Health Data Hub : des organisations dénoncent un passage en force du projet dans le contexte d’urgence sanitaire

Spread the love
Health Data Hub : des organisations dénoncent un passage en force du projet dans le contexte d'urgence sanitaire

Mauvais casting, mauvais timing, absence de transparence… Les torts reprochés au projet Health Data Hub sont nombreux. Une coalition menée par le Conseil national du logiciel libre (CNLL), regroupant notamment le collectif Interhop (hôpitaux pour le partage libre des algorithmes), a lancé une action auprès du Conseil d’Etat au sujet du Health Data Hub.

Les requérants demandent au Conseil d’Etat de suspendre l’arrêté en date du 21 avril 2020 confiant les données de santé liées au Covid-19 au Health Data Hub, la nouvelle plateforme publique de collecte de données de santé pour la recherche, dont la vocation est de récupérer (et d’étendre) les missions jusqu’alors confiées au Système National des Données de Santé (SNDS). Un décret devrait suivre prochainement.

publicité

Polémique sur le choix de l’hébergeur cloud

Les requérants s’interrogent sur le choix de Microsoft pour l’hébergement des données de santé de la plateforme, annonce le CNLL. Lors de l’audience qui s’est tenue ce jeudi, les organisations à l’initiative du recours ont regretté une « confusion qui règne ». Selon elles, une contradiction subsiste : Microsoft, en tant que prestataire technique, est certifié hébergeur de données de santé selon les normes de l’agence numérique de la santé, et notamment pour le rang n°5 qui prévoit « l’administration et l’exploitation du système d’information contenant les données de santé ». Or, l’hébergeur n’a pas accès aux données, soulignent les membres de la coalition. « A quoi ça sert ? » s’interroge le porte-parle devant le juge des référés, estimant que « c’est bien le GIP [Health Data Hub, NDLR] qui devrait donc être hébergeur 5 ».

Le choix de Microsoft a provoqué de vives réactions chez de nombreux acteurs, a commencer à l’étranger par le lanceur d’alerte Edward Snowden qui s’inquiète de la mainmise du géant américain sur les données santé. En France, Octave Klaba, président d’OVH, a aussi exprimé son mécontentement sur Twitter, regrettant l’absence de procédure d’appel d’offres dès le démarrage du projet. « C’est la peur de faire confiance aux acteurs français de l’écosystème qui motivent ce type de décisions. La solution existe toujours. Le lobbying de la religion Microsoft arrive à faire croire le contraire. C’est un combat. On va continuer et un jour on gagnera » écrivait-il.

Interpellé au Parlement sur cette question, le secrétaire d’Etat au numérique, Cédric O, apporte un début de réponse : « Nous avions le choix entre prendre une solution française qui ne nous permettait pas de faire les recherches scientifiques que nous souhaitions faire sur les données santé. (…) Etant donné les retards européens dans le cloud, nous n’avions pas la possibilité de faire tourner des algorithmes d’intelligence artificielle aussi développés sur infrastructure française que sur infrastructure américaine. Dès lors, il y avait un choix cornélien qui était de savoir est-ce qu’on mettant en avant d’abord l’efficacité sanitaire, avec un certain nombre de garanties – je vous dis je ne vous crois pas qu’il y ait de fuite de données – ou la question de la souveraineté avec une moindre efficacité sanitaire. »

La directrice du Health Data Hub, Stéphanie Combes, a réitéré cet argument pendant l’audience : « Aujourd’hui, on considère que l’on n’a pas d’expert français qui sache répondre à nos problématiques. Cela ne veut pas dire qu’ils ne sauront pas le faire dans six mois, un an ».

Souveraineté des données menacée

Les requêtes déposées au Conseil d’Etat portent sur deux aspects de la protection des données : d’un côté, le risque de voir un Etat tiers (les Etats-Unis en l’occurrence) accéder aux données santé françaises et, de l’autre, l’absence d’information préalable à destination du public (prévue par le RGPD). Sur ce deuxième point, le CNLL regrette qu’il soit impossible d’informer les patients sur l’usage qu’il sera fait de leurs données santé.

Ce qui cristallise le plus les inquiétudes, c’est le risque du transfert des données vers les Etats-Unis, en vertu du Cloud Act auquel Microsoft est soumis. Le CNLL attire l’attention du juge des référés sur le fait que « ce sont les données en cours de traitement qui seraient transférées à l’étranger, et non les données au repos. » L’Etat assure au contraire que Health Data Hub ne fait pas partie des cas visés par le Cloud Act. Et ses représentants assurent que le service Microsoft Azure s’engage bien à ce que « les données au repos soient bien là où le client décide de les localiser en Europe. »

« C’est notre responsabilité de mettre en place une architecture technique qui garantisse que les données restent en Europe à toutes les étapes de leur traitement » explique Stéphanie Combes. Tous les services sélectionnés (dont une quarantaine de Microsoft) ont donc été examinés à l’aune de ce critère-là, précise la responsable.

La plateforme des données de santé s’est par ailleurs engagée à ne disposer d’aucune donnée nominative, mais seulement des données anonymisées, assure Stéphanie Combes. Sur le site de la plateforme, on peut d’ores et déjà lire que « les données partagées sont non directement identifiantes et leur accès est réglementé : un comité éthique et scientifique, ainsi que la CNIL, assurent un accès raisonné aux données et les citoyens sont informés. La plateforme est hautement sécurisée. »

Loin d’être rassuré, le porte-parole des requérants estime qu’ « on est en train de nous mettre devant le fait accompli et tordre le cou au RGPD ! »

L’urgence de la crise sanitaire

En définitive, les requérants souhaitent attirer l’attention du juge des référés sur le caractère « irréversible » du système. « On a l’impression d’être dans une précipitation qui ne se justifie pas » commentent-ils.

Du côté de l’Etat, cette urgence se justifie avant tout par la crise sanitaire liée au Covid : « un outil comme Health Data Hub est indispensable pour tirer le meilleure parti des données santé sur l’épidémie. Le gouvernement l’a fait car il n’avait pas d’alternative », évoque-t-on. Dans quelques semaines, une fois le décret publié, « tout ce qui peut être normalisé le sera. C’est une absolue nécessité ».

Pour l’heure, la plateforme est alimentée au cas par cas, au fur et à mesure des projets, rappelle Stéphanie Combes. On y trouve seulement pour le moment les données du réseau “Oscour” (Organisation de la surveillance coordonnée des urgences) issues de Santé Publique France, permettant de suivre les passages aux urgence pendant l’épidémie.

Leave a Reply