Le scandale Health Data Hub : trahison ou forfaiture ?
La Plateforme des Données de Santé (PDS), plus connue sous le nom de Health Data Hub, est une infrastructure numérique destinée à collecter et partager les données de santé anonymisées des patients français issues de différents organismes (hôpitaux, Assurance maladie, mutuelles), a priori aux fins de recherche et de développement. La création en décembre 2019 de cette plateforme par le gouvernement fait suite aux recommandations du Rapport Villani de mars 2018 sur « Donner un sens à l’intelligence artificielle : pour une stratégie nationale et européenne ».
Cette plateforme fait polémique car l’hébergement des données en question a été confié à Microsoft, une société américaine soumise au Cloud Act. Celui-ci permet aux autorités américaines d’imposer à Microsoft de lui fournir les données qu’elle a collectées. Le débat est toujours d’actualité : un collectif a tenté un nouveau recours rejeté par le Conseil d’Etat en septembre 2020 tandis que le conseil d’administration de l’Assurance maladie, saisi pour avis par le gouvernement, refuse toujours de statuer en attendant la position de la CNIL.
Health Data Hub pose donc de graves problèmes à plusieurs niveaux. Tout d’abord, sur la forme, le choix de Microsoft par le gouvernement français n’a pas fait l’objet d’une procédure habituelle d’appel d’offres alors que des entreprises françaises (OVH ou Scaleway par exemple), sont tout à fait en mesure d’honorer cette mission. Ensuite, en termes de protection des données, d’une part l’anonymisation de celles-ci n’est pas une garantie suffisante au regard de la recrudescence des attaques cyber, d’autre part nous nous soumettons volontairement à l’extraterritorialité du droit américain. Enfin, c’est un manque de vision stratégique : porter un projet de cette envergure en France, ce devrait être soutenir le développement d’une filière, la mise en cohérence de nos différents acteurs et in fine assurer une plus grande performance de nos entreprises sur le marché mondial.
Nous avons, en France, les cerveaux, les technologies et les moyens de développer des alternatives aux GAFAM (USA) ou aux BATX (Chine) mais pour cela il faut une prise de conscience de l’Etat français et un engagement total à soutenir nos fleurons et nos startups. La souveraineté numérique et technologique doit se penser sur le temps long.
Être souverain, selon une définition, c’est éviter de se rendre dépendant des autres : de qui je dépends ? Qui dépend de moi ? A l’évidence, dans l’indifférence générale, le gouvernement français a fait le choix de la facilité et celui de la soumission.
Le scandale Health Data Hub : Suite et fin ?
Le 12 octobre 2020,
Vendredi 9 octobre, la CNIL (Commission Nationale de l’Informatique et des Libertés) a enfin rendu son mémoire concernant Health Data Hub et demande aux acteurs de la santé de ne plus confier leurs données à Microsoft ! Le même jour, le Ministre de la Santé a pris un arrêté interdisant le transfert de données personnelles en dehors de l’Union européenne, en application du RGPD (Règlement Général sur la Protection des Données) et surtout en conformité avec l’invalidation du Privacy Shield par la CJUE (Cour de Justice de l’Union Européenne) en juillet (Consultez le communiqué de presse ici).
Le Privacy Shield était un mécanisme permettant le transfert de données entre l’Union européenne et les Etats-Unis, à la suite de la décision d’exécution (UE) 2016/1250 de la Commission européenne relative à l’adéquation de la protection assurée par le bouclier de protection des données UE-Etats-Unis.
La CJUE a invalidé la décision 2016/1250 estimant que les Etats-Unis n’apportaient pas un niveau équivalent de protection aux données personnelles que les pays européens !
« Les limitations de la protection des données à caractère personnel qui découlent de la règlementation interne des Etats-Unis […] ne sont pas encadrées d’une manière à répondre à des exigences substantiellement équivalentes à celles requises en droit de l’Union » assène la CJUE.
Il a donc fallu que la CJUE se prononce pour que les autorités françaises renoncent à confier les données de santé des Français aux GAFAM ! Un comble !
Des solutions Cloud françaises voire européennes (avec GAIA-X) existent pour héberger nos données personnelles et/ou stratégiques !
Joëlle MÉLIN
Le 13 octobre, une ordonnance du Conseil d’Etat a confirmé la légalité de la plateforme Health Data Hub, malgré l’arrêt de la CJUE mettant fin au Privacy Shield au regard du RGPD, malgré le mémoire de la CNIL demandant aux acteurs de la santé de ne plus confier leurs données à Microsoft et malgré l’arrêté ministériel interdisant tout transfert de données personnelles en dehors de l’UE.
Pour justifier cette position, le Conseil d’Etat estime qu’il n’y pas matière à statuer dans l’urgence sur la fin de la plateforme Health Data Hub et que la finalité de recherche, notamment dans le cadre de la pandémie COVID-19, justifie les moyens. Le Conseil d’Etat exige tout de même la modification du contrat, qui lie la plateforme à Microsoft, en précisant bien que celui-ci relève du droit européen. Le Conseil d’Etat estime donc que cette contrainte imposée à Microsoft suffira à protéger les données de santé des Français de leur saisie potentielle par les autorités américaines.
Nous verrons bien si Microsoft, soumis au CLOUD Act américain, sera en mesure d’accepter cette modification du contrat et, si tel est le cas, si l’arsenal juridique mis en place sera suffisamment efficace pour contrer toute tentative des autorités américaines.
Dans tous les cas, on peut regretter que le Conseil d’Etat ne se soit pas saisi de l’opportunité de ce deuxième recours pour imposer, en s’appuyant sur l’arrêt de la CJUE de cet été, à Health Data Hub d’héberger les données récoltées sur des serveurs français ou européens.
La détention de Big Data est une arme stratégique majeure dans la guerre économique mondiale. En agissant ainsi, nous risquons d’affaiblir notre économie et la compétitivité de nos entreprises et de nos chercheurs.
Affaire à suivre…