VIE PRIVEE ET DONNEES MEDICALES : BIG DATA IS WATCHING YOU

L’objectif de cette publication est de mettre l’accent sur une évolution importante de notre société qui tend à mettre à bas le secret médical au point où l’on peut se demander si la vie privée et les données de santé sont encore protégées.

Pour débuter, une clarification des termes s’impose. Le secret médical régit les relations entre le patient et son médecin, tandis que les données de santé sont collectées et circulent bien au-delà de cette sphère relationnelle. Le secret médical a une origine relativement ancienne puisqu’il figurait déjà dans le très fameux serment d’Hypocrate, au Vème siècle avant Jésus-Christ :

 
"Quoi que je voie ou entende dans la société pendant l'exercice ou même hors de l'exercice de ma profession, je tairai ce qui n'a jamais besoin d'être divulgué, regardant la discrétion comme un devoir en pareil cas".

Même s’il ne s’est pas immédiatement imposé comme un règle de droit impérative, tout au long des siècles, la tradition orale l’a consacré dans pratiquement toutes les sociétés humaines, d’orient comme d’occident.

En France, il a été intégré parmi les règles écrites déontologiques promulguées par les Facultés de médecine et les précurseurs de l’Ordre des médecins en France.

Au 19 siècle, ce secret a ensuite figuré au sein du code pénal napoléonien de 1810 (art. 378) et la jurisprudence lui a même conféré un caractère absolu, le médecin ne pouvant être délié de son secret ni par le patient, ni par un intérêt public supérieur.

 

On considérait à l’époque que le secret médical répondait à une double nécessité. D’une part, le secret protège la vie de l'individu dans ce qu'elle a d'intime et de caché. De ce fait, les Tribunaux de l'ordre pénal réprimaient la divulgation qui porte atteinte ou risque de porter atteinte aux intérêts matériels du malade ou de sa famille. D’autre part, il était considéré que la violation du secret professionnel entraînait un trouble pour l'ordre public. Autrement dit, la préservation du secret était au service des intérêts supérieurs de la société « car il est de son intérêt que tous les membres de la population recourent aux professions de santé pour la prévention et le soin des maladies. Il y va de la Santé Publique, de la bonne santé de la population et de la lutte contre les maladies contagieuses et transmissibles. Les manquements au secret de certains professionnels pourraient miner la confiance et dissuader les personnes de recourir aux examens médicaux, aux tests de dépistage et aux actes de soins ».1
 

Sans entrer plus avant dans le régime juridique du secret médical qui n’est pas le coeur de notre propos, il est flagrant que l’affaissement de ce secret, qu’il soit direct (nombreuses dérogations législatives)2 , ou indirect, c’est-à-dire par le biais de la circulation des données médicales, est susceptible d’entraîner de graves dommages pour la société. En effet, la préservation de la confidentialité des informations révélées à un professionnel de santé, est la clé de voûte de tout le système. Selon la Cour européenne des droits de l’homme, le secret médical est au cœur de la « confiance des patients dans le corps médical et les services de santé en général ».3 Lorsqu’un patient estime qu’il n’a plus la maîtrise de la circulation des informations aussi sensibles et intimes que celles portant sur son état de santé, il a tendance à les cacher, ceci au détriment d’une bonne gestion de la santé publique, à moins qu’on ne le contraigne à les révéler, ou que ses données soient captées sans son consentement.

Or, c’est peu dire que la société actuelle s’est engagée dans un mouvement de déconfessionnalisation des données de santé, bien que les textes internes et internationaux considèrent la protection de la vie privée - et donc celle du secret médical - comme une valeur fondamentale de l’Etat de droit.



En privant le secret médical de sa valeur absolue, la société contemporaine a ouvert grand la porte à la circulation effrénée des données médicales dont on commence à peine à mesurer le caractère dévastateur pour l’intimité de la vie privée depuis la crise dite de la Covid19.
 

La révélation de ces données sensible est devenue tellement banale que n’importe quel commerçant, peut, grâce à une application mise à sa disposition par le gouvernement français, savoir qu’une personne titulaire du pass sanitaire dit de « rétablissement » a été testée positive à la covid19 et à quelle date. Pourtant, la révélation de cette information constitue une intrusion dans la vie privée puisque sa révélation n’est absolument pas nécessaire pour permettre le contrôle du pass sanitaire. Ce simple exemple que des millions de personnes vivent au quotient montre l’évaporation du droit au respect de la vie privée dont le secret des informations de santé est un élément essentiel.

