Alors que le Conseil d’Etat a refusé d’annuler l’arrêté élargissant les prérogatives du Health Data Hub afin de mener en urgence des recherches contre le Covid-19, la décision du gouvernement de confier l’hébergement de nos données de santé à Microsoft pose toujours des questions de souveraineté.
Qu’est-ce que le Health Data Hub ?
La Plateforme des données de santé aussi appelée Health Data Hub a officiellement vu le jour le 30 novembre 2019. Cette infrastructure est destinée à faciliter le partage des données de santé issues de sources très variées afin de favoriser la recherche. Sa création a ainsi pour ambition de répondre au défi de l’usage des traitements algorithmiques (dits d’« intelligence artificielle ») dans le domaine de la santé et suit les préconisations du rapport Villani de mars 2018 intitulé « Donner un sens à l’intelligence artificielle : pour une stratégie nationale et européenne ». Un groupement d’intérêt public est chargé de la mise en place et de l’administration de cette plateforme succédant ainsi à l’Institut des données de santé.
Les missions de la Plateforme, qui sont prévues par l’article L. 1462-1 du Code de la santé publique, sont multiples. Elles consistent à :
- réunir, organiser et mettre à disposition des données, issues notamment du système national des données de santé (SNDS) et promouvoir l’innovation dans l’utilisation des données de santé ;
- informer les patients, promouvoir et faciliter l’exercice de leurs droits ;
- contribuer à l’élaboration des référentiels de la CNIL ;
- faciliter la mise à disposition de jeux de données de santé présentant un faible risque d’impact sur la vie privée ;
- contribuer à diffuser les normes de standardisation pour l’échange et l’exploitation des données de santé ;
- accompagner, notamment financièrement, les porteurs de projets sélectionnés dans le cadre d’appels à projets lancés à son initiative et les producteurs de données associés aux projets retenus.
Le choix de Microsoft comme hébergeur du Health Data Hub pose t-il problème ?
En décembre dernier l’état a choisi de confier l’hébergement du HDH à Microsoft Azure, déclenchant alors une polémique chez les professionnels de santé et les hébergeurs français. Les principaux reproches sont le choix d’une entreprise américaine présentant un risque de sécurité et de confidentialité des données, en particulier du fait du Cloud Act, loi permettant à la justice américaine d’accéder aux données stockées sur des serveurs situés en dehors des Etats-Unis.
La directrice du hub Stéphanie Combes a justifié dans une interview son choix par l’incapacité des grands acteurs du Cloud français de répondre au cahier des charges du HDH. « On a préféré aller vite pour ne pas prendre de retard et pénaliser la France par rapport aux autres pays » affirmait-elle à l’époque. Microsoft était alors « la seule société certifiée hébergeur de données de santé (HDS) sur les six activités » couvertes par la réglementation, a fait valoir Jean-Renaud Roy, directeur « corporate affairs » de Microsoft France, lors de son audition par la mission d’évaluation et de contrôle des lois de financement de la sécurité sociale (Mecss) de l’Assemblée nationale le 20 décembre.
Concernant la sécurité des données, Stéphanie Combes rappelait que « Les données seront pseudonymisées et chiffrées, et Microsoft n’aura pas la clé de chiffrement.« . Un audit de sécurité sur l’ensemble du hub a, par ailleurs, été réalisé avec l’appui de l’agence nationale de sécurité des systèmes d’information (Anssi), qui « accompagne » son développement. Il a été soumis à « neuf scénarios de cyberattaque », et le bilan a été « globalement positif ». Au sujet du Cloud Act, Stéphanie Combes comme les responsables de Microsoft, ont mis en avant le fait que cette loi concerne des enquêtes judiciaires en matière de criminalité et de terrorisme. Il est donc peut probable que la justice américaine veuille contrôler les données de santé d’un citoyen français. Et quand bien même, le Cloud Act impose la transmission des données… mais pas leur déchiffrement. Par ailleurs, « Toute demande d’accès d’une juridiction ou d’une autorité administrative d’un pays tiers, adressée au sous-traitant […] ne pourrait […] être considérée comme licite », prévient la présidente de la CNIL, Marie-Laure Denis dans une délibération du 20 avril dernier.
Pour Bernard Benhamou, secrétaire général de l’Institut de la souveraineté numérique, un groupe de réflexion privé dont la mission est de réfléchir aux enjeux internationaux des technologies et leur impact sur la souveraineté numérique européenne, ce choix n’est pas technologique, mais politique. Dans une interview, il évoque « le risque que ces technologies ne soient utilisées par les États pour mettre en place une surveillance de masse orwellienne comme le gouvernement chinois avec le « crédit social » qui note chaque individu pour évaluer son comportement social, politique et financier ».
