Health Data Hub : une question de souveraineté numérique ?

Le gouvernement français a fait le choix de centraliser les données santé des Français sur une plateforme qui est hébergée par un cloud américain. Que vont devenir nos données de santé et quel usage en sera fait ?

Avec un manque d’encadrement juridique, les américains ont un accès illimité à nos données de santé grâce au cloud act. Ils ont la possibilité de les utiliser à leurs fins stratégiques et économiques. Ils connaîtront l’état de santé du pays ainsi que les identités des Français. Ils pourront revendre nos données à des entreprises américaines pour leurs avancées scientifiques ou commerciales.

Qu’est-ce que le Health Data Hub ? 

Le Health Data Hub (HDH) est une plateforme centralisée des données de santé qui est hébergé par le cloud Azure de Microsoft. Elle a été créée le 30 novembre 2019 pour permettre un “accès aisé et unifié, transparent et sécurisé, aux données de santé pour améliorer la qualité des soins et l’accompagnement des patients”. De plus, elle facilitera l’analyse et le croisement de données santé pour offrir de nouvelles opportunités dans la recherche scientifique. 

Le HDH contient le système national des données de santé (SNDS) qui recense plusieurs bases de données issues de l’Assurance maladie et des hôpitaux. Avec la crise sanitaire de la COVID-19, ce projet a pris une autre dimension puisque les données issues de la crise, et plus particulièrement celles du Système d’information national de dépistage populationnel de la Covid-19 ont été intégrées. (SI-DEP). 

Un choix qui a suscité le débat au Sénat

Depuis la création de cette plateforme, le choix de Microsoft en tant qu’hébergeur des données a suscité les critiques et les inquiétudes des sénateurs. Effectivement, Microsoft est une société américaine et de ce fait elle est régie par la législation de ce pays notamment le Cloud Act. Avec cette loi, le gouvernement américain peut contraindre Microsoft à fournir l’ensemble des données stockées sur leurs serveurs, qu’ils soient situés aux États-Unis ou ailleurs. En 2020, la CNIL avait demandé des « garanties supplémentaires », craignant un risque de transmission des données aux services de renseignements américains

Pour ne pas arranger les choses, le 16 juillet 2020 la Cour de justice de l’Union européenne (CJUE) a jugé par l’arrêt « Schrems II » que le Privacy Shield était non conforme au Règlement général sur la protection des données (RGPD). En effet, le Privacy Shield mis en place par le ministère du Commerce des États-Unis, la Commission européenne et l’administration Suisse donnait un cadre aux entreprises pour être conforme au RGPD. De ce fait, les transferts de données permettaient à ces entreprises d’effectuer les échanges de données dans le cadre de la loi. L’arrêt Schrems II a invalidé le Privacy Shield entraînant un changement de cadre juridique : les lois américaines prennent le dessus sur les lois européennes pour le transfert de nos données, laissant une marge de main d’œuvre monumentale aux américains.

C’est dans ce contexte que le 2 Février 2022, la commission d’enquête sénatoriale sur “l’influence des cabinets de conseil” a interrogé le secrétaire d’Etat au Numérique sur la phase de préfiguration de la plateforme des données de santé. Lors de cette séance, le président de la commission d’enquête, le sénateur Arnaud Bazin (LR) a dénoncé un manque de prise en compte des questions de “sécurité critique” sur la probabilité que nos données soient collectées par le gouvernement américain. Le secrétaire d’Etat chargé du numérique s’est voulu rassurant en affirmant que l’utilisation du Health Data Hub ne permet pas de dire qu’il y a un risque et rappelle que la CNIL avait approuvé les projets. Effectivement, elle a validé ces projets dans son communiqué du 9 février 2021, mais avec des réserves sur la sécurité. De plus, le ministère de la Santé s’était engagé à recourir à une autre solution technique dans un délai compris entre 12 et 18 mois et, en tout état de cause, ne dépassant pas deux ans. 

