[Tribune] « Mon Espace Santé » Est-il sage de mettre tous ses œufs dans le même panier ?

Les exemples sont (hélas) nombreux ! Violation des données de l’AP-HP courant de l’année 2021, fuite de données de l’Assurance Maladie en mars 2022, ou encore hébergement controversé de la plateforme Health Data Hub par l’hébergeur américain Microsoft Inc. : les entités publiques ont été à de nombreuses reprises ces derniers mois à la Une de l’actualité pour leur gestion des données de santé des citoyens français.

Alexandra Iteanu, Avocat à la Cour (Numérique, Cybersécurité et Data)

Alexandra Iteanu, Avocat à la Cour (Numérique, Cybersécurité et Data)

C’est pourtant dans ce climat agité qu’a été lancée en janvier 2022 la plateforme de santé du gouvernement dénommée « Espace Numérique de Santé » (ENS) ou « Mon Espace Santé » (MES), éditée par la Caisse Nationale de l’Assurance Maladie et le Ministère des solidarités et de la santé.

Cette nouvelle plateforme publique a pour vocation de regrouper l’intégralité des données de santé des français bénéficiaires d’un régime d’assurance maladie et de proposer des services en lien avec leur parcours de soin : une messagerie sécurisée de santé, le dossier médical partagé (DMP), la gestion des rendez-vous, et un catalogue d’autres services e-santé référencés.

Si l’idée d’un « futur carnet de santé numérique »[1] est louable, on ne peut s’empêcher de craindre pour la sécurité de nos données les plus sensibles, qui seront regroupées et accessibles sur ou à partir de la même plateforme et à un grand nombre de personnes.

Cette plateforme qui traitera l’intégralité de nos données de santé présente-t-elle les garanties de sécurité adaptées ? Est-elle conforme aux dispositions du Règlement UE n°2016/679 dit « RGPD » ?

1/ Un mode de consentement discutable au regard du RGPD : le système de « l’Opt-Out » choisie pour la création d’un compte utilisateur sur « Mon Espace Santé »

Du 31 janvier à fin mars, près de 65 millions de « notifications » ont été adressées par courriel ou courrier postal à l’ensemble des bénéficiaires d’un régime d’assurance maladie français. Cette notification présente « Mon Espace Santé », et précise que sans action de leur part, leur profil « Mon Espace Santé » sera créé automatiquement dans un délai de six semaines.

carnet industrie dsi Ce type de consentement est qualifié « d’Opt-Out ». Il s’agit d’un consentement « par défaut », dans le cadre duquel on considère que la personne concernée a donné son consentement lorsqu’elle ne s’y est pas opposée. A contrario, l’« Opt-In » est le mode de récolte du consentement  qui  nécessite que la personne accepte expressément que ses données soient traitées. Dans le cas de « Mon Espace Santé », cet Opt-Out est prévu par la loi, à l’article L1111-13-1 du Code de la santé publique.

L’article 4-11 du RGPD définit le consentement comme « toute manifestation de volonté, libre, spécifique, éclairée et univoque par laquelle la personne concernée accepte, par une déclaration  ou  par  un  acte  positif  clair,  que  des  données à  caractère  personnel  la  concernant fassent l’objet d’un traitement ».

Le RGPD impose en principe l’« Opt-In », comme il le précise dans son considérant 32 :

« Le consentement devrait être donné par un acte positif clair par lequel la personne concernée manifeste de façon libre, spécifique, éclairée et univoque son accord au traitement des données à caractère personnel la concernant (…).Il ne saurait dès lors y avoir de consentement en cas de silence, de cases cochées par défaut ou d’inactivité. »

Plus encore, et dans le cas de la collecte et du traitement de données de santé, qui sont des données dites « sensibles », au sens de l’article 9 du RGPD, le consentement doit être renforcé et explicite (article 9-1 du RGPD), à moins qu’une des autres bases légales ne le justifie.

Le manque de transparence quant aux finalités de cette plateforme

Le consentement recueilli pour la collecte des données à caractère personnel doit, en plus d’être positif et clair, être « spécifique », c’est-à-dire qu’il doit être donné pour des finalités précises. Cette exigence vise à garantir un certain degré de contrôle à l’utilisateur et la transparence sur le traitement de ses données personnelles.

Or, toutes les fonctionnalités de cette plateforme ne sont pas à ce jour définies, la plateforme semblant n’être qu’aux prémices de son développement. La CNIL a  été sollicitée pour donner son avis lors de la création de Mon Espace Santé. L’autorité de contrôlé a ainsi reconnu elle-même que toutes les informations sur cette plateforme n’avait pas été porté à sa connaissance, dans sa délibération du 15 avril 2021 n°2021-050 : « En l’absence d’informations concernant la mise en œuvre du traitement envisagé et la sécurité des données traitées, la Commission n’est pas en mesure de vérifier la conformité du traitement au RGPD, et prend acte de ce que le ministère a prévu de lui adresser des demandes de conseil sur ces questions. »[2]

Il est dès lors légitime de s’inquiéter sur le sort des données sensibles qui seront rassemblées sur un même espace, pour des finalités et des mesures de sécurité qui ne sont à ce jour pas toutes définies.

2/ Un droit à l’effacement limité pour « motif légitime »

La Politique de confidentialité de la plateforme l’affirme clairement : « vous ne pouvez pas directement supprimer les données reportées dans votre dossier médical partagé. Vous pouvez en demander la suppression, s’il existe un motif légitime, auprès du professionnel ou de l’établissement qui est l’auteur du document. »[3]

Le droit à l’effacement est pourtant un droit consacré par le RGPD, en son article 17. Même s’il existe bien des exceptions à ce droit, notamment en cas d’obligations légales, limiter ce droit à un « motif légitime » comporte indéniablement des risques : quels sont les critères de ce « motif légitime » ? Qui l’appréciera et comment le justifier ? Y aura-t-il des recours possibles ?

En conclusion, et d’autant plus lorsqu’il s’agit de services publics, la publication de lois spécifiques comme c’est le cas ici pour encadrer légalement le traitement de nos données de santé est une chose, s’assurer qu’en pratique ce traitement présente toutes les garanties techniques et RGPD en est une autre.

Il convient de saluer tout de même l’effort de la CNIL, qui s’est emparé de ce sujet en publiant sur son site web une Foire Aux Questions didactiques[4], nous ne pouvons qu’encourager l’Etat à mettre en place ce genre d’initiative.

La confiance envers ces outils étatiques ne pourra être gagnée qu’avec une totale transparence apportée par l’Etat, un respect des droits des citoyens et surtout la garantie de mécanismes assurant une sécurité renforcée de nos données.

 

[1] Dossier de Presse « Mon Espace Santé »

[2] Délibération n° 2021-050 du 15 avril 2021 portant avis sur un projet de décret relatif au dossier médical partagé (demande d’avis n° 21001149)

[3] Document « Protection des Données » du site web www.monespacesante.fr

[4] https://www.cnil.fr/fr/lespace-numerique-de-sante-ens-ou-mon-espace-sante-et-le-dossier-medical-partage-dmp-questions