On est en droit de se demander comment une règle si essentielle dans tous les états de droit a pu ainsi voler en éclat alors qu’elle se trouve au fondement de toute société démocratique.

Ce n’est pourtant pas faute d’être protégée au plus haut niveau de l’ordonnancement juridique.

I- La protection théorique de la vie privée et des données relatives à la santé

Dans une société hyper-numérique, le protection de la vie privée et des données de santé, est un droit fondamental garanti par les plus hautes normes juridiques.

Ainsi, dans les années 90, la CJCE a jugé que « selon la jurisprudence de la Cour, le droit au respect de la vie privée, consacré par l' article 8 de la CEDH et qui découle des traditions constitutionnelles communes aux États membres, constitue l' un des droits fondamentaux protégés par l'ordre juridique communautaire (voir arrêt du 8 avril 1992, Commission/Allemagne, C-62/90, Rec. p. I-2575, point 23). Il comporte notamment le droit d' une personne de tenir son état de santé secret ».

Dans cet arrêt, la juridiction de l’Union a néanmoins rappelé qu’il existe certaines limitations « aux droits fondamentaux, à condition qu' elles répondent effectivement à des objectifs d'intérêt général et qu'elles ne constituent pas, au regard du but poursuivi, une intervention démesurée et intolérable qui porterait atteinte à la substance même du droit protégé (voir Commission/Allemagne, précité, point 23) ».

C’est donc au nom de l’intérêt général qu’il est légitime de porter une atteinte proportionnée aux droits fondamentaux. En l’espèce, la règle communautaire imposait qu'il ne soit procédé à l’engagement d’un agent européen qu’après examen médical effectué par le médecin-conseil de l'institution, afin de permettre à celle-ci de s’assurer que ledit agent remplissait les conditions d'aptitude physique aux fonctions.

Cependant, la Cour de Luxembourg a jugé que si « l'examen d'embauche sert un intérêt légitime des institutions communautaires, qui doivent être en mesure d' accomplir leur mission, cet intérêt ne justifie pas que l'on procède à un test contre la volonté de l'intéressé ». Elle a indiqué dans son arrêt que « le droit au respect de la vie privée exige que le refus de l'intéressé soit respecté dans sa totalité. Dès lors que le requérant avait expressément refusé de se soumettre à un test de dépistage du sida, ce droit s'opposait à ce que l'administration procède à tout test susceptible d' aboutir à soupçonner ou à constater l' existence de cette maladie, dont il avait refusé la révélation. Or, il résulte des constatations faites par le Tribunal que le test lymphocytaire en cause avait fourni au médecin-conseil des indications suffisantes pour conclure à la possibilité d' une présence du virus du sida chez le candidat ». 4
 

Plus tard, la jurisprudence de la CJCE a donné une définition très vaste des données santé en application de la directive 95/46/CE du Parlement européen et du Conseil du 24 octobre 1995 relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, en considérant qu’il « convient de donner à l'expression ’données relatives à la santé’ employée à son article 8, paragraphe 1, une interprétation large de sorte qu'elle comprenne des informations concernant tous les aspects, tant physiques que psychiques, de la santé d'une personne ».5


Depuis le traité de Lisbonne du 1er décembre 2009, la protection de la vie privée est également garantie par l’article 7 de la Charte des droits fondamentaux de l’Union :

« 1.Toute personne a droit au respect de sa vie privée et familiale, de son domicile et de ses communications. »

2. Il ne peut y avoir ingérence d'une autorité publique dans l'exercice de ce droit que pour autant que cette ingérence est prévue par la loi et qu'elle constitue une mesure qui, dans une société démocratique, est nécessaire à la sécurité nationale, à la sûreté publique, au bien-être économique du pays, à la défense de l'ordre et à la prévention des infractions pénales, à la protection de la santé ou de la morale, ou à la protection des droits et libertés d'autrui ».
 

Le paragraphe 2 de cet article prévoit des dérogations pour des motifs d’intérêt public, notamment celui tenant à la protection de la santé, ce qui est également le cas du RGPD adopté en 2018. Tout comme la Charte des droits fondamentaux, l’article 9-1 de ce règlement européen pose le principe de la protection des données médicales. On retrouve cette dichotomie entre le droit au respect de la vie privée et les motifs d'intérêt public dérogatoires, au sein de toutes les normes juridiques, y compris au plus au degré de leur hiérarchie. Ainsi, dans le bloc de constitutionnalité français, les données médicales se rattachent également au droit au respect de la vie privée qui résulte de l'article 2 de la DDHC..
 

