Le Health Data Hub est une nouvelle plateforme française destinée à croiser les bases de données de santé existantes, à des fins de recherches médicales. Lancé l'an dernier, le projet monte en puissance, mais la manière dont il a été pensé fait polémique.

Qu’est-ce que le Health Data Hub ?

Derrière cette appellation anglaise se cache un projet français, qui dit bien ce qu’il est : une plateforme de données sur la santé. Voulue par le gouvernement, cette structure entend croiser les bases de données de santé existantes et ainsi faciliter leur utilisation à des fins de recherche et de développement. En ligne de mire, l’amélioration de la qualité des soins pour les personnes passant par le système de santé français.

L’idée du Health Data Hub fait notamment suite au rapport du député et mathématicien Cédric Villani sur l’intelligence artificielle. Dans la rubrique l’IA au service des politiques de santé, il est conseillé de créer une plateforme d’accès et de mutualisation des données pertinentes pour la recherche et l’innovation en santé. Médico-administratives d’abord, puis génomiques, cliniques, hospitalières, etc.

Le Health Data Hub doit servir à améliorer la qualité des soins. Ici, le service de chirurgie cardiaque de l’hôpital Henri-Mondor de Créteil. // Source : Service photo du Département du Val-de-Marne

Le Health Data Hub doit répondre à un enjeu sanitaire, donc, mais pas seulement. Il y a aussi des considérations de recherche scientifique, de prestige, et économiques, évoquées à demi mots. Ces données, « nombreuses et ordonnées en France », « peuvent constituer un avantage compétitif sur le plan international pour la recherche et l’innovation », lit-on, si elles sont décloisonnées et les obstacles, levés.

Quand arrive le Health Data Hub ?

En fait, son lancement a déjà eu lieu. Sa création remonte officiellement à décembre 2019, après, explique le gouvernement, dix-huit mois de travaux pour cadrer les infrastructures juridiques et techniques. En parallèle, la loi relative à l’organisation et la transformation du système de santé a été promulguée en juillet 2019, dont l’article 41 porte sur le d’un groupement d’intérêt public ad hoc.

Ce regroupement rassemble l’État, les organismes assurant une représentation des malades et des usagers du système de santé, les producteurs de données de santé et des utilisateurs publics et privés de données de santé, y compris des organismes de recherche en santé. Le groupement rassemble 56 parties prenantes, dont le CNRS, l’Inserm, le CEA, des hôpitaux ou encore le Conseil national de l’ordre des médecins.

Le dispositif doit désormais monter en puissance, avec plusieurs objectifs à accomplir d’ici 2022, énoncés par le ministère de la Santé : enrichir le catalogue de données, donner une visibilité au projet en France à l’étranger, informer les usagers du système de santé et leur faciliter l’exercice de l’ensemble de leurs droits, et déployer une offre attractive de services pour faciliter le traitement et l’usage des données.

Un arrêté pris le 21 avril a permis une mise en route accélérée du Health Data Hub, avec notamment le raccordement de premières données de santé sur l’épidémie de covid-19. Par ailleurs, lors d’un point du ministère de la santé du 18 juin, il a été indiqué des bases de données ont été raccordées plus tôt que prévu. SI-VIC de l’Agence numérique en santé et la base OSCOUR de Santé publique France.

Health Data Hub
Le point d’étape du ministère de la Santé sur Health Data Hub, le 18 juin 2020.

Qu’est-ce qu’une donnée de santé ?

Les données de santé entrent dans la classification des données à caractère personnel. Dans la mesure où elles révèlent des informations sur l’état de santé d’une personne, elles entrent dans la catégorie particulière des données sensibles. De base, leur utilisation et leur exploitation sont interdites par la loi, mais des exceptions existent. Et c’est bien sûr dans ces dérogations que se place le Health Data Hub.

Ces cas de figure incluent notamment les besoins à des fins médicales pour la recherche dans le domaine de la santé et les nécessités de l’intérêt public, à condition d’un feu vert de la Commission nationale de l’informatique et des libertés (CNIL). Le handicap, la maladie, les antécédents médicaux, les traitements cliniques, les risques et l’état physiologique ou biomédical entrent par exemple dans cette catégorie.

télémédecine
Avec le développement des technologies à des fins médicales, les données de santé explosent. // Source : Intel Free Press

Comment se passe une demande d’accès aux données ?

