Le choix de Microsoft pour le Health Data Hub français continue d’alimenter les critiques

[Piotr Swat/Shutterstock]

L’hébergement par le géant Microsoft du Health Data Hub français est-il en train de devenir un « boulet » que la nouvelle plateforme de données de santé devra traîner ? Si ce choix critiqué provoque l’indignation de l’écosystème numérique français et européen, il inquiète aussi les défenseurs de la protection des données.

La polémique autour du choix assumé par la France de prendre l’infrastructure de l’américain Microsoft, via sa plateforme cloud Azure, pour sa plateforme de données de santé centralisée ne faiblit pas.

Si bien que, lors d’une audition à l’Assemblée Nationale de la directrice du Health Data Hub (HDH) Stéphanie Combes, le député Philippe Latombe s’est demandé si cette décision n’était pas devenue un « boulet » que la plateforme devait désormais traîner avec elle.

« Chaque fois que le HDH est mentionné, ce n’est pas forcément pour ses succès mais pour ces questions là », a regretté la principale intéressée.

Cette nouvelle plateforme a été officiellement créée en novembre 2019 par arrêté, pour centraliser et faciliter le partage des données de santé qui seront mises à disposition pour la recherche et le développement.

Très vite, des voix se sont élevées pour alerter sur les dangers de faire appel à une entreprise soumise au droit américain en matière de protection des données et pour demander des comptes quant au choix de ne pas privilégier le parc technologique français et européen.

« Microsoft est plus mauvais. On est bien meilleurs en Europe !« 

« Je ne me l’explique pas, c’est quelque chose d’incompréhensible », explique Jean-Paul Smets à Euractiv France. En sa qualité de directeur général de Nexedi, un des éditeurs de logiciels open source leader sur le marché français, il ne comprend toujours pas « que le gouvernement français ait poussé au choix de Microsoft« .

Avec le collectif SantéNathon, ils ont demandé au Conseil d’État en septembre 2020 de suspendre le traitement et la centralisation des données de santé en raison des risques que cette collaboration comporte au regard du droit au respect de la vie privée.

Google conteste son amende de 100 millions d'euros devant le Conseil d'état

Le Conseil d’état examinait hier une requête déposée par Google après que la Commission nationale de l’informatique et des libertés (CNIL) a infligé en décembre dernier une amende à hauteur de 100 000 000 d’euros au géant du numérique. EURACTIV France était à l’audience.

Sans compter qu’il « n’y a pas eu d’appel d’offre ». Une information qu’a confirmé Stéphanie Combes lors de son audition. Elle a expliqué être passé par une centrale d’achat qui s’occupe des marchés publics, l’Union des groupements d’achats publics (UGAP).

Si SantéNathon s’interroge sur la légalité de la procédure, la directrice du HSH a avancé qu’il ne s’agit « pas [d’]un contournement du code des marchés publics puisque la mise en concurrence a été faite, mais elle a été faite de manière général, pas par rapport à un projet donné comme le nôtre » par les services de l’UGAP.

« Microsoft est plus mauvais. On est bien meilleurs en Europe ! », insiste Jean-Paul Smets, soulignant que « l’industrie européenne avait les technologies et a contacté le HDH en 2018 et n’a jamais eu de réponse ». Ce que Stéphanie Combes a semblé contredire en évoquant des « échanges bilatéraux pour étudier les offres de tous les acteurs français ».

Elle s’est néanmoins justifié face aux législateurs en expliquant qu’ils avaient « choisi une solution qui répondait à [leur] demande, alors qu’en face les acteurs français n’avaient pas les fonctionnalités » dont ils avaient besoin.

Elle a déclaré : « On ne peut pas choisir de travailler avec un acteur français parce ce qu’on a envie de soutenir son développement industriel » et que, quand bien même ce choix aurait été fait, « il aurait fallu construire [les fonctionnalités manquantes], donc ça aurait pris un certain temps. Et encore aujourd’hui, un acteur comme OVH [une entreprise française spécialisée dans le cloud, ndlr] ne l’a toujours pas toutes ».

« On n’aurait même pas le début d’une plateforme si on était parti sur une autre solution, » a-t-elle ajouté avant de préciser : « Si on avait fait un marché public à l’époque, Microsoft aurait répondu au marché public (…) et l’aurait remporté. »

La crainte du « Cloud Act »

En parallèle de la bataille pour la souveraineté numérique, à laquelle la France et l’Union européenne semblent pourtant souscrire, la question de la protection des données de santé par Microsoft, dont la maison mère se trouve sur le sol américain, inquiète certaines organisations de la société civile.

