hub-memoire-cnil-rgpd/ ; EDPB, FAQ on the judgment of the CJEU in Case C-311/18 – Data Protection Commissioner, v. Facebook Ireland Ltd and Maximillian Schrems, 23 juill. 2020, disponible sur https://www.cnil.fr/fr/invalidation-du-privacy-shield-les-premieres-questions-reponses-du-cepd.

V. en particulier, l’avis du G29 sur les techniques d’anonymisation rendu en 2014, accessible via https://lext.so/Ebq2xg.

CNIL, Mémoire en observation, 8 oct 2020, disponible sur https://cnll.fr/news/health-data-hub-memoire-cnil-rgpd/.

Longuet G. et Villani C., « L’intelligence artificielle et les données de santé – Compte rendu de l’audition publique du 21 février 2019 et de la présentation des conclusions du 21 mars 2019 », OPECST, 21 mars 2019, AN n° 1795 ; Sénat n° 401. rapport, p. 8 et s., qui préconise quant à lui la constitution d’une SAS dont l’État serait l’actionnaire majoritaire.

Sur les méthodologies de référence pour les recherches en santé, v. https://lext.so/JTpR6f.

Une procédure simplifiée est cependant prévue pour les données agrégées notamment.

www.health-data-hub.fr ; Woillet S., « Le Health data hub ou le risque d’une santé marchandisée », 18 avr. 2020, https://lext.so/t9S4Nx.

À l’image de ce qui a pu se produire en matière de séquences génétiques dans l’affaire Myriad genetics. Woillet S., « Le Health data hub ou le risque d’une santé marchandisée », 18 avr. 2020, https://lext.so/t9S4Nx.

Berger T., « L’accès aux informations environnementales et sanitaires. Le cas des substances chimiques, des OGM et des médicaments », Thèse, 2020, Paris 1, p. 255 et s.

Noiville C. et Supiot E., « Big pharma, big data et recherche génétique en santé », RDC 2015, n° 111v8, p. 352.

Cour des comptes, « Les données personnelles de santé gérées par l’Assurance maladie – une utilisation à développer, une sécurité à renforcer », communication à la commission des affaires sociales et à la mission d’évaluation et de contrôle des lois de financement de la sécurité sociale de l’Assemblée nationale, mars 2016, 167 p., spéc. p. 113.

« Le Royaume-Uni revend les données de patients à des laboratoires américains… sans les anonymiser », L’usine digitale, 11 mars 2020 ; Helm T., « Revealed : how drugs giants can access your health records », The Guardian, 8 févr. 2020 ; « patient data from GP surgeries sold to US companies », The Guardian, 7 déc. 2019.

V. par ex. Weinbaum N., « Les données personnelles confrontées aux objets connectés », Comm. com. électr. 2014, n° 12, étude 22 ; Bernelin M., « Quelles incidences de la e-santé sur les contrats d’assurance ? », RDC 2018, n° 115r8, p. 597 ; Belot L., « Les données de santé, trésor convoité », Le Monde, 4 mars 2020 ; Toussaint J., « Derrière l’accessoire, de très convoitées données de santé », Le Monde, 17 sept. 2020.

Cour des comptes, « Les données personnelles de santé gérées par l’Assurance maladie – une utilisation à développer, une sécurité à renforcer », communication à la commission des affaires sociales et à la mission d’évaluation et de contrôle des lois de financement de la sécurité sociale de l’Assemblée nationale, mars 2016, 167 p., spéc. p. 113.