Santé ordinateur

Une coalition emmenée par le Conseil national du logiciel libre (CNLL) conteste le lancement de la plateforme française de données de santé ainsi que son hébergement sur le Cloud Microsoft Azure.

Elle ne vous dit peut-être rien, mais elle est pourtant au cœur d'un débat qui nous concerne toutes et tous potentiellement. Évoquée à la suite du rapport Villani sur l'intelligence artificielle, puis créée par un arrêté pris le 29 novembre 2019, la plateforme Health Data Hub (HDH) avait reçu le soutien du président de la République, Emmanuel Macron, pour devenir la base publique de collecte des données de santé. Sauf qu'elle n'est pas du goût d'une quinzaine d'organisations et de personnalités, qui ont déposé un recours devant le Conseil d'État, où une audience avait lieu le 11 juin.

Une plateforme censée contribuer à la recherche

Le référé-liberté, déposé par une coalition emmenée par le Conseil national du logiciel libre (CNLL), est soutenu par des organisations et personnalités comme le Syndicat national de la médecine générale, le Syndicat national des journalistes, l'Union française pour une médecine libre ou le collectif Interhop (hôpitaux pour le partage libre des algorithmes). Il est arrivé sur le bureau de la plus haute juridiction administrative française de façon à obtenir la suspension de l'arrêté pris le 21 avril 2020, qui a définitivement consacré le lancement de la plateforme et autorisé la collecte des données de santé liées au Covid-19 par le HDH, et notamment les résultats des enquêtes épidémiologiques permises grâce à la loi prolongeant l'état d'urgence sanitaire.

Créé pour remplacer le Système national des données de santé (SNDS), le Health Data Hub permettrait de croiser la totalité des données de santé disponibles, ce qui englobe celles émises et collectées par les hôpitaux ou les médecins de ville, la liste étant non-exhaustive. Il faut donc s'attendre à ce que, dans le futur, toutes les données ponctionnées en lien avec l'Assurance maladie soient centralisées dans la plateforme.

Si la mission principale de cette mutualisation des données est d'aider les chercheurs dans l'analyse et le développement d'algorithmes d'apprentissage automatique (intelligence artificielle) qui pourraient permettre de renforcer les capacités de diagnostic, de découvrir de nouveaux traitements ou de prédire les maladies, le CNLL déplore que les data seront mises « à disposition des entreprises, professionnels de santé ou organismes de recherche ».

Sante

Le Cloud Act américain fait peser la menace sur la relation Microsoft-HDH

Le collectif de requérants émet surtout - et c'est tout l'objet du recours - « un doute légitime sur la légalité de l’attribution du marché public d’hébergement des données de santé publique (de Health Data Hub) à Microsoft Azure ». Celui-ci, qui déplore l'absence des certifications nécessaires, rappelle que l'attribution à la plateforme n'a fait l'objet d'aucun appel d'offres.

Concernant l'imbroglio avec Microsoft, les parties demanderesses au recours estiment que la firme américaine a été favorisée par le gouvernement dans son choix d'hébergement de la plateforme. Edward Snowden lui-même affirmait le mois dernier que confier l'hébergement de Health Data Hub à Microsoft constituait une menace pour la vie privée et la confidentialité. Car oui, n'oublions pas qu'outre-Atlantique, le Cloud Act permet à la justice américaine d'accéder aux données stockées par les hébergeurs américains, comme AWS, Azure ou Google Cloud Platform, même si ces données sont hébergées à l'étranger, en Europe notamment. Et il n'est pas certain que le RGPD soit suffisamment protecteur, même si la CNIL par exemple prétend l'inverse.

La CNIL appelle à changer d'hébergeur « à plus long terme »

Le fondateur d'OVH, Octabe Klaba, reproche au gouvernement d'être dans la crainte de faire confiance aux Français et de se laisser influencer par ce qu'il appelle « le lobbying de la religion Microsoft ». Un signal effectivement contre-productif alors que l'État coordonne publiquement le projet de Cloud européen Gaia-X, censé s'ériger contre les géants mondiaux du domaine.

Mais au moment de la signature du contrat, en 2019, OVH ne jouissait pas du statut d'hébergeur de données de santé, alors que Microsoft, vous l'aurez compris, oui. Et cette condition est impérative pour pouvoir manipuler et stocker ces données sensibles. Depuis, OVH a obtenu sa certification, et le contrat entre Microsoft et l'État n'étant pas définitif, un revirement est tout à fait possible.

La CNIL s'est en tout cas prononcée, jeudi 11 juin, validant sur le principe la plateforme, mais demandant au gouvernement, « à plus long terme », de veiller à ce que son hébergement et les services liés à sa gestion « puissent être réservés à des entités relevant exclusivement des juridictions de l’Union européenne ».