Selon Bertrand SERVARY, directeur général de NETEXPLORER, l’un des hébergeurs français à avoir obtenu la certification HDS «… il parait contradictoire de confier les données de santé des citoyens français à un acteur étranger, alors même que la crise sanitaire du Covid-19 a révélé les difficultés engendrées par la non-maitrise de sources d’approvisionnement stratégiques. Il ne faut pas reproduire les erreurs du passé mais apprendre pour faire mieux avec les enjeux d’avenir que représente la data. Quant à l’argument relevant de la vitesse d’exécution il n’est pas recevable pour une décision aussi impactante pour les années à venir et qui de fait doit être réfléchie et non précipitée. La souveraineté numérique doit être privilégiée : pour créer un vrai espace économique à la hauteur des concurrents internationaux mais surtout pour garantir la maitrise de nos données stratégiques les plus sensibles en s’appuyant sur des acteurs locaux présentant d’ores et déjà les garanties nécessaires (certification HDS notamment). »
L’avis de la CNIL et du CEPD
Au regard des enjeux « Informatiques et Libertés » que soulèvent la création de la Plateforme des données de santé, la CNIL (Commission Nationale Informatique et Liberté) a eu plusieurs occasions de se prononcer sur sa mise en œuvre.
En outre, la Plateforme des données de santé a interrogé la CNIL sur les conditions techniques de sa mise en œuvre au regard des obligations issues du Règlement général sur la protection des données (RGPD) et de la loi Informatique et Libertés dans le cadre d’une demande de conseil. À cette occasion, la sécurité globale de la Plateforme a été évaluée et la CNIL a réitéré sa position sur la question des transferts de données hors de l’Union européenne.
La CNIL a aussi estimé que des données pourront être transférées hors de l’Union Européenne dans le cadre du fonctionnement courant de la solution technique. Elle souhaiterait cependant, eu égard à la sensibilité des données en cause, que son hébergement et les services liés à sa gestion puissent être réservés à des entités relevant exclusivement des juridictions de l’Union européenne.
Par ailleurs, le Comité européen de la protection des données (CEPD) a fait part de ses inquiétudes concernant l’accès par les autorités nord-américaines aux données transférées aux États-Unis, plus particulièrement la collecte et l’accès aux données personnelles à des fins de sécurité nationale en vertu de l’article 702 de la loi américaine FISA et du décret (« Executive Order ») 12333.
Enfin, comme le rappelle la CNIL, les dispositions du RGPD interdisent toute demande d’accès d’une juridiction ou d’une autorité administrative d’un pays tiers, adressée à des entreprises dont les traitements sont soumis au RGPD, en dehors d’un accord international applicable ou, selon l’interprétation du CEPD, de l’application d’une dérogation relative à l’intérêt vital de la personne concernée.
Des prérogatives élargies pour mener des projets de recherche contre le Covid-19.
Le Conseil d’Etat a maintenu, vendredi 19 juin, l’arrêté élargissant en pleine crise sanitaire l’autorisation donnée au HDH de mener des projets de recherche contre le Covid-19. Cet arrêté autorise HDH à stocker de nouvelles catégories de données médicales. Ainsi, un projet de recherche a pu être lancé, par le ministère de la santé, sur les données des passages aux urgences. Douze autres sont aujourd’hui à l’étude. Cette extension du HDH a été attaquée par quatorze associations, experts et médecins. Ces derniers lui reprochent, notamment, l’hébergement des données par un groupe américain, en l’occurrence Microsoft, et la centralisation d’une très grande quantité de données sensibles.
La juge du Conseil d’Etat a justifié sa décision ainsi : « Il n’apparaît pas que l’arrêté (…) porte une atteinte grave et manifestement illégale au droit au respect de la vie privée et au droit à la protection des données personnelles ». Le Conseil d’Etat a néanmoins ordonné au HDH de préciser à la CNIL les méthodes utilisées pour pseudonymiser les renseignements hébergés, et d’afficher sur son site plus d’informations pour les Français dont les données seraient utilisées.
Face aux critiques, le gouvernement réagit
Face à ces critiques, le secrétaire d’Etat au Numérique Cédric O a annoncé la publication prochaine d’un appel d’offres pour l’hébergement du Health Data Hub, jusqu’ici confié au cloud Azure de Microsoft. « Il serait normal que, dans les mois à venir, nous puissions lancer un appel d’offres afin d’avoir un choix plus large avec les spécifications qui permettront à quelqu’un de se positionner », a déclaré Cédric O, le secrétaire d’Etat chargé du Numérique, lors d’une conférence de presse le 23 juin dont le contenu a été repris par ZDNet.