Mais, tout comme en droit communautaire, des motifs d’intérêt général peuvent justifier une atteinte à la vie privée, et plus généralement, une dérogation aux libertés fondamentales, lorsque la santé de la population est en jeu. Dans le langage propre au droit constitutionnel, certaines de ces dérogations ont été érigées au rang d’objectifs à valeur constitutionnelle.8 Tel est le cas de la protection de la santé depuis la décision de principe n° 90-283 DC du 8 janvier 1991 rendue sur la loi relative à la lutte contre le tabagisme et l’alcoolisme.
 

Le Conseil Constitutionnel a depuis lors largement eu recours à cette notion en ce qui concerne la protection de la santé, en particulier dans le cadre de la gestion des lois d'urgence sanitaire. Pour ne citer que le dernier exemple en date, celui de sa décision n°2021-828 du 9 novembre 2021, il a jugé qu'"il appartient au législateur d'assurer la conciliation entre l'objectif de valeur constitutionnel de protection de la santé et le respect des droits et libertés reconnus à toutes les personnes qui résident sur le territoire de la République (considérant n°14). Ainsi, l'objectif de protection de la santé de la population est hissé au même niveau constitutionnel que des libertés aussi fondamentales que celle d'aller et venir, que la liberté d'expression, que la liberté d'association, ou que le droit des cultes, pour n'en citer que quelques unes.

Opérant une conciliation entre ces droits et libertés qu'elle considère d'égale valeur, la haute juridiction a posé les jalons de sa jurisprudence en matière de respect de sa vie privée et de protection de la santé.
 

En premier lieu, les sages de la rue Montpensier ont auto-limité leur pouvoir d’appréciation des mesures législatives à vocation sanitaire en estimant qu’ « il n'appartient pas au Conseil constitutionnel, qui ne dispose pas d'un pouvoir général d'appréciation et de décision de même nature que celui du Parlement, de remettre en cause l'appréciation par le législateur de ce risque, dès lors que, comme c'est le cas en l'espèce, cette appréciation n'est pas, en l'état des connaissances, manifestement inadéquate au regard de la situation présente ». En d’autres termes, il revient aux seuls parlementaires d’évaluer le risque sanitaire qu’une épidémie fait courir sur la santé des français, sous réserve du contrôle opéré par le juge constitutionnel sur l’erreur manifeste d’appréciation commise par le législateur qu’il se ménage le droit de censurer.

En second lieu, le Conseil Constitutionnel a considéré que le critère de proportionnalité est respecté par le législateur en ce que, d’une part, « les mesures susceptibles d'être prononcées dans le cadre du régime de gestion de la sortie de crise sanitaire ne peuvent être prises que dans l'intérêt de la santé publique et aux seules fins de lutter contre la propagation de l'épidémie de covid-19 », et d’autre part, qu’« elles doivent être strictement proportionnées aux risques sanitaires encourus et appropriées aux circonstances de temps et de lieu. Il y est mis fin sans délai lorsqu'elles ne sont plus nécessaires. Le juge est chargé de s'assurer que de telles mesures sont adaptées, nécessaires et proportionnées à la finalité qu'elles poursuivent ».

Ces considérations générales posées, la juridiction constitutionnelle a rappelé les principes régissant le droit au respect de la vie privée » en matière de « collecte, l'enregistrement, la conservation, la consultation et la communication de données à caractère personnel », ces opérations devant « être justifié(e)s par un motif d'intérêt général et mis en œuvre de manière adéquate et proportionnée à cet objectif. Lorsque sont en cause des données à caractère personnel de nature médicale, une particulière vigilance doit être observée dans la conduite de ces opérations et la détermination de leurs modalités ».

Elle a ensuite considéré que les dispositions législatives « instituant les conditions dans lesquelles les données relatives à la santé des personnes atteintes par le virus responsable de la covid-19 et des personnes en contact avec elles sont, le cas échéant sans leur consentement, traitées et partagées dans le cadre d'un système d'information ad hoc », ne portaient pas une atteinte disproportionnée à la vie privée, en renvoyant à cet égard à ses «  décisions des 11 mai 2020, 13 novembre 2020, 31 mai 2021 et 5 août 2021 » qui avaient déjà jugé ces dispositions législatives « conformes à la Constitution, sous certaines réserves, les dispositions de l'article 11 de la loi du 11 mai 2020 instituant ces systèmes d'information ».

