Microsoft bientôt éjecté du Health Data Hub, la plateforme française qui héberge nos données de santé ? Après avoir défendu le choix de l'américain "par absence de solution française répondant à tous nos critères au moment de sa création en 2019", le gouvernement fait machine arrière. Dans une audition devant le Sénat, Cédric O a affirmé que l'Etat recherche désormais "une solution française ou européenne".
Mais ce volte-face n'est pas seulement la prise en compte de la polémique grandissante, ces derniers mois, autour du fait de permettre aux Etats-Unis d'accéder aux données de santé des Français. Jeudi 9 octobre, Mediapart révèle que la Commission nationale informatique et libertés (Cnil) a frappé du poing sur la table, forçant l'Etat à réagir. Dans le cadre d'un recours visant à obtenir la suspension du Health Data Hub, hébergé par Microsoft, le gendarme de la protection des données a transmis au Conseil d'Etat un mémoire demandant à l'ensemble des acteurs de la santé d'arrêter, "dans un délai aussi bref que possible", de confier leur hébergement à Microsoft ou à toute autre société soumise au droit américain. Cela concerne donc le Health Data Hub, mais aussi tout autre hébergement de données de santé.
Qu'est-ce que le Health Data Hub ?
Le Health Data Hub est la plus grande plateforme française de données de santé. Créé par la loi santé du 24 juillet 2019, il est actif depuis que le décret d'application a été publié, le 21 avril dernier, de manière précipitée en raison de l'état d'urgence sanitaire. Il complète le système national des données de santé (SNDS), déjà en place depuis 2016.
Cette gigantesque base de données est une première en France. Elle se nourrit de plusieurs fichiers de données de santé des Français, qui étaient auparavant éparpillés dans de nombreux organismes comme les hôpitaux publics, les secours ou encore la Sécurité Sociale. Les données liées à l'épidémie de Covid-19 sont également intégrées, issues de deux fichiers créés pendant la crise sanitaire : le SIDEP (données de laboratoire), et Contact Covid, qui fait office de répertoire de personnes potentiellement contaminées par le Covid-19.
Pourquoi les données qu'il héberge sont-elles sensibles ?
Centraliser toutes ces données dans une seule et même plateforme permet aux chercheurs de mieux les exploiter et de les croiser dans le cadre de leurs recherches, conformément aux recommandations du rapport du député Cédric Villani sur l'intelligence artificielle, publié en 2018. Celui-ci préconisait le regroupement des données de santé existantes pour entraîner des intelligences artificielles, dans l'espoir d'améliorer des diagnostics, de développer la médecine préventive, de mieux comprendre l'évolution des maladies, de découvrir de nouveaux médicaments ou d'optimiser le parcours de soin.
Toutes les données contenues dans le Health Data Hub sont anonymisées. Les chercheurs et certaines entreprises peuvent y accéder, si elles justifient d'un projet d'intérêt général.
L'existence même de cette plateforme suscite des craintes chez certains défenseurs de la vie privée, car le Health Data Hub contient l'essentiel des données publiques de santé des Français. Or, les données de santé sont considérées comme extrêmement sensibles, d'où le débat sur leur recoupement dans une seule plateforme : en cas d'attaque informatique, c'est donc l'ensemble des données de santé des Français qui seraient vulnérables. Au contraire, les partisans du projet estiment qu'une méga-plateforme hyper sécurisée protège mieux les données de santé qu'une multitude d'organismes. D'où la nécessité d'un hébergement très solide.
Pourquoi l'Etat a-t-il choisi Microsoft Azure pour héberger la plateforme ?
Comme toute plateforme sur Internet, le Health Data Hub a besoin de stocker ses données dans le cloud. Pour cela, il doit faire appel à un hébergeur. Comme il s'agit de données de santé, il faut que l'hébergeur garantisse des niveaux de sécurité adaptés. Au moment du lancement du projet, la France a donc choisi Microsoft Azure car l'américain dispose de serveurs dédiés à l'hébergement des données de santé, d'une puissance suffisante pour les usages du Health Data Hub, et dotés de critères de sécurité adéquats.