  • Qu’en est-il un an plus tard ? 

Si l’on écoute le secrétaire d’Etat chargé du Numérique au Sénat le 3 février 2022 :  “La recherche d’une autre solution que Microsoft prendra du temps” ajoutant aussi que nous n’allons pas voir apparaître des acteurs français et européens de si tôt. Cette déclaration du secrétaire d’Etat chargé du numérique est assez inquiétante et on comprend que le délai pour trouver une autre alternative ne sera pas tenu. De ce fait, ceci laisse entendre que Microsoft va continuer à héberger nos données pendant longtemps malgré la tentative de créer un cloud européen avec le projet Gaia-X. 

  • La réaction de la CNIL

Le 9 Février 2022, la CNIL affirme dans un communiqué, que la sécurité des données mises à disposition par la plateforme est respectée. Toutefois, elle précise que toutes les mesures de sécurité et traitement de données devront être réévaluées régulièrement pour prendre en compte les évolutions et les risques de la plateforme. De plus, elle insiste sur une vigilance accrue sur les transferts de données hors UE depuis l’arrêt « Schrems II » jugé par la CJU, en raison de la sensibilité et du volume des données ayant vocation à être stockés au sein du HDH. 

Un manque de confiance venant des acteurs de santé

En 2020, un collectif comprenant le Conseil National du Logiciel Libre (CNLL), le Syndicat de la médecine générale (SMG), l’Union française pour une médecine libre (UFML), le Syndicat national des jeunes médecins généralistes (SNJMG), le collectif de médecins et informaticiens Interhop et des associations de patients. On saisit le conseil d’Etat suite à l’arrêt Schrems II, déclarant que “tout traitement de données personnelles de citoyens européens aux Etats-Unis doit aujourd’hui être considéré comme illégal sans délai” à cause du manque d’encadrement de loi. Mais par une décision en référé du 21 septembre 2020, le Conseil d’Etat a estimé que la requête ne présentait pas de caractère urgent avant de reconnaître la possibilité d’un risque le mois suivant. Le 13 octobre 2020, le Conseil d’État a reconnu la possibilité d’un risque de transfert de données issues de la plateforme vers les États-Unis du seul fait que Microsoft soit soumis au droit des Etats-Unis.

La Caisse nationale de l’assurance maladie (Cnam) suit cette tendance et s’est opposée à de multiples reprises au HDH. En février 2021, une version du projet de décret encadrant le Health Data Hub prévoyait une obligation d’hébergement des données du SNDS dans l’Union européenne (UE). La Cnam n’a pas confiance et considère que « les conditions juridiques nécessaires à la protection de ces données ne semblent pas réunies pour que l’ensemble de la base principale soit mis à disposition d’une entreprise non soumise exclusivement au droit européen ».

Vers un cloud souverain français ?

Avec du recul, les projets en commun avec des pays de l’Union européenne n’ont jamais été une réussite comme le projet cloud européen « Gaia-x ». Ce fut un projet extrêmement complexe, regroupant 180 membres issus de 18 pays, dont 12 de l’Union européen. Il est particulièrement critiqué car il a été mis en place pour ne plus être dépendant du cloud américain, mais on retrouve quand même la présence des acteurs américains comme Microsoft, Google ou Amazon dans sa conception. À cela, nous pouvons évoquer également le système de positionnement par satellites “Galileo” avec un coût public total de 10 milliards d’euros, de 2007 à 2030. Par conséquent, ces projets ont été coûteux mais ils ont surtout offert du temps aux géants américains pour accentuer leurs positions.

Le 26 mars 2021, l’association Anticor a saisi le Parquet national financier en estimant que le contrat était attribué à Microsoft sans mise en concurrence. Une pression supplémentaire a été faite par la Cnam et l’’association Interhop demandant l’ouverture d’un appel d’offres avec la mise en place d’une « commission indépendante ».

Le gouvernement cherche-t-il vraiment une alternative ?