Catégories
nouvelles procédure

Le collectif SantéNathon continue le combat contre le transfert illégal des données de santé des français aux USA

Paris, le 22 septembre, pour diffusion immédiate.

Un collectif comprenant le CNLL, l’association InterHop, l’association Constances et plusieurs syndicats de médecins et de patients – soit 18 requérants – avaient demandé au Conseil d’Etat de suspendre le traitement et la centralisation de nos données au sein du Health Data Hub hébergé par la société Microsoft. Ce faisant, les requérants demandaient au Conseil d’Etat de s’aligner sur la toute récente jurisprudence européenne.

Cette saisine faisait en effet suite à la décision (arrêt “Schrems II”) de la Cour de Justice de l’Union Européenne (CJUE) qui avait décidé d’annuler le Privacy Shield, accord qui permettait aux entreprises de transférer légalement les données personnelles des européens aux Etats-Unis.

La CJUE avait également fait valoir que les engagements contractuels (CCT) n’étaient pas suffisants. En effet, les programmes de surveillance américain ne présentent aucune limitation quant à l’habilitation et l’utilisation des données de personnes non américaines. Ceci n’est purement et simplement pas conforme au droit européen et à notre Règlement protecteur, le Règlement Général de Protection des Données (RGPD).

Sur cette base, tout traitement de données personnelles de citoyens européens aux Etats-Unis doit aujourd’hui être considéré comme illégal sans délai.

Mais par une décision en référé du 21 septembre 2020, le Conseil d’Etat a estimé que la requête du collectif ne présentait pas de caractère urgent et qu’il leur fallait agir par le biais d’une procédure normale.

Tout en regrettant que le Conseil d’Etat refuse ainsi de jouer son rôle de gardien des libertés chères à notre République, les requérants prennent acte de cette décision et vont désormais déposer la même requête, mais au fond.

Dans l’attente de cette décision qui peut prendre plusieurs années, les requérants demandent la mise en place immédiate d’un moratoire sur le Health Data Hub tant qu’il ne peut pas être assuré qu’aucune donnée de santé ne sera transférée aux Etats-Unis, en dehors de toute protection ou garantie adéquate pour les citoyens français.

En parallèle, et au vu des réserves du Conseil d’Etat, les requérants saisissent la CNIL quant au transfert illégal de nos données de santé hébergés sur le Health Data Hub qui intégrera à terme les données de tous et toutes, soit de plus de 67 millions de personnes.

Liste des 18 requérant.e.s :

  • L’association Le Conseil National du Logiciel Libre (CNLL) : « Pour que les discours sur la souveraineté numérique ne restent pas des paroles en l’air, les projets stratégiques au plan économique et sensibles au plan des libertés personnelles ne doivent pas être confiés à des opérateurs soumis à des juridictions incompatibles avec ces principes, mais aux acteurs européens qui présentent des garanties sérieuses sur ces sujets, notamment par l’utilisation de technologies ouvertes et transparentes. »
  • L’association Ploss Auvergne-Rhône-Alpes
  • L’association SoLibre
  • La société NEXEDI : « Il est faux de dire qu’il n’y avait pas de solution européenne. Il est exact en revanche que le Health Data Hub n’a jamais répondu aux offreurs de ces solutions. »
  • Le Syndicat National des Journalistes (SNJ) : « Pour le Syndicat national des journalistes (SNJ), première organisation de la profession, ces actions doivent permettre de conserver le secret sur les données de santé des citoyennes et citoyens de France ainsi que protéger le secret des sources des journalistes, principale garantie d’une information indépendante. »
  • L’Observatoire de la transparence dans les politiques du médicament
  • L’association InterHop : « L’annulation du Privacy Shield sonne la fin de la naiveté numérique européenne. Cependant des rapports de force se mettent en place entre les Etats-Unis et l’Union Européenne concernant le transfert des données personnelles en dehors de notre espace juridique.
    Pour pérenniser notre système de santé mutualiste et eu égard à la sensibilité des données en cause, l’hébergement et les services du Health Data Hub doivent relever exclusivement des juridictions de l’Union européenne. »
  • L’Union Fédérale Médecins, Ingénieurs, Cadres, Techniciens (UFMICT-CGT)
  • L’Union Générale des Ingénieurs, Cadres et Techniciens (UGICT-CGT): « Pour la CGT des cadres et professions intermédiaires (UGICT-CGT), ce recours est indispensable pour préserver la confidentialité des données qui sont désormais devenues, dans tous les domaines, un marché. Concepteurs et utilisateurs des technologies, nous refusons de nous laisser déposséder du débat sur le numérique au prétexte qu’il serait technique. Seul le débat démocratique permettra de placer le progrès technologique au service du progrès humain! »
  • L’association Constances : « Volontaires de Constances, la plus grande cohorte de santé en France, nous sommes particulièrement sensibilisés aux données de santé et leurs intérêts pour la recherche et la santé publique. Comment admettre que des données de citoyens français soient aujourd’hui transférées aux Etats-Unis ? Comment accepter qu’à terme, toutes les données de santé des 67 millions de Français soient hébergées chez Microsoft et donc tombent sous les lois et les programmes de surveillance américains ? »
  • L’association Française des Hémophiles (AFH)
  • L’association les « Actupiennes »
  • Le Syndicat National des Jeunes Médecins Généralistes (SNJMG) : « Les données issues des soins ne doivent pas servir d’autre finalité que l’amélioration des soins. Garantir la sécurité des données de santé et leur exploitation à des seules fins de santé publique est une priorité pour toustes les soignant.es. »
  • Le Syndicat de la Médecine Générale (SMG): « La sécurisation des données de santé est un enjeu majeur de santé publique puisqu’elle permet le secret médical. Le Health Data Hub n’a jusqu’ici montré aucune garantie sur une véritable sécurisation des données de santé des Français.es, notamment par son choix d’héberger celles-ci chez Microsoft, et met ainsi en danger le secret médical pourtant nécessaire à une relation thérapeutique saine et efficiente. »
  • L’Union Française pour une Médecine Libre (UFML) : « Évitons le contrôle de systèmes monopolistiques potentiellement nuisibles pour le système de santé et les citoyens. »
  • Madame Marie Citrini, en son mandat de représentante des usagers du Conseil de surveillance de l’AP-HP
  • Monsieur Bernard Fallery, professeur émérite en systèmes d’information : « La gestion “par l’urgence” revendiquée pour le Healh Data Hub est un véritable cas d’école de tous les risques liés à la gouvernance des données massives : souveraineté numérique et stockage sans finalité précisée, mais aussi centralisation technique risquée, mainmise sur un commun numérique, oligopole des GAFAM, dangers sur le secret médical, quadrillage des traces et ajustement des comportements »
  • Monsieur Didier Sicard, médecin et professeur de médecine à l’Université Paris Descartes : « Offrir à Microsoft les données de santé françaises qui sont parmi les meilleures du monde, même si elles sont insuffisamment exploitées, est une quadruple faute : enrichir gratuitement Microsoft, trahir l’Europe et les citoyens français, empêcher les entreprises françaises de participer à l’anlyse des données »
Catégories
éclairage