L’empreinte numérique européenne ou la course de Bruxelles à la souveraineté

Ce lundi, un nouveau sommet réunit Pékin et Bruxelles en visioconférence. La Commission souhaite occuper une place plus importante sur le plan géopolitique. Pour ce faire, elle devra toutefois asseoir sa souveraineté numérique face à la Chine.

« Le gouvernement a mis les données de santé des français entre les mains d’une société qui est soumise au droit américain en matière de communications des données aux autorités américaines », déplore Bastien Le Querrec de la Quadrature du Net auprès d’Euractiv France

C’est notamment le Cloud Act qui provoque l’inquiétude. Ce texte de loi américain promulgué le 23 mars 2018 prévoit que les forces de police et le renseignement puissent avoir accès aux informations stockées sur les serveurs des opérateurs de télécommunications et les fournisseurs de services tels que le cloud, aux Etats-Unis comme à l’étranger.

Une crainte que semble partager le Conseil d’État qui, dans sa décision et en tenant compte des observations de la Commission nationale de l’informatique et des libertés (Cnil), conclue qu’un tel « risque (…) ne peut pas être totalement écarté ».

La CJUE donne raison aux GAFAM sur la gestion des données de l’UE

Les clauses de la Commission européenne, utilisées pour les transferts de données entre les pays de l’UE et les pays tiers, sont « valables », selon l’avis de avocat général de la Cour de justice de l’Union européenne.

Stéphanie Combes s’est voulu rassurante et a rappelé que les données qui seront hébergées par Microsoft seront pseudonymisées et chiffrées. Un argument que conteste Bastien Le Querrec : « Microsoft est certes hébergeur mais aussi fournisseur d’applications », ce qui lui donnera accès aux clés de chiffrement selon lui.

« Je ne peux pas m’empêcher d’imaginer qu’il y a quelque part un échange sur l’accès aux données » ajoute Jean-Paul Smets, précisant que « ce genre de choses ne se fait pas dans le contrat explicitement ».

Une « nouvelle solution technique » sous deux ans

Dans une lettre, que s’est procurée Mediapart, en réponse à la Cnil qui demandait à ce que l’hébergement de la plateforme soit confié à une société soumise au droit européen, Olivier Véran expliquait en novembre qu’il partageait « pleinement [les] préoccupations relatives au risque de divulgation de données hébergées par la plateforme aux autorités américaines avec le choix de l’entreprise Microsoft ».

Il évoquait alors une « nouvelle solution technique » pour protéger le HDH contre « d’éventuelles divulgations illégales aux autorités américaines (…) dans un délai qui soit autant que possible compris entre 12 et 18 mois et, en tout état de cause, ne dépasse pas deux ans ».

Un engagement à nuancer à la lecture de ce courrier par Stéphanie Combes qui a déclaré que le ministre de la Santé « ne parle pas de migration [de la plateforme] mais d’annulation du risque extra-territorial » dans sa lettre.

Elle a précisé néanmoins que ce délai de deux ans maximum est envisagé pour laisser le temps aux acteurs français et/ou européens d’être prêts : « C’est pour que la cible soit prête, et la cible n’est pas prête. (…) Nous, on a chiffré la migration. Elle nous prendrait quelques mois. »

D’ici là, le Health Data Hub, contacté par EURACTIV France, explique poursuivre « le renforcement de leur cadre contractuel et la mise en place de mesures de sécurité additionnelles. Trois avenants ont successivement été signés entre le Health Data Hub et Microsoft pour mieux encadrer les modalités de sous-traitance. Le dernier avenant, en date du 30 octobre 2020, précise que la loi applicable au contrat entre les parties est bien celle du droit de l’Union européenne ou du droit français et que tous les services qui traitent des données de santé le font au sein de l’Union européenne. »

Ils ajoutent : « Un benchmark global des solutions souveraines ainsi que des ateliers de travail avec la DINUM pour actualiser l’étude de réversibilité sont prévus au premier trimestre 2021. »

Selon une information de TICpharma, le HDH devrait prochainement adresser une demande d’autorisation à la CNIL, qui portera notamment sur le choix de la solution d’hébergement Microsoft Azure.

Subscribe to our newsletters

Subscribe
Contribuer