De l’ensemble de ces décisions du Conseil Constitutionnel au sujet de l’état d’urgence sanitaire, il résulte que les réserves de conformité émises par la haute juridiction tiennent en six points.

Le premier de ces points est qu’« en application de l'article L.1461-4 du code de la santé publique, le système national des données de santé ne contient ni les noms et prénoms des personnes, ni leur numéro d'inscription au répertoire national d'identification des personnes physiques, ni leur adresse. S'agissant des données transférées en application des dispositions contestées, sauf à méconnaître le droit au respect de la vie privée, cette exclusion doit également s'étendre aux coordonnées de contact téléphonique ou électronique des intéressés ».¹⁰

Le second résulte de l'accès aux données rassemblées au sein du système national des données de santé (SNDS) qui, selon les cas, est soumis à une procédure de déclaration ou d'autorisation préalable auprès de la Commission nationale de l'informatique et des libertés en vertu de l'article L.1461-3 du code de la santé publique,

Le troisième découle du fait que les personnes autorisées à accéder à ces données sont soumises au secret professionnel dans les conditions et sous les peines prévues à l'article 226-13 du code pénal, ceci en application du 2°du paragraphe IV de l'article L. 1461-1 du code de la santé publique.

Le quatrième point est que l'accès aux données s'effectue dans des conditions assurant leur confidentialité, leur intégrité, et la traçabilité des accès et autres traitements, selon les termes du 3° du paragraphe IV de l'article L. 1461-1 du code de la santé publique,

Le cinquième point découle du fait que lorsque ces données font l'objet d'une mise à la disposition du public, elles « sont traitées pour prendre la forme de statistiques agrégées ou de données individuelles constituées de telle sorte que l'identification, directe ou indirecte, des personnes concernées y est impossible », conformément à l'article L. 1461-2 du même code, les données.

Et enfin, la dernière garantie tient dans l’information « sans délai et par tout moyen » des personnes dont les données sont collectées, quant aux «conséquences juridiques qui en résultent, s'agissant notamment de la durée de conservation de ces données, des personnes qui y ont accès et des finalités en vue desquelles elles peuvent être traitées » et sur leur « droit d'opposition dont elles disposent en application de l'article 74 de la loi n° 78‑17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés ».

 

Pourtant, si l’on y regarde de plus près, les juges constitutionnels n’ont pas tenu compte des alertes répétées de la CNIL, dont la dernière en date a été formulée dans sa délibération n° 2021-139 du 21 octobre 2021 portant avis public sur les conditions de mise en œuvre des systèmes d'information développés aux fins de lutter contre la propagation de l'épidémie de COVID 19 (mai à septembre 2021).

Or, il est particulièrement alarmant de constater que cette autorité indépendante dont la mission est de garantir le respect du droit à la protection des données, a émis de sévères critiques à l’encontre du Gouvernement français en indiquant que « plus de dix-huit mois après le début de la crise sanitaire et comme elle l’a rappelé dans ses trois premiers avis », elle n’a toujours pas été destinataire « des éléments concrets d’évaluation de leur efficacité dans la lutte contre l’épidémie de Covid- 19 ». La Commission indique « vivement regretter que malgré ses demandes répétées, notamment dans ses précédents avis, aucun élément ne lui ait été transmis à cette fin par le Gouvernement ».

 
Autrement dit, la principale autorité veillant au respect de la vie privée face à des traitements de données médicales sans équivalent dans l’histoire, ne dispose pas, malgré ses demandes répétées, des informations concrètes sur l’efficacité du système d’information destiné à lutter contre l’épidémie alors même qu’elle a rappelé à des nombreuses reprises « que ces mesures ne peuvent être justifiées que si leur efficacité est prouvée, leur application limitée en termes de durée, de personne ou de lieux où elles s'appliquent, et qu’elles sont assorties de garanties de nature à prévenir efficacement les abus, notamment compte tenu de l’extension importante du dispositif consacrée par la loi n° 2021-1040 du 5 août 2021 relative à la gestion de la crise sanitaire ».

 

Pire, la CNIL a mis en garde le Gouvernement contre un danger mortel pour les libertés et le respect de la vie privée : celui du «risque d’accoutumance et de banalisation de tels dispositifs attentatoires à la vie privée, craignant le glissement vers une société où de tels contrôles deviendraient la norme et non l’exception »,11 une critique à peine voilée de la dangerosité de mesures dérogatoires et exceptionnelles qui ont tendance à devenir la règle plutôt que l’exception.La crise sanitaire est un accélérateur de particules qui a fait voler en éclats tous les verrous et gardes fou destinés à garantir la vie privée et les libertés fondamentales.

