
Initialement lancé en mai 2019 par le gouvernement, le projet Health Data Hub est une plateforme conçue pour regrouper toutes les données de santé des Français de manière centralisée. Une initiative louable, en théorie, puisqu’elle permettra aux chercheurs d’accéder aux données fournies par les hôpitaux ou l’Assurance maladie. Ces ressources leur permettront de développer des modèles d’intelligence artificielle capables de prédire les maladies, de renforcer la précision des diagnostics, ou encore de découvrir de nouveaux médicaments.
Cependant, compte tenu du caractère sensible et intime des données de santé de 67 millions de personnes, des inquiétudes légitimes émergent quant à la confidentialité, bien que les données soient chiffrées et anonymisées. Le problème c’est le fournisseur cloud choisi par le gouvernement pour l’hébergement de la plateforme française. Ces inquiétudes sont d’autant plus légitimes que le célèbre lanceur d’alerte Edward Snowden soulignait fin mai dernier que le choix d’un hébergeur américain fait du Health Data Hub une menace pour la vie privée.
La CNIL, qui contrôle la loi Informatique et Libertés qui régit l’accès à ces informations, s’est jointe à la polémique qui va bon train depuis des semaines. En effet, la commission souhaite qu’au vu de « la sensibilité et du volume des données ayant vocation à être hébergées au sein de la PDS, pour lesquelles le niveau de protection technique, mais aussi juridique le plus élevé doivent être assurés, y compris en matière d’accès direct par les autorités de pays tiers, la CNIL a fait part de son souhait qu’une vigilance particulière soit accordée aux conditions de conservation et aux modalités d’accès aux données ».
La Commission nationale va plus loin en appelant au choix d’un hébergeur européen : « À plus long terme, elle a pris acte de ce qu’il lui a été indiqué que l’entrepôt appelé à être constitué au sein de la Plateforme des données de santé n’est pas lié aux services d’un unique prestataire. Elle souhaiterait, eu égard à la sensibilité des données en cause, que son hébergement et les services liés à sa gestion puissent être réservés à des entités relevant exclusivement des juridictions de l’Union européenne ».
Même si le RGPD prémunit les pays d’Europe contre la loi américaine Cloud Act, qui autorise la justice des États-Unis à accéder sur demande aux données stockées par des hébergeurs américains, en interdisant le transfert de données vers des pays extérieurs à l’UE, le choix du gouvernement inquiète et suscite la polémique.
La CNIL souligne « les inquiétudes soulevées à plusieurs reprises par le Comité européen de la protection des données (CEPD) concernant l’accès par les autorités nord-américaines aux données transférées aux États-Unis, plus particulièrement la collecte et l'accès aux données personnelles à des fins de sécurité nationale en vertu de l'article 702 de la loi américaine FISA et du décret (« Executive Order ») 12 333 ».
Elle rappelle aussi les obligations du RGPD qui « interdisent toute demande d’accès d'une juridiction ou d'une autorité administrative d'un pays tiers, adressée à des entreprises dont les traitements sont soumis au RGPD, en dehors d’un accord international applicable ou, selon l’interprétation du CEPD, de l’application d’une dérogation relative à l’intérêt vital de la personne concernée ».
Le choix du gouvernement contesté depuis plusieurs semaines
Depuis quelques semaines, des acteurs français cherchent à comprendre pourquoi un prestataire français – comme OVH – n’a pas été retenu dans le cadre du Health Data Hub. Dans un tweet, Octave Klaba, président du fournisseur de cloud français OVH, a exprimé son mécontentement : « C’est la peur de faire confiance aux acteurs français de l’écosystème qui motivent ce type de décisions. La solution existe toujours. Le lobbying de la religion ‘Microsoft’ arrive à faire croire le contraire. C’est un combat. On va continuer et un jour on gagnera. Ensemble. »
Il a aussi relancé la polémique dans un autre tweet lors d’un échange avec Stéphanie Combes, directrice de Health Data Hub : « Pas de cahier des charges. Pas d’appel d’offres. Le POC avec Microsoft qui se transforme en solution imposée. Tout ceci à la limite je m’en fous. Mais de là dire que l’écosystème qu’on représente est incapable de proposer mieux et moins cher, c’est non ! »
Face à ces accusations, le gouvernement se défend en rappelant que le contrat a été signé en 2019. Or, à cette époque, OVH ne disposait pas de la certification HDS (hébergeur de données de santé) obligatoire pour stocker de telles données. Aussi au nom de l’état d’urgence, le gouvernement français devait accélérer la mise en place du Health Data Hub. C’est la raison pour laquelle Microsoft a été sélectionnée, afin de ne pas perdre de temps.
« Avec les solutions françaises, étant donné le retard européen dans le cloud, que je regrette profondément, nous n’avions pas la possibilité de faire tourner les algorithmes d’intelligence artificielle aussi développés sur l’infrastructure française que sur l’infrastructure américaine », avait répondu Cédric O, secrétaire d’État en charge du numérique, lorsque que la sénatrice Catherine Morin Dessailly a voulu savoir ce qui a motivé l’attribution du marché à Microsoft.
Néanmoins, la directrice du Health Data Hub, Stéphanie Combes, a précisé que le contrat n’est pas définitif. Si les conditions sont remplies, il est possible qu’OVH ou d’autres acteurs français comme Scaleway et Hotscale soient appelés à rejoindre le projet. Toutefois, pour l’heure, ces entreprises françaises n’ont pas été sollicitées par le gouvernement.
Parmi les plaignants, on compte le collectif de professionnels de la santé et de l’informatique médicale InterHop, l’ancien président du Comité national consultatif d’éthique Didier Sicard, le professeur Bernard Fallery, le Syndicat national des journalistes, le Syndicat de la médecin générale, ou encore l’Union française pour une médecine libre. Ces entités sont à l’origine d’un recours pour lequel le Conseil d’État rendra son verdict ce 11 juin prochain.
Ils reprochent que la plateforme mise en place « porte une atteinte grave et sûrement irréversible aux droits de 67 millions d’habitants de disposer de la protection de leur vie privée notamment celle de leurs données parmi les plus intimes, protégées de façon absolue par le secret médical : leurs données de santé ». Le motif de leurs recours est que le Health Data Hub qui regroupe ses données, est « hébergé sur le cloud de Microsoft », une entreprise américaine. Pour eux, « il n'y a pas de garantie que ces données ne seront pas exportées aux États-Unis ».
Source : CNIL
Et vous ?


Lire aussi


