Depuis quelques temps déjà le Gouvernement avait pour objectif de mettre en place un Data Hub Médical, dénommé Health Data Hub (Plateforme de Données de Santé) , qui vient de la transformation de la plateforme INDS (Institut national des données de santé). Mais quel est l’objectif de cette plateforme ?
Les objectifs
L’objectif de cette plateforme est de centraliser les données de santé et de recherche issues de différentes entités publiques ou parapubliques. Ceci afin d’en un accès facilité aux données de santé pour les valoriser, par des utilisations en Recherche ou par des Start-ups. L’espoir est de permettre l’émergence d’innovation de rupture et des applications concrètes d’Intelligence Artificielle dans le traitement massif de données.
Les principaux partenaires de cette plateforme sont : l’Assurance Maladie, le Service de Santé des Armées, la Délégation Générale des Entreprises (DGE), l’APHP (Assistance publique – Hôpitaux de Paris), l’INSERM (Institut national de la santé et de la recherche médicale) et bien d’autres encore.
L’objectif principal est de mettre en place un guichet unique afin de favoriser l’innovation par l’exploitation en Open Data des données de santé à notre disposition.
A mon sens, cela constitue une finalité plutôt louable et dont nous avons réellement besoin afin de ne pas laisser le champ libre aux acteurs américains notamment. Pour autant, il ne faut pas oublier les acteurs chinois qui ont eux aussi pris une bonne longueur d’avance avec Huawei, avec des initiatives sur les infrastructures informationnelles dans le domaine médical et hospitalier par exemple.
Les enjeux de confidentialités
Il est clair que la collecte et l’exploitation de données médicales provenant des différentes sources comme l’Assurance Maladie, les hôpitaux posent le problème de leur confidentialité…
Ce projet doit évidemment se confronter à l’application du Règlement Général sur la Protection des Données (RGPD) et sera sous la surveillance de la CNIL (Commission Nationale de l’Informatique et des Libertés).
Interrogée par le quotidien Ouest-France, Isabelle Combes, la cheffe du projet à la Direction de la Recherche, des Etudes, de l’Evaluation et des Statistiques (Drees) du Ministère de la Santé, précise que le fait que les données soient hébergées chez Microsoft sur le Cloud Azure ne présente pas de problème car les données sont cryptées et la clé de chiffrement n’est pas en possession de Microsoft…
Le choix de Microsoft, peut-il être remis en cause ?
C’est une question intéressante. Pour y répondre voyons quels sont tout d’abord les risques liés à ce choix et quelles étaient les alternatives souveraines possibles.
Première interrogation : peut-on être rassuré par la mise au point de Mme Combes ?
Je dois dire, que j’ai quelques réserves à ce sujet. Certes, le fait que les clés de chiffrement ne soient pas en possession de Microsoft est un facteur sécurisant. Cependant, cela reste un acteur américain et donc soumis au Patriot Act et au Cloud Act, permettant aux services gouvernementaux US d’accéder, copier ces données sans même que la Drees soit informé. Cela fait réfléchir, non ? En découle une nouvelle question : comment, dans ces conditions, le Cloud Microsoft a pu obtenir la certification HDS (Hébergeur de Données de Santé) ?
Deuxième interrogation : il semblerait que contractuellement Microsoft (Cloud Azure) permette la sortie de données de l’espace européen selon un article de 01Net. Qu’en est-il réellement ? Si cela se confirme, c’est un vrai sujet d’inquiétude.
Dernière question : pourquoi ce choix s’est fait sans appel d’offre, alors que l’urgence ou les montants semblent incompatibles avec cette procédure (Service-Public) ?
N’est-ce pas en contradiction avec les règles de tout marché public ?
Enfin, pourquoi la Drees n’a-t-elle pas, a priori, évalué les solutions d’hébergement souveraines comme OVH Cloud qui avait déjà un agréement pour l’hébergement des données de santé depuis 2006, ou Outscale, le cloud souverain de Dassault Système qui a déjà conquis les acteurs du secteur de la défense…
Conclusion : quelles actions ?
Devant ces injonctions contradictoires de l’Etat, il faut retourner à la Souveraineté Industrielle et plus particulièrement à la Souveraineté Numérique. Quand il s’agit de nos données de Santé, un bien précieux et aux impacts multiples, c’est encore plus préoccupant, même si certains semblent rassurés par une sous-estimation, selon moi, des risques (LaTribune).
Les entrepreneurs du numérique français se mobilisent à travers leur Appel du 9 avril, et leur plateforme PlayFrance.Digital, une initiative à suivre !
A titre personnel, je vous encourage à saisir le responsable DPO (Data Privacy Officer) du site améli.fr, afin de signifier à la CPAM votre refus de voir vos données transmises à ce Health Data Hub et de saisir la CNIL en parallèle sur ce sujet. Si nous sommes plusieurs à se mobiliser sur ce sujet et en nombre conséquent, cela accélèrera la prise de conscience des acteurs de ce programme de l’erreur de conception initiale.
Je tiens à ajouter, pour les personnes qui pensent que la pseudo-anonymisation des données ne permet pas de remonter à l’individu, qu’elles peuvent se tromper ! En effet en fonction des données manipulées, l’anonymat peut être facilement levé, par exemple en cas de maladies orphelines, hôpitaux, données de génomique et service hospitalier plus tranche d’âge et données biométriques, etc…
Lorsque l’on s’attaque au sujet de management de nos données de santé, se mêlent plusieurs enjeux et réglementations.
Les prémices de la soumission (volontaire) à la « supériorité » des technologies américaines apparaissent avec le choix d’un nom d’application en anglais pour « faire plus moderne » incapables que nous sommes de trouver un nom « sonnant bien français » (j’avoue que le seuil de tolérance étant franchi, je fais désormais une forme d’allergie à ces choix)
Proposer des actions individuelles me semble insuffisant pour donner une chance de renverser la vapeur.
Ne peut-on, mais je ne suis pas assez féru en droit, en visant explicitement la CNIL, le DPO de Améli.fr (si c’est lui le « responsable » juridique de ce choix) et la chef de projet lancer :
– une pétition demandant une révision de cette décision
– une action de groupe pour faire vérifier la conformité de la procédure tant vis du RGPD que des règles des marchés publics ?
Je serais bien sûr prêt à soutenir ces 2 actions.
Si les individualités qui veulent stimuler un sursaut pour une souveraineté numérique ne savent pas unir leurs forces pour réunir un mouvement de soutien massif de telles actions je crains fort qu’une fois de plus nous soyons incapables de dépasser le stade de l’incantation.
Illusoire d’engager d’autres actions d’une autre envergure …
Bonjour,
Sur l’aspect RGPD, c’est à titre individuel une action que j’ai donc menée auprès du DPO d’améli et j’ai saisi la CNIL, je n’ai pas encore eu de retour à ce jour.
Pour lancer une action de groupe, c’est une bonne idée, mais là je ne sais pas trop comment m’y prendre.
A suivre…