Recevez chaque jour toute l'actualité du numérique

x

Où en est l'hébergement des données de santé du Health Data Hub ?

Le Conseil de la Caisse nationale de l'Assurance maladie recommande le lancement d'un appel à projets pour l'hébergement du Health Data Hub. Cette base de données de santé des Français est actuellement hébergée par Microsoft Azure. Un choix remis en cause depuis l'invalidation du Privacy Shield à cause des risques de divulgation de données aux autorités américaines sans l'autorisation des intéressés. 
Twitter Facebook Linkedin Flipboard Email
×

Où en est l'hébergement des données de santé du Health Data Hub ?
Où en est l'hébergement des données de santé du Health Data Hub ? © Agence du numérique en santé

Alors que le gouvernement promettait un changement de fournisseur, le Health Data Hub est toujours hébergé par Microsoft Azure. Cette base contient l'ensemble des données de santé des Français et doit servir à développer des systèmes d'apprentissage automatique afin de proposer une meilleure prise en charge de certaines pathologies.

Depuis l'invalidation du Privacy Shield, le choix d'un hébergeur américain soulève de nombreuses problématiques. Ce texte facilitant les transferts de données personnelles vers les Etats-Unis a été sabré par la Cour de justice de l'Union européenne qui a jugé que la législation américaine n'était pas conforme au Règlement général sur la protection des données (RGPD). C'est la faculté pour Washington d'accéder aux données des Européens, sous certaines conditions, qui a motivé cette décision.

Aucun calendrier de migration
Cette invalidation date de juillet 2020 et depuis, le gouvernement reste très flou sur le calendrier de migration vers un nouvel hébergeur. Pourtant, il a déclaré à plusieurs reprises que le choix de Microsoft devait effectivement être remis en cause. "Je partage pleinement vos préoccupations relatives au risque de divulgation des données hébergées par la plateforme aux autorités américaines avec le choix de l'entreprise Microsoft", écrivait Olivier Véran, le ministre des Solidarités et de la Santé, dans une lettre en novembre 2020.

Au-delà de l'inquiétude sur la confidentialité des données hébergées, le cloud de Microsoft a été sélectionné sans appel d'offres. Cette procédure permet à une autorité publique de choisir l'offre la plus avantageuse en mettant en concurrence plusieurs entreprises. Anticor, une association française spécialisée dans la lutte contre la grande délinquance économique et financière, avait saisi le Parquet national financier (PNF) en avril 2021, estimant que le marché de l'hébergement de la base de données avait été illégalement attribué à l'entreprise américaine. "Ce marché a été attribué sans mise en concurrence (…) au motif que seul Microsoft aurait les capacités technologiques de fournir une telle infrastructure", expliquait Anticor.

Microsoft répondrait à "l'ensemble des prérequis"
Cédric O, le secrétaire d'Etat chargé de la transition numérique et des communications électroniques, a été interrogé sur ce sujet par la Commission d'enquête sénatoriale sur l'influence des cabinets de conseil le 2 février dernier. "A l'issue d'un comparatif, il apparaît que seule la société Microsoft est capable de répondre à l'ensemble des prérequis", a-t-il répondu à Eliane Assassi, la rapporteure de la Commission, qui s'interrogeait sur le rôle du cabinet de conseil Capgemini dans le développement du Health Data Hub. "Parce que nous savons que le cabinet a perçu quand même 1,9 million d'euros sur ce dossier en 2019", a-t-elle argué.

Le Conseil de la Caisse nationale de l'Assurance maladie (Cnam) se montre également très critique envers l'hébergement par Microsoft de la base de données. Dans un avis qui n'a pas été officiellement publié, révélé par l'association Interhop la semaine dernière, il demande l'ouverture d'un appel d'offres avec la mise en place d'une "commission indépendante". Il recommande également la mise en place d'un calendrier "très précis de migration". C'est ce que le Health Data Hub est justement en train de faire, à en croire son programme de travail pour 2022 que le média spécialisé TICpharma a pu consulter.

9 solutions d'hébergement alternatives
Le Health Data Hub prévoit de "poursuivre la réduction en continu de l'adhérence à Microsoft Azure" sans fixer d'échéances précises. A l'heure actuelle, "neuf solutions d'hébergement souverain" sont éligibles, apprend-on également dans le programme de travail. Dans la dernière version connue de l'étude de réversibilité de novembre 2019, seuls Microsoft et OVHcloud avaient été mentionnés.

Cédric O, interrogé par la commission sénatoriale, a tenté d'être rassurant : "On ne peut pas dire qu'il y a un risque sur les données personnelles des Français dans le cadre actuel du Health Data Hub". Pourtant, le Health Data Hub a retiré "temporairement sa demande d'autorisation" auprès de la Commission nationale de l'informatique et des libertés (Cnil) en janvier 2022 "dans l'attente de la finalisation de l'instruction par la Cnil de l'arrêté définissant la composition de ces bases".

En attendant, le Health Data Hub continue de fonctionner en mettant "à disposition les données aux projets autorisés, un par un", précise Stéphanie Combes, la directrice du Health Data Hub. En mai 2021, il accompagnait une quarantaine de projets, dont une vingtaine avait été sélectionnée par le biais d'appels à projet. A noter que les projets de recherche menés par la plateforme doivent être autorisés par la Cnil lorsqu'ils ne peuvent pas faire l'objet d'une déclaration de conformité à une méthodologie de référence (mesures de simplification).

Il ne faut pas s'attendre à un changement d'hébergeur dans les prochains mois, en particulier "avant la présidentielle", a précisé Cédric O lors de ses vœux à la presse en janvier, jugeant le contexte trop sensible.

Réagir

* Les commentaires postés sur L’Usine Digitale font l’objet d’une modération par l’équipe éditoriale.