Les données de santé et leur protection

France Info : On vous explique pourquoi le stockage de données de santé des Français par Microsoft fait tiquer

il y a 4 mois, par infosecusanté

France Info : On vous explique pourquoi le stockage de données de santé des Français par Microsoft fait tiquer

Article rédigé par Luc Chagnon France Télévisions

Publié le 19/03/2024

Des entreprises et des associations contestent devant le Conseil d’Etat le choix d’un géant américain comme hébergeur. Selon elles, cette décision présente des risques de souveraineté économique et d’espionnage.
Un géant américain de la tech peut-il garder en sécurité les données de santé des Français ? Une partie de la réponse sera apportée mardi 19 mars. Des entreprises françaises du secteur du stockage d’informations et des associations pour la protection des données personnelles ont déposé un recours devant le Conseil d’Etat pour faire annuler le choix de Microsoft pour héberger des données de santé de centaines de milliers de Français dans le cadre du Health Data Hub. Pourquoi ce choix est-il critiqué ? Explications.

C’est quoi le Health Data Hub ?
Derrière cet anglicisme se cache un projet de base nationale censé regrouper les données de santé des Français. Envisagé depuis la publication d’un rapport sur l’intelligence artificielle rédigé par le mathématicien Cédric Villani publié en 2018, ce projet ambitionne de rendre les données de santé des Français plus facilement exploitables par la recherche médicale pour mener des analyses poussées.

Le Health Data Hub a été lancé officiellement en décembre 2019 dans le cadre de la loi relative à la transformation du système de santé. Et Microsoft a été impliqué dès sa création : c’est le géant américain qui a été choisi pour opérer la plateforme technologique du projet. Une décision justifiée par le besoin d’une mise en place rapide, et par des capacités à l’époque jugées insuffisantes en France et en Europe, mais qui avait déjà provoqué de nombreuses critiques.

Pourquoi Microsoft a été choisi ?
En février, la Commission nationale informatique et libertés (Cnil) a également retenu la candidature de Microsoft pour héberger EMC2, une nouvelle plateforme de données issue d’un appel à projets européen, dont une partie a été attribuée au Health Data Hub. EMC2 doit "accueillir les données [pseudonymisées] de 300 000 à 500 000 patients de différents hôpitaux par an et les comparer avec leurs données issues du système national des données de santé, géré par l’Assurance-maladie (et à terme par le Health Data Hub), pour permettre la ’réalisation de recherches, d’études et d’évaluations dans le domaine de la santé’", explique le média spécialisé Acteurspublics.fr.

Pour justifier le maintien de Microsoft comme hébergeur de EMC2, la Cnil a notamment estimé dans sa décision que les solutions proposées par les autres fournisseurs de stockage en ligne ne correspondaient pas suffisamment aux exigences. Selon l’autorité française du numérique, créer une nouvelle plateforme pour héberger EMC2 serait aussi beaucoup plus long et coûteux et risquerait d’endommager les relations avec l’Autorité européenne du médicament qui a commandé ce projet.

Quel est le problème alors ?
La candidature de Microsoft a beau être jugée plus adaptée techniquement, elle pose des questions d’un autre ordre. En tant qu’entreprise américaine, Microsoft est soumise au droit américain. Or, plusieurs lois permettent aux Etats-Unis et à leurs services de renseignements d’accéder aux données hébergées par des entreprises nationales dans certaines situations, notamment dans le cadre du Foreign Intelligence Surveillance Act, une loi récemment prolongée par Joe Biden jusqu’en avril 2024.

Aux yeux des critiques, stocker toutes les données de santé des Français aux Etats-Unis revient donc à les servir sur un plateau au renseignement américain. Dans un communiqué, l’association Internet Society explique que "les disparités entre les lois et les législations relatives à la protection des données en vigueur dans les deux pays pourraient compromettre la confidentialité des données de santé des Français". Cette situation "menace les données parmi les plus sensibles de nos concitoyens", a aussi dénoncé le député Philippe Latombe lors de la séance de questions au gouvernement à l’Assemblée.

Les entreprises françaises du secteur sont également montées au créneau. L’hébergeur OVH a déploré que "les solutions alternatives et transitoires proposées pour se conformer aux exigences n’[aient] pas été considérées", selon Contexte.com. L’entreprise Cloud Temple soulève un autre défaut de ce choix : "une nouvelle étape dans la démultiplication des copies partielles du SNDS [système national des données de santé]", qui multiplie de fait les risques de fuite de ces données.

Choisir Microsoft plutôt qu’une solution française ou européenne serait aussi une occasion manquée de développer le secteur sur le continent grâce à la commande publique. La Cnil, qui a validé le choix de Microsoft, "regrette" d’ailleurs dans sa décision "que la stratégie mise en place pour favoriser l’accès des chercheurs aux données de santé n’ait pas fourni l’occasion de stimuler une offre européenne à même de répondre à ce besoin".

"La Cnil elle-même déplore de ne pas avoir trouvé d’hébergeur de données qui soit à la fois compatible avec les exigences techniques et non soumis à une législation extra-européenne"

Nicolas Chagny, président de l’association Internet Society France
dans un communiqué
Mais la Cnil n’a pas signé un chèque en blanc : elle autorise la plateforme de Microsoft à héberger EMC2 pour une durée de trois ans. Soit le temps estimé pour développer un "démonstrateur ’cloud de confiance’" qui respecterait les exigences de confidentialité des données.