Avis 20221284 Séance du 21/04/2022

Monsieur X, pour X, a saisi la commission d'accès aux documents administratifs, par courrier enregistré à son secrétariat le 1er mars 2022, à la suite du refus opposé par le président de HEALTH DATA HUB à sa demande de communication, sous format numérique / par voie électronique, d'une copie de l'audit de sécurité réalisé en février 2021 par l’Agence nationale de la sécurité des systèmes d'information (ANSSI) sur la plate-forme des données de santé, le HEALTH DATA HUB. En réponse à la demande qui lui a été adressée, le président de HEALTH DATA HUB a informé la Commission que le rapport d'audit sollicité comporte des détails sur l’architecture de la plateforme technologique du Health Data Hub et d’éventuelles vulnérabilités qui, même mineures, pourraient être exploitées par des attaquants et ainsi porter un risque à la sécurité du système d’information, prévue au d) du 2) de l'article L311-5 du code des relations entre le public et l'administration et que l'occultation des passages liés à la sécurité serait de nature à priver de son sens le document sollicité. La commission relève en outre que cette analyse a été confirmée par l’ANSSI, saisie pour avis par le président de HEALTH DATA HUB. Elle prend acte de ces éléments et émet en conséquence en l’état des informations en sa possession, un avis défavorable à la demande.