Menu
nation
Santé
Données de santé : Le gouvernement adoube Microsoft

Le 30 novembre 2019, suite à la remise du rapport du député Cédric Villani au président de la République, le ministère de la Santé créait Health Data Hub (HDH), une plateforme géante bien française malgré son nom, supposée exploiter les données de santé de l'ensemble des Français. Le hic ? Il réside dans l’attribution à l’américain Microsoft du stockage.

Données de santé : Le gouvernement adoube Microsoft
Alain SUPPINIMédecin (Abonné)
Publié le 19 juillet 2020

Profitez de notre offre spéciale jusqu'au 31/07/2020

Un an d'abonnement 
papier + site 
54€ au lieu de 89€

soit une économie de 39%


Le 30 novembre 2019, suite à la remise du rapport du député Cédric Villani au président de la République, le ministère de la Santé créait Health Data Hub (HDH), une plateforme géante bien française malgré son nom, supposée exploiter les données de santé de l'ensemble des Français. Quels en étaient les objectifs : collecter sur une plateforme unique des données jusqu'alors disparates, issues des organismes publics de santé français, tels que l'Assurance Maladie et les hôpitaux.

A titre individuel, l'objectif du HDH est de garantir au dossier médical de chacun des Français un historique informatisé précis, actualisé en permanence et non redondant. Les patients seront ainsi informés en temps réel et l'exercice de leurs droits en matière de santé facilités.

A titre collectif, il permettra, grâce à l'Intelligence Artificielle, de croiser des masses de données infinies pour permettre des avancées sans précédent en matière de recherche médicale et de soins de santé publique. Les objectifs visés concernent aussi bien la prédiction des crises cardiaques, que les meilleurs schémas thérapeutiques des cancers des os, ou encore le taux de patients concernés par les effets indésirables d'un médicament.

Les données de santé sont des données à caractère personnel, révélant des informations sur l'état de santé d'une personne: elles entrent donc, selon la classification de la CNIL, dans la catégorie des données sensibles. Leur recueil et leur exploitation sont interdits par la loi, sauf dans des cas très particuliers relevant de l'article 9 du RGPD (Règlement général de protection des données) : c'est dans ces cas précis que se place le Health Data Hub.

Pour accéder à ces données médicales, 3 temps sont obligatoires :

- le projet proposé doit démontrer son caractère d'intérêt public

- le comité éthique et scientifique pour les recherches, les études et les évaluations dans le domaine de la santé (CESREES), composé de 21 membres, doit en vérifier la pertinence et la qualité de sa méthodologie.

- enfin, la CNIL doit se prononcer sur la protection des données et de respect des libertés individuelles.

Au final, tout semble donc idéal pour un déploiement du HDH sans obstacle.

Mais alors, quels sont donc les arguments qui le rendent si polémique ?

La principale inquiétude réside dans le fait que ces données soient stockées sur les serveurs de Microsoft, et non sur ceux d'un fournisseur français ou européen, au prétexte qu'il s’agit du premier géant du Cloud à avoir obtenu la certification HDS (Hébergeur de Données de Santé).

Même si elles sont stockées dans des centres de données de Microsoft au Pays-Bas, leur transfert sur le sol US n'est qu'un détail.

Ensuite, on le sait, Microsoft (comme les autres GAFA) est soumis au Cloud Act américain: depuis mars 2018, une loi permet aux procureurs des États-Unis, eux-mêmes placés sous tutelle directe du pouvoir exécutif, d'exiger de ces fournisseurs de Cloud l'accès aux données stockées sur leurs serveurs, même si ceux-ci sont situés en Europe.

Le risque de voir les données stockées fuiter vers les États-Unis est donc immense.

Le RGPD (règlement général sur la protection des données) européen essaie de tempérer ce risque, stipulant "qu'une décision de justice d'un pays tiers [les USA en l’occurrence] n'est pas reconnue en Europe si elle ne se fonde pas sur un accord international préalable".

Le rapport du député Raphaël Gauvin, remis à Édouard Philippe, prévoit d'infliger à un fournisseur de Cloud contrevenant à l'interdiction de transmettre les données numériques de ressortissants français, une amende correspondant à 4% de son chiffre d'affaire annuel.

Reste à savoir si malgré tous ces pare-feux mis en place, le rapport de force entre les États-Unis et l'Europe sera en faveur de cette dernière…

Le danger semble tellement réel que même le célèbre lanceur d'alerte Edward Snowden, réfugié depuis 2013 à Moscou, déclare en Français sur son compte Twitter: "Il semble que le gouvernement français capitulera face au cartel du cloud et fournira les informations médicales du pays directement à Microsoft. Pourquoi? C'est juste plus simple!"

Remarque visionnaire, puisque dans le contexte de crise sanitaire que connaît la France, malgré une vive mise en garde de la CNIL, malgré la colère des entreprises françaises du secteur, soutenues par de nombreux parlementaires, le Conseil d’État, le 20 juin 2020, rend sa décision en faveur de Microsoft.

Au final, on peut légitimement se poser la question de savoir ce qui a pu motiver une telle hâte à attribuer l'hébergement au géant du web, sans véritablement créer un appel d'offres spécifique. Les facteurs humains semblent massivement en cause:

- Cédric Villani, à peine nommé député, déclare à Emmanuel Macron que "le seul véritable danger de l'Intelligence Artificielle serait de ne pas s'y investir". Très certainement pressé de prouver sa puissance de réflexion, il édite un rapport dans lequel pas un seul nom d'hébergeur de Cloud ne figure.

- La directrice du hub, Stéphanie Combes, déclare que la sélection du cloud Azure de Microsoft n'est "pas idéale", mais correspond à un "choix d'opportunité" afin "d’aller vite" dans le développement de la plateforme. Elle ajoute: "On a préféré aller vite pour ne pas prendre de retard et pénaliser la France par rapport aux autres pays." Et enfin: "S'il y avait eu une alternative, nous aurions dû passer par un marché public et la procédure aurait été beaucoup plus longue."

- la CNIL, quant à elle, réalise la plupart du temps un travail parfaitement rigoureux. Malheureusement, on le sait bien, "à trop crier au loup, on finit par ne plus y croire".

- les collectifs d'entreprises et d'associations ont eux aussi des intentions louables, malheureusement leurs seuls recours véritables consistent à adresser des courriers au ministère et monter des pétitions dont on connaît à terme l'absence totale d'efficacité.

il ne reste plus alors aux fonctionnaires du Conseil d’État qu'à cocher chacune des cases du dossier proposé et légiférer en faveur de Microsoft, et par voie de conséquence du pouvoir exécutif américain, qui n'en demandait pas tant.

0 commentaireCommenter