Le gouvernement a décidé d’une plateforme de données de santé ayant pour vocation à réunir les données de santé. Mais cette plateforme pose de nombreuses questions : sur la souveraineté numérique et la protection des données personnelles, sur l’emploi de Microsoft, sur les risques de privatisation des données.
Question écrite posée le 15/09/2020 :
M. Bastien Lachaud interroge M. le ministre des solidarités et de la santé sur la mise en place du Health Data Hub. Cette « plateforme des données de santé » ou Health Data Hub (HDH) a été décidée par la loi n° 2019-774 du 24 juillet 2019 relative à l’organisation et à la transformation du système de santé.
Cette plateforme a pour but de conserver l’ensemble des données de santé des Français et de devenir le guichet unique permettant d’y accéder. Sont concernées l’ensemble des données de santé, celles issues entre autres du système national des données de santé (SNDS), mais aussi celles de l’assurance maladie, des centres hospitaliers, des pharmacies, du dossier médical partagé, ainsi que les données de santé issues de la recherche. Le but est de mettre en place la stratégie d’intelligence artificielle décidée par le Président de la République Or le choix qui a été fait par le groupement d’intérêt public pour héberger cette plateforme est celui de la multinationale étatsunienne Microsoft, qui propose une solution d’hébergement «Azure».
Ce choix pose problème à plusieurs égards.
Premièrement, il fait le choix du privé, plutôt que du public, pour stocker des informations particulièrement sensibles, puisqu’elles concernent la santé des Français, leur vie privée, et qui sont par ailleurs soumises au secret médical. Des données de cette nature relèvent de la souveraineté de la France, l’État doit donc contrôler de façon souveraine leur sécurité en les hébergeant sur des serveurs publics, ou à la rigueur privés, mais a minima situés en France et de droit français, et dont la sécurité est garantie par l’ANSSI. Seule une telle configuration permet d’assurer la souveraineté de ces données.
Le fait que les données soient anonymisées ne suffit pas puisque de nombreuses études montrent les risques de réidentification. Le fait qu’elles soient chiffrées est problématique dans la mesure où on a appris qu’Azure conserverait les clés de déchiffrement. La centralisation des données sur une seule plateforme, présentée comme une évidence technologique, doit être interrogée : elle augmente les risques de réidentification des patients, de compromission des données ou encore les difficultés de contrôle des établissements hospitaliers sur les données.
Deuxièmement, le gouvernement fait le choix d’une entreprise de droit étatsunien, soumise donc au Cloud Act tout comme au Patriot Act et mettant en péril la souveraineté de la France sur ses données de santé. En effet, en vertu de ces lois, l’administration étatsunienne peut obtenir les données personnelles des citoyens français : les entreprises doivent « communiquer les contenus de communications électroniques et tout enregistrement ou autre information relatifs à un client ou abonné, qui sont en leur possession ou dont ils ont la garde ou le contrôle, que ces communications, enregistrements ou autres informations soient localisés à l’intérieur ou à l’extérieur des États-Unis ».
Une telle situation n’est pas acceptable et certaines des dispositions des lois étatsuniennes sont contraires au RGPD. La CNIL a également relevé le fait que le contrat liant le HDH à Azure « mentionne l’existence de transferts de données en dehors de l’UE dans le cadre du fonctionnement courant de la plate-forme ». Quoiqu’il s’agisse a priori d’opérations de maintenance, le principe même d’un tel transfert ne manque pas d’interroger, d’autant plus à l’heure de l’annulation du Privacy Shield. Le 11 juin 2020, la CNIL a également « souhaité que [l’]hébergement [du HDH] puisse être réservé à des entités relevant exclusivement des juridictions de l’UE », ce qui exclut donc les hébergeurs de droits étatsuniens comme Microsoft.
Troisièmement, le Gouvernement a fait le choix d’un géant du numérique appartenant aux GAFAM, faisant courir le risque d’une exploitation des données. Une telle utilisation est loin de relever du fantasme, puisque le Wall Street Journal du 11 novembre 2019 a révélé que l’entreprise Google a déjà mis la main sur les données médicales de millions d’Américains grâce à un accord jusqu’à présent tenu secret avec le groupe hospitalier Ascension, qui utilise sa solution d’hébergement Google Cloud. Plus encore, un arrêté du 21 avril 2020 oblige les hôpitaux à transmettre les données au géant américain et élargit les catégories de données médicales que la plateforme peut stocker. M. le député souhaiterait connaître, au-delà de Microsoft, quels sont les sous-traitants impliqués dans la gestion de la plateforme et les garanties offertes par Microsoft sur leur respect des règles du RGPD et leurs engagements en matière de sécurité des systèmes d’information.
Indépendamment de la question de l’hébergement, en présentant un projet de recherche « d’intérêt public », différents acteurs pourront accéder aux données de santé. Dans son avis du 31 janvier 2019, la CNIL s’est d’ailleurs inquiétée de la disparition des critères de finalités de recherche, d’étude ou d’évaluation. Or ce concept est relativement flou et des autorisations pourraient être accordées aux chercheurs mais aussi à des entreprises, start-up ou même assureurs. Lesquelles pourraient ensuite utiliser le produit de leurs recherches à des fins commerciales.
D’autres acteurs s’inquiètent de la mise en place d’un tel système. Ainsi, le Conseil national des barreaux met en garde contre « les risques de violation du secret médical et d’atteinte au droit au respect de la vie privée ». Le conseil national de l’Ordre des médecins alerte également sur le fait que « les infrastructures de données, plateformes de collecte et d’exploitation, constituent un enjeu majeur sur les plans scientifique, économique, et en matière de cybersécurité. La localisation de ces infrastructures et plateformes, leur fonctionnement, leurs finalités, leur régulation représentent un enjeu majeur de souveraineté afin que, demain, la France et l’Europe ne soient pas vassalisées par des géants supranationaux du numérique ».
Ainsi, puisque dans le projet d’élaboration de cette plateforme était prévu le principe de réversibilité et du redéploiement de la plateforme sur un opérateur européen, voire français, et dont les serveurs sont situés en France, M. le député souhaiterait savoir ce que le Gouvernement a entrepris afin de susciter au plus vite une telle offre et à quelle échéance il planifie la transition de l’hébergement depuis Microsoft vers une telle solution souveraine.
Il souhaite savoir ce que le Gouvernement a entrepris pour garantir dans l’immédiat le stockage de ces données sur le sol français.
Il souhaite également apprendre quelles garanties sont données pour que les données de santé des Français ne fassent l’objet d’aucune utilisation marchande ou commerciale, même indirecte.
Il souhaite enfin apprendre quel contrôle démocratique le Gouvernement entend mettre en place sur l’utilisation des données de santé.