Le HDH : une plate-forme non portable, contrairement aux recommandations de la CNIL

Le Health Data Hub a été présenté à l’origine comme une plate-forme portable de logiciels libres déployés sur des machines virtuelles chez Microsoft Azure et destinée à migrer un jour chez un fournisseur européen, suivant en cela les recommandations de la CNIL. C’est en tout cas ce qu’affirmait en mai 2020 Jean-Renaud ROY, lobbyiste de « Les Internets » et Corporate chez Microsoft France.

Mais on a appris lors d’une déclaration publique du Health Data Hub au Conseil d’Etat le 11 juin 2020 que la plate-forme s’appuyait désormais sur 40 services de Microsoft Azure dont la portabilité est censée être assurée grâce au logiciel libre Terraform.

Cependant, comme comme l’affirme Wikipedia sur Terraform :

Les scripts Terraform sont dépendants du fournisseur (« provider ») : un fichier Terraform défini pour une topologie Amazon ne peut pas être réutilisé tel quel pour une topologie OpenStack par exemple.

Si Terraform permet bien d’unifier un déploiement automatique sur une architecture muti-cloud (tout comme SlapOS, Nodeweaver, NixOS, Kubernetes, etc.), il ne garantit en rien la portabilité des services entre fournisseurs distincts ou la réversibilité. Telle qu’elle a été construite, en raison de sa dépendance à 40 services spécifiques à Microsoft Azure, la plate-forme du Health Data Hub n’est pas portable. Il sera pratiquement impossible de suivre les recommandations de la CNIL à moins de redévelopper de façon indépendante les 40 services spécifiques de Microsoft Azure dont dépend le Health Data Hub, et dont le code source n’est pas publié dans son intégralité.

Catégories
procédure

Action lancée auprès du Conseil d’État

SantéNathon, qui regroupe une quinzaine d’organisations et de personnalités de l’opensource, des logiciels libres et du numérique ouvert a saisi le Conseil d’État en référé-liberté. Cette requête vise a obtenir la suspension de l’arrêté du 21 avril consacrant le lancement de la plateforme, au nom du droit à la protection de la vie privée. L’audience doit avoir lieu le 11 juin.
SantéNathon s’interroge notamment sur la légalité du choix de Microsoft pour l’hébergement des données de santé du Health Data Hub, en l’absence des certifications nécessaires, et sans mise en concurrence par un appel d’offres. SantéNathon regrette par ailleurs l’absence manifeste de volonté stratégique de l’État de travailler avec les entreprises françaises du logiciel libre et de l’opensource dans ce domaine.
Cette procédure fait suite à un courrier envoyé en mars 2020 sur ces questions, qui est resté sans réponse du Ministère de la Santé.

Ce 10 juin 2020 l’association Anticor a également déposé un signalement auprès du procureur de la République concernant les coûts d’hébergements de l’application StopCovid. Ce dossier est indépendant de celui porté par SantéNathon mais il montre bien qu’il est vital de rester vigilent concernant l’utilisation de l’argent public et du respect des lois.

Retrouvez les derniers articles de presse à ce sujet.

Catégories
nouvelles

Des hôpitaux se rebellent contre le HDH-Microsoft

Un arrêté publié le 23 avril oblige les hôpitaux à envoyer vos données au HDH-Microsoft.

Nous apprenons que plusieurs médecins ont lancé un appel à la lutte contre la privatisation des communs dans le domaine de la santé et réaffirment, comme l’a fait le Conseil National de l’Ordre des Médecins, un principe éthique fondamental : « Agissons pour que la France et l’Europe ne soient pas vassalisées par les géants supranationaux du numérique ».

Le texte est publié à l’URL : https://interhop.org/le-gouvernement-contraint-les-hopitaux-a-abandonner-vos-donnees-chez-microsoft/ sur le blog du site InterHop.

Pour signer ce texte : https://forms.interhop.org/node/16

Catégories
procédure

Signalement article 40

Envoi au ministre de la santé d’un courrier de « demande d’information et de signalement article 40 al 1er du code de procédure pénale » demandant la prononciation de la nullité du contrat conclu avec MICROSOFT AZURE et de dédommagement au titre des pertes de chance de conclure le contrat, d’une indemnisation.