Pourquoi ne pas avoir choisi le champion français du cloud OVH, basé près de Lille ? Le gouvernement assure qu'au moment de choisir l'hébergeur du Health Data Hub, OVH n'était pas capable de répondre à toutes les exigences en matière de puissance et de sécurité. Depuis, OVH a contesté cette raison et assure être désormais capable d'héberger le Health Data Hub. L'entreprise hexagonale devrait donc être considérée, parmi d'autres entreprises européennes, pour le choix du nouvel hébergeur, étant donné que Microsoft va être éjecté du projet.
Pourquoi l'Etat est-il désormais pressé de se débarrasser de Microsoft ?
Car l'accord sur les transferts de données entre l'Union européenne et les Etats-Unis, le Privacy Shield, a été annulé le 16 juillet dernier par la Cour de justice européenne. 5.000 entreprises américaines, dont Microsoft, s'appuyaient sur cette législation pour transférer des données d'un continent à l'autre. La raison de cette décision ? Les risques que font peser les programmes de surveillance américains sur la protection des données des Européens. La cour de justice européenne a considéré que même quand les données des Européens sont hébergées dans des datacenters d'entreprises américaines en Europe -ce qui est le cas du Health Data Hub, hébergé en France dans des centres de données de Microsoft-, les agences de renseignement comme la NSA ou le FBI peuvent y avoir accès, sans possibilité de recours ni de contrôle.
Cette décision a permis à un collectif de 18 organisations et personnalités, dont le Conseil national du logiciel libre, le Syndicat national des journalistes et le Syndicat de la médecine générale, de relancer leur requête devant le Conseil d'Etat pour suspendre le traitement et la centralisation des données au sein du Health Data Hub.
Après un premier rejet de procédure fin septembre, les requérants ont soumis une nouvelle requête en référé. Une audience s'est tenue ce jeudi 8 octobre et la décision est attendue "la semaine prochaine", a indiqué le Conseil d'Etat. Les injonctions de la Cnil viennent donc appuyer la contestation contre le choix de Microsoft pour héberger le Health Data Hub, et ont pour but d'influencer la décision du Conseil d'Etat.
Selon toute vraisemblance, l'hébergement du Health Data Hub devrait être interdit à Microsoft. La Cnil fournit même l'argumentaire juridique : l'autorité relève l'existence d'un avenant qui "limite fortement les transferts à l'initiative de Microsoft" mais qui les autorise "si la loi l'exige". Or, depuis l'invalidation du Privacy Shield, ces demandes "devraient être considérées comme des divulgations non autorisées par le droit de l'Union" notamment au regard du au Règlement général sur la protection des données (RGDP).
Par qui remplacer Microsoft pour le Health Data Hub et pour les autres acteurs de la santé qui l'utilisent ?
Ce qui vaut pour le Health Data Hub doit aussi valoir pour les nombreux autres acteurs de la santé en France, qui utilisent des solutions américaines pour héberger leurs données. Ils vont donc devoir modifier leurs conditions d'hébergement au risque de se voir refuser, par la Cnil, leurs "autorisations de traitement de ces données, notamment dans le cadre de recherches scientifiques".
Mais par qui remplacer Microsoft ? Les français OVH et 3DS Outscale se sont d'ores et déjà positionnés. Cédric O dit que le gouvernement va aussi examiner d'autres solutions européennes dans le cadre d'un nouvel appel d'offres. Pour faciliter la procédure, la Cnil recommande la mise en place d'une "solution transitoire", c'est-à-dire un "fondement juridique permettant de délivrer des autorisations, sous certaines garanties", uniquement jusqu'à l'attribution d'un nouveau hébergeur au terme de l'appel d'offres.
Plan d'urbanisme à Paris : les professionnels dénoncent « une aberration », le premier adjoint d'Hidalgo leur répond
Il n'y a actuellement aucun commentaire concernant cet article.
Soyez le premier à donner votre avis !