L’objectif de préservation de la santé des populations a conduit à des restrictions de libertés qui devaient être temporaires mais qui se sont installées dans la durée. Et ce qui est le plus problématique est qu’elles se sont implantées dans les esprits.



Force est de constater que cette mise en garde de la CNIL n’a rien de théorique car en deux ans d’épidémie, les citoyens se sont accoutumés à révéler leurs données de santé à de nombreuses personnes. Ils ont autorisé le gouvernement à collecter massivement ces données, ce qui engendre leur circulation à un rythme et à une ampleur sans aucune commune mesure avec ce qui existait avant la crise.
 

Bien que le gouvernement assure que l’accès à des tiers non autorités est prohibé, il est certain que l’étanchéité des données est très mal garantie en pratique. Ainsi, la CNIL a recommandé que les données du passe sanitaires accessibles aux tiers qui le contrôle soient strictement limitées « aux données d’identification et au résultat de validité du passe, et non à la nature du document ou aux autres données qu’il peut contenir ». Or, les personnes qui assurent la vérification du pass sanitaire peuvent savoir que le titulaire a été testé positif au covid19, et sont même en mesure de connaître la date dudit test positif, ce qui est une véritable violation de la vie privée.

A travers ce simple exemple, on mesure le conflit récurrent qui existe entre la protection de la vie privée et la libéralisation des données numériques de la santé.

II- Le traitement massif de données santé lié à la crise de la covid19 est un élément parmi d’autres du vaste mouvement de la BIG DATA à l’échelle planétaire

La crise de la Covid19 est une petite scène dans une vaste pièce de théâtre qui se joue à l’échelle mondiale et que l’on a dénommé BIG DATA dans article publié en 1997, expression qui ne manque pas de rappeler le célèbre et funeste BIG BROTHER du roman orwellien 1984.

De sinistre réputation, BIG DATA n’en a pas moins envahi le quotidien des citoyens du monde contemporain, en particulier par le développement des entreprises regroupées sous l’acronyme GAFAM : Google, Amazone, Facebook, et Microsoft.

Ces géants du numériques exploitent le nouvel eldorado de la donnée numérique : l’or rouge.

Elles se nourrissent de l’analyse et de la revente de vos données, c’est-à-dire des choix, des goûts, des centres d’intérêts des consommateurs quand ils utilisent leurs services (recherche sur internet, réseaux sociaux, etc.). Elles peuvent ainsi définir plus finement le profil du consommateur et ensuite se faire rémunérer en proposant aux entreprises des liens publicitaires internet ayant un impact commercial plus efficace qu’un simple panneau publicitaire au bord de la route.

L’exploitation de ces données engendre des profits financiers qui dépassent l’imagination. Ainsi, en 2020, la valorisation boursière des GAFAM dépassait les 5.000 milliard de dollars.

Les chiffres engendrés par ce secteur économique sont tout simplement vertigineux. Selon un rapport Global Data Protection Index (publié par Dell EMC en 2019), en France le volume de données a progressé de 701% entre 2016 et 2018, passant de 1,4 Po (pétaoctet, soit deux octets puissance cinquante) à 11,22 Po, tandis que la progression au niveau mondial atteignait seulement 569 % sur la même période.

Selon les prévisions du cabinet IDC12 , les revenus produits par le secteur de la BIG DATA dans le monde s’élèvent à 189 milliards de dollars en 2021, un chiffre en hausse de 12% par rapport à l’exercice précédent.

BIG DATA est donc incontestablement l’un des secteurs économiques les plus lucratifs et surtout les plus en expansion puisque cette tendance à la hausse pourrait se confirmer d’ici 2022 et atteindre 274 milliards de dollars.13

Or, précisément, au sein de BIG DATA, les données santé occupent une place toute particulière compte tenu de leur énorme potentiel lucratif.

La révolution que d’aucuns dénomment la e-santé engendre des enjeux économiques qui sont tels qu’il y a craindre que la protection de la vie privée ne pèse pas bien lourd.

Il n’y a qu’à examiner les investissements des GAFAM pour comprendre « l’offensive à l’œuvre en matière de technoscience ».

En collectant massivement les données de santé, ces entreprises espèrent développer une forme d’intelligence artificielle qui remplacera l’humain. En découleront toute une batterie de nouveaux produits et services de santé numériques, et plus ou moins automatisés.

