"Mon espace santé, un nouveau service numérique personnel et sécurisé"
Le 15 mars 2021, l’Assurance Maladie était victime d’un piratage informatique laissant dans la nature les données de santé de 500 000 personnes.
Le 3 février 2022, l’Assurance Maladie communique dans sa Newsletter du mois de février autour du lancement de son nouvel outil intitulé « Mon espace santé ». Cet espace a lui-même déjà fait l’objet de tentatives d’escroqueries et de piratage.
Le 17 mars 2022, l’Assurance Maladie est victime à nouveau d’une violation de données concernant dans le cas présent les professionnels de santé, touchant par conséquence plus de 510 000 assurés.
Le nouvel outil propose aujourd’hui deux services : un dossier médical (successeur du DMP) et une messagerie sécurisée pour échanger avec les professionnels de santé.
🔐 Mon espace santé et la protection des données ?
Hébergement des données en France :
Atos, entreprise française d’hébergement de données a remporté le marché public pour l’hébergement de l’outil « Mon espace santé ». Les serveurs d’Atos sont localisés en France tout comme ceux de l’entreprise Santeos qui a été sélectionnée pour l’hébergement des données de santé (données du dossier médical partagé). Santeos est une filiale de l’entreprise française Worldline. Comme la loi l’exige, ces deux entreprises sont agréées « Hébergeur de données de santé » par le ministère de la Santé.
Génial, cette plateforme est pratique et respecte en plus la protection des données me direz-vous !
Hébergeur français ✅
Entreprise française ✅
Sécurité des données de santé ❌
⚠ Ce n’est pas parce que les données sont hébergées par une entreprise française sur des serveurs français que les données sont en sécurité. L’outil « Mon espace santé » doit à terme être interfacé au Health Data Hub (HDH) dont l’hébergement sera confié à l’entreprise américaine Microsoft Azure. Cet interfaçage mettrait l’ensemble des données de santé à disposition de Microsoft.
Pour rappel : le HDH a pour objet la centralisation des données de santé française au sein d’un unique entrepôt de données. Ce projet a fait débat notamment sur le fait que l’hébergement de ces données avait été attribué à l’entreprise américaine Microsoft Azure.
Octobre 2020, l’accord passé entre le Health Data Hub et Microsoft semblait être arrivé à son terme. Face au débat suscité par l’attribution à Microsoft, le secrétaire d’Etat au numérique, Cédric O le gouvernement semble vouloir faire marche arrière et souhaite le changement de prestataire. Un rapport de la CNIL dans ce sens est notamment transmis au Conseil d’Etat dans lequel la commission demande purement et simplement aux acteurs de la santé de cesser de stocker les données chez des sociétés soumises au droit américain.
Pour rappel, le gouvernement américain a promulgué le « Clouding Act » en 2018 en réaction à la promulgation du RGPD, celui-ci fait valoir que les données hébergées par une entreprise américaine sont soumises au droit américain, peu importe le lieu de stockage de ces données.
Le 10 janvier 2021, la demande d’autorisation pour le Health Data Hub auprès de la CNIL est retirée, en accord avec le ministre de la santé.
Cédric O a confirmé le jeudi 20 janvier 2022 que le choix d’un hébergeur pour le Health Data Hub qui n’est pas soumis au droit américain ne se fera « pas avant la présidentielle ». Or, mon espace santé est aujourd’hui bel et bien lancé.
Outre les problématiques de cybersécurité, d’hébergement des données ou encore de souveraineté numérique une autre problématique est soulevée du point de vue du RGPD : Quid du principe de consentement libre et éclairé ? La suite au prochain épisode…dans un prochain article !
#Santé #Donnéespersonnelles #RGPD #élection2022 #souveraineténumérique #hébergement
Et le consentement dans tout ça ?...
La clé pour faire accepter le numérique à tous les usagers ? Le mécanisme du consentement opt-out.
Dans le précédent article, nous avons évoqué les problématiques de cybersécurité ou encore d’hébergement des données que pouvaient provoquer le nouvel outil d’Ameli « Mon espace Santé ». Aujourd’hui, il est intéressant de s’intéresser au principe du consentement libre et éclairé.
Pour rappel, le principe du consentement libre et éclairé est régi par l’article L1111-4 du Code de la santé publique « Aucun acte médical ni aucun traitement ne peut être pratiqué sans le consentement libre et éclairé de la personne et ce consentement peut être retiré à tout moment ».
Cela signifie que le consentement doit être obtenu en l’absence de contrainte et précédé par une information. Est-ce réellement le cas avec « Mon espace santé » ?
Vous avez dû le constater, le nouvel outil « Mon espace santé » est automatiquement créé pour chaque personne qui possède une assurance maladie. Il est donc basé sur un consentement présumé. Sans action de votre part, votre espace sera créé et regroupera l’ensemble de vos données médicales.
L’opposition est certes possible en appelant le numéro attribué par Ameli à cet effet ou en se rendant sur le site monespacesante.fr (pas sans difficulté). Cette opposition doit s’effectuer dans un délai de six semaines après la réception de vos codes.
Quid après l’expiration du délai de 6 semaines ?
Dans l’hypothèse où le délai de six semaines aurait été écoulé le compte peut alors être clôturé. Les données seront, en revanche, archivées pendant une durée de dix ans sur les serveurs de l’assurance maladie.
On est sur ce qu’on appelle un mécanisme de consentement opt-out. L’opt-out correspond à l’absence d’accord, c’est-à-dire que si l’utilisateur n’a pas dit « non » c’est « oui », on traduit ce mécanisme comme « choisir de sortir ».
Peut-on réellement considérer qu’un consentement automatique comme prévu dans « Mon Espace Santé » est un consentement ? Le débat est ouvert et largement controversé…
