Où en est l'hébergement des données de santé du Health Data Hub ?

Le Conseil de la Caisse nationale de l'Assurance maladie recommande le lancement d'un appel à projets pour l'hébergement du Health Data Hub. Cette base de données de santé des Français est actuellement hébergée par Microsoft Azure. Un choix remis en cause depuis l'invalidation du Privacy Shield à cause des risques de divulgation de données aux autorités américaines sans l'autorisation des intéressés. 

Partager
Où en est l'hébergement des données de santé du Health Data Hub ?

Alors que le gouvernement promettait un changement de fournisseur, le Health Data Hub est toujours hébergé par Microsoft Azure. Cette base contient l'ensemble des données de santé des Français et doit servir à développer des systèmes d'apprentissage automatique afin de proposer une meilleure prise en charge de certaines pathologies.

Depuis l'invalidation du Privacy Shield, le choix d'un hébergeur américain soulève de nombreuses problématiques. Ce texte facilitant les transferts de données personnelles vers les Etats-Unis a été sabré par la Cour de justice de l'Union européenne qui a jugé que la législation américaine n'était pas conforme au Règlement général sur la protection des données (RGPD). C'est la faculté pour Washington d'accéder aux données des Européens, sous certaines conditions, qui a motivé cette décision.

Aucun calendrier de migration
Cette invalidation date de juillet 2020 et depuis, le gouvernement reste très flou sur le calendrier de migration vers un nouvel hébergeur. Pourtant, il a déclaré à plusieurs reprises que le choix de Microsoft devait effectivement être remis en cause. "Je partage pleinement vos préoccupations relatives au risque de divulgation des données hébergées par la plateforme aux autorités américaines avec