Le secteur BIG DATA étant dominé par des entreprises américaines qui ne rencontrent aucune limite juridique à la collecte et aux traitement de données personnelles, notamment médicales, on ne s’étonnera pas l’intérêt qu’elle montrent pour les données de santé en Europe.

Ainsi, Google a développé le programme Nightingale en collaboration avec Ascension, un groupe médical américain qui gère plus de 2.600 établissements hospitaliers, ce qui lui permettra d’avoir accès aux données médicales de 50 millions d’américains dans un pays qui n’a pas de culture de la protection des données.

Cette vision glaçante de l’avenir n’est pas un mythe ou une dystopie futuriste. Il s’agit de la réalité de 2022.

 
L’épisode de la plateforme Health Data Hub en témoigne tout particulièrement.
 

Le 24 juillet 2019, la loi relative à l'organisation et la transformation du système de santé a considérablement élargi le contenu des données intégrées au Système National de Données de Santé, (SNDS) tout en créant consortium public-privé improprement qualifié de Groupe d’intérêt public dénommé Plateforme des Données de Santé ou Health Data Hub, destiné à gérer cette concentration de données santé.

 
Le 21 avril 2020, un arrêté est venu prescrire les mesures d'organisation et de fonctionnement du système de santé nécessaires pour faire face à l'épidémie de covid-19 dans le cadre de l'état d'urgence sanitaire.14
 
Dans la plus grande précipitation, et sans attendre les décrets d’application de cette loi, ni respecter les procédures de commande publique, le Gouvernement a confié la gestion de cette plateforme numérique à la société Microsoft.
 

Comme l’a relaté un article très complet sur le sujet,15 « par anticipation, les responsables de la plateforme, contraints de ‘démarrer très vite’ , avant même l’arrêté précité, décidèrent de recourir à l’entreprise de droit irlandais Microsoft Ireland Operations Limited, filiale de la société américaine Microsoft Corporation. En passant par l’Union des Groupements d’achats publics (UGAP), centrale d’achat pour les marchés publics, ils optèrent pour les produits « Microsoft Azure dits Cloud computing » (hébergement de données de santé, logiciels de traitement de ces données) », le Gouvernement considérant que Microsoft était « le seul capable de répondre aux prérequis au moment où la consultation a été faite ».



Un député s’en est ému en posant une question écrite au Ministre de la santé dans laquelle il soulignait que le choix « d'une société américaine, en l'occurrence Microsoft », est problématique dans la mesure où cette dernière est soumis au cloud act (le « clarifying lawful overseas use of data act ou cloud act (H.R. 4943) adopté le 6 février 2018). Ce dernier prévoit par exemple que les entreprises américaines doivent ‘communiquer les contenus de communications électroniques et tout enregistrement ou autre information relatifs à un client ou abonné, qui sont en leur possession ou dont ils ont la garde ou le contrôle, que ces communications, enregistrements ou autres informations soient localisés à l'intérieur ou à l'extérieur des États-Unis’ ».16
 

Dans une réponse pléthorique de février 2020, le Ministre de santé s’est employé à rassurer le député avec force d’explications sur les prétendues garanties présentées par la société Microsoft « certifié(e) ‘hébergeur de données de santé’ selon les normes de l'agence numérique de la santé », tout en indiquant que « les centres de données utilisés sont localisés en Union européenne ».

L’article 30 de l’arrêté du 10 juillet 2020 prescrivant les mesures générales nécessaires pour faire face à l'épidémie de covid-19 dans les territoires sortis de l'état d'urgence sanitaire, a ensuite répertorié l’ensemble des données santé destinées au « groupement d'intérêt public mentionné à l'article L.1462-1 du code de la santé publique », lui a permis de croiser lesdites données, et de les traiter « pour des projets poursuivant une finalité d'intérêt public en lien avec l'épidémie actuelle de covid-19 et jusqu'à l'entrée en vigueur des dispositions prises en application de l'article 41 de la loi du 24 juillet 2019 susvisée et au plus tard le 30 octobre 2020 ».
 

Le 28 septembre 2020, un collectif d’associations a saisi le Conseil d’État en référé liberté pour solliciter « la suspension de la centralisation et du traitement des données en lien avec l’épidémie de covid-19 sur la Plateforme des données de santé ». La CNIL a déposé des observations faisant valoir la nécessité de stopper la gestion de Health Data Hub par la société Microsoft en raison du risque de transfert des données aux USA.