Pour accéder à des données médicales, un demandeur doit démontrer que son projet présente un caractère d’intérêt public. Il ne doit ni les vendre, ni chercher à les utiliser à des fins de promotion commerciale de produits auprès des professionnels de santé, ni les utiliser dans l’idée de modifier les conditions d’assurance d’une personne (cotisations, primes ou périmètre du contrat).

Une double instruction est opérée pour chaque dossier.

La première est conduite par le comité éthique et scientifique pour les recherches, les études et les évaluations dans le domaine de la santé (CESREES), afin de vérifier la pertinence de la demande et son intérêt général, ainsi que la qualité de sa méthodologie par rapport aux normes attendues pour une recherche scientifique. Le CESREES est composé de 21 membres.

La seconde est menée par la CNIL, cette fois sur les critères de protection des données et de respect des libertés individuelles. Plus précisément, l’institution vérifie que le dossier respecte l’ensemble de la législation en vigueur (loi Informatique et Liberté, RGPD et Code de la santé publique), notamment sur des critères comme les droits des personnes, la sécurité des données et la proportionnalité.

Si les retours sont favorables, le Health Data Hub « consolide les données requises et prépare sur sa plateforme technologique un espace projet sécurisé, qui ne contient que les données nécessaires » .

Quels projets profitent du Health Data Hub ?

Sur son site web, huit projets institutionnels sont présentés et balaient des champs de rechercher très différents : l’étude des risques de nouvelle fracture, la description du parcours de soin des patients atteints de maladies rares, l’analyse les trajectoires thérapeutiques médicamenteuses dans le Grand Ouest, ou encore la prédiction de la survie des patients de cancers induits par le papillomavirus humain.

Projets Health Data Hub
Typologie des projets sur le Health Data Hub.

Mais il en existe d’autres. Le Health Data Hub rappelle qu’un jury a aussi retenu une liste de dix projets pilotes — ils ont d’ailleurs été la première vague pour alimenter le catalogue de données proposé par la plateforme. Là encore, les recherches sont variées, allant du reste à charge réel pour les patients à l’évaluation de l’efficacité de l’intelligence artificielle dans le dépistage organisé du cancer du sein.

Plus généralement, le Health Data Dub met à disposition un tableau de bord présentant des indicateurs sur la procédure d’accès aux données de santé, avec par exemple l’avis de la CNIL au cas par cas, ainsi qu’un répertoire recensant les projets ayant formulés une demande d’accès à des données de santé et déposée au Health Data Hub — il y en a plus de 1 400.

Pourquoi le Health Data Hub fait-il polémique ?

Le principal grief adressé au Health Data Hub est qu’elle fait appel à une société étrangère, Microsoft, pour héberger les données. Elles sont certes stockées sur le territoire de l’Union européenne, dans les centres de données de l’entreprise américaine aux Pays-Bas, mais des questions se posent sur leur vulnérabilité au droit américain, notamment à l’égard du Cloud Act, et du transfert d’informations sur le sol US.

Le Cloud Act, en forme longue « Clarifying Lawful Overseas Use of Data Act », qu’on peut traduire en loi clarifiant l’utilisation légale des données à l’étranger, autorise les autorités américaines, grâce à des outils juridiques spécifiques, à obliger les entreprises américaines de fournir des données stockées sur leurs serveurs, y compris ceux basés à l’étranger, en cas de mandat ou d’assignation en justice.

Régions Microsoft Azure
Microsoft est certes un acteur mondial du cloud, et performant. Mais il est Américain. // Source : Microsoft

Cela a conduit le CNLL à lancer une action auprès du Conseil d’État, notamment sur les conditions de sélection de Microsoft, « en l’absence des certifications nécessaires, et sans mise en concurrence par un appel d’offres », regrettant par ailleurs « l’absence manifeste de volonté stratégique de l’État de travailler avec les entreprises françaises du libre dans ce domaine ». Et même des entreprises françaises, tout court.

De nombreux observateurs font remarquer qu’il existe assez d’entreprises françaises ou même européennes pour relever le défi, parmi lesquelles OVH, Scaleway, Clevercloud, Platform.sh, Thales, les solutions des grands opérateurs de télécommunications ou bien Outscale, de Dassault Systèmes, qui d’ailleurs héberge StopCovid et notamment titulaire  d’une certification en hébergement de données de santé.

Crédit photo de la une : Microsoft

Partager sur les réseaux sociaux