Par ordonnance du 13 octobre 2020, le juge des référés du conseil d’État a débouté les auteurs du recours, non sans admettre que le contrat liant la plateforme à Microsoft permettait le transfert des données aux USA. Néanmoins, le juge a considéré qu’il avait été d’ores et déjà fait échec à cette disposition contractuelle par « un arrêté du 9 octobre 2020 postérieur à l’introduction de la requête, le ministre des solidarités et de la santé a complété l’article 30 de l’arrêté du 10 juillet 2020, relatif aux mesures concernant le traitement des données à caractère personnel du système de santé, pour prévoir que : ‘Aucun transfert de données à caractère personnel ne peut être réalisé en dehors de l’Union européenne’ ».
 

Cette ordonnance très alambiquée a maintenu le contrat entre la plateforme et Microsoft. Il n’en demeure pas moins qu’elle a pris en compte le « choix d’un nouveau sous-traitant, évoqué publiquement par le secrétaire d’Etat chargé de la transition numérique et des communications électroniques, ou le recours à un accord de licence, suggéré par la Commission nationale de l’informatique et des libertés dans ses observations » et qu’elle a recommandé que, « dans l’intervalle, il appartient à la Plateforme des données de santé de continuer de rechercher, en vertu de l’article 28 du règlement général sur la protection des données, la mise en œuvre par Microsoft des mesures techniques et organisationnelles appropriées pour garantir au mieux la protection des droits des personnes concernées. A cet égard, la société doit d’ailleurs, en vertu de l’annexe 3 à l’addendum sur la protection des données mentionnée ci-dessus, mettre à sa disposition toutes les informations nécessaires pour démontrer le respect des obligations prévues à cet article 28 et permettre la réalisation d’audits. Il appartient en outre à la Commission nationale de l’informatique et des libertés, lorsqu’elle autorise, conformément aux articles 66 et 76 de la loi du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés, des projets appelés à traiter les données rassemblées par la Plateforme des données de santé, de vérifier qu’ils poursuivent une finalité d’intérêt public en lien avec l’épidémie de covid-19 et que le recours à la Plateforme remplit les conditions mentionnées au point 20 ».17
 

A la suite de cette décision judiciaire, par délibération N°201-xxx du 29 octobre 2020, la CNIL a vivement critiqué le projet de décret organisant le nouveau SNDS, en regrettant vivement « le manque de lisibilité et de clarté des dispositions encadrant le SNDS ». Elle a émis une myriade de réserves sur ce décret, dont celle que ces données ne soient pas transmises aux USA.18

Pour soutenir cette position, la CNIL s’est largement appuyée sur les décisions de la Cour de Justice de l’Union qui, dans un premier arrêt du 6 octobre 2015, dit Schrems I, a invalidé la décision 2000/520/CE de la Commission européenne en date du 26 juillet 2000.19
 

Puis, par un second arrêt dit Schrems II du 16 juillet 2020, dont la CNIL a souligné la portée, la CJUE a de nouveau censuré une décision de la Commission européenne qui avait pour obligation de s’assurer « que le pays tiers (les USA) concerné assure effectivement, en raison de sa législation interne ou de ses engagements internationaux, un niveau de protection des droits fondamentaux substantiellement équivalent à celui garanti dans l’ordre juridique de l’Union ».20
 

La Commission européenne avait renouvelé son évaluation du niveau de protection conféré par les USA, et constaté que « les États-Unis assurent un niveau adéquat de protection des données à caractère personnel transférées de l’[Union] vers des organisations auto-certifiées aux États-Unis ». La CJUE a invalidé sa décision BPD, en considérant qu’elle « est incompatible avec l’article 45, paragraphe 1, du RGPD, lu à la lumière des articles 7, 8 et 47 de la Charte, et qu’il est de ce fait invalide » pour de multiples raisons qui témoignent du manque de considération des USA pour la protection des données personnelles.
 

Cette jurisprudence était éminemment transposable au cas de Microsoft car bien que les données figurent sur le territoire de l’Union européenne, dans les centres de données de l’entreprise américaine aux Pays-Bas, des questions se posaient sur leur vulnérabilité au droit américain, notamment à l’égard des activités de renseignement des autorités américaines en ce qui concerne les données à caractère personnel transférées vers les États-Unis se fondent, notamment, sur l’article 702 du FISA et sur l’E.O.12333.
 

En effet, s’agissant de l’article 702 du FISA (Foreign Intelligence Surveillance Act), il permet au Procureur général et au Directeur du renseignement national d’autoriser conjointement, après approbation du FISC, aux fins de se procurer des « informations en matière de renseignement extérieur », la surveillance de ressortissants non américains se trouvant en dehors du territoire des États-Unis et sert, notamment, de fondement aux programmes de surveillance PRISM et UPSTREAM.

 

Or, dans le cadre du programme PRISM, les fournisseurs de services Internet sont tenus de fournir à la NSA toutes les communications envoyées et reçues par un « sélecteur », une partie d’entre elles étant également transmise au FBI et à la Central Intelligence Agency (CIA) (agence centrale de renseignement).

Toute cette bataille autour du traitement des données santé et du risque de leur transfert aux USA révèle l’ampleur des enjeux économiques et de la discordance juridique entre un système européen qui se veut protecteur de la vie privée, et un modèle américain qui souhaite transformer le système de santé en un gigantesque marché de la data, avec en prime la vente de toute une série de services automatisés, la santé n’étant plus qu’un business comme un autre, et non un service public.
 

Certains analystes tel M. Bernard Benhamou, secrétaire général de l’Institut de la souveraineté numérique, soulignent que le choix du Gouvernement français d’avoir fait appel à la société Microsoft constitue « un signal politique inquiétant ». Cet analyste laisse entendre qu’il est impossible de faire confiance aux GAFAM en matière de protection des données vu « l'impossibilité, pour ces sociétés de limiter ce qui constitue le cœur de leur modèle économique. Comme on a pu le voir avec le scandale Cambridge Analytica, cette accumulation de données personnelles est devenue telle qu'elle constitue désormais un risque pour le fonctionnement démocratique de nos sociétés. On a incidemment pu découvrir, lors de cette affaire, que Facebook accumulait des données de santé en masse, y compris sur des personnes qui n'étaient pas utilisatrices de Facebook… ».21



Cette opinion est corroborée par d’autres exemples de violations massives de la vie privée commis par les GAFAM. A cet égard, Google, propriétaire du système d’intelligence artificielle DeepMind Health, a divulgué les données de santé de plus de 1,5 million de Londoniens, au mépris des accord conclus avec les autorités de santé britanniques pour développer une application de surveillance des patients atteints d’insuffisance rénale,22 alors que les clauses contractuelles prévoyaient que jamais les données ne seraient ensuite connectées aux comptes ou aux services google.
 

La puissance des GAFAM et leur appétit financier sont tels qu’elles sont en mesure d’imposer à des gouvernements démocratiques (plus ou moins corrompus ou plus ou moins vigilants) leur vision d’un modèle de e-santé totalement automatisé, robotisé, et finalement, déshumanisé au possible.

 
L’e-santé est susceptible de réduire l’humain au statut de vulgaire consommateur à travers l’exploitation de ses données numériques à très forte plus-value, au mépris total de l’intimité de sa vie privée et des libertés les plus fondamentales fondées sur la dignité de la personne humaine.
 
La science sans conscience n’est que ruine de l’âme, disait Rabelais.
 

***

BIG DATA IS WATCHING YOU.

Ce n’est ni le produit d’une imagination débordante, ni celui de la peur d’un avenir incertain. Il s’agit bel et bien la réalité d’aujourd’hui.

Si le modèle de santé prôné par les GAFAM venait à s’imposer malgré les normes juridiques européennes en matière de vie privée, le citoyen européen pourrait dire adieux aux garanties provenant de la vie en société démocratique, et il entrerait tout droit dans une société où la technoscience imposerait un système totalitaire digne des romans de Georges Orwell, ou du Meilleur des Mondes d’Aldoux Huxley.

Mais cette réalité préoccupante d’aujourd’hui n’est pas nécessairement une fatalité pour demain.

Le mouvement constant vers un futur n’est pas écris d’avance puisque et ce sont les décisions et actions d’aujourd’hui qui dessinent l’avenir.

Là où la technologie progresse à un rythme vertigineux, il faut également que les sciences humaines s’élèvent, et que la philosophie humaniste se situe toujours au dessus de la technique.

Les normes juridiques fondées sur la primauté de l’homme et sur sa dignité doivent être supérieures aux considérations telles que le profit mal acquis ou technoscience sans âme.

C’est au prix d’une vigilance de tous et de tous les instants que le progrès technique sera un bienfait au service de l’Homme et non une source de pouvoir et de domination.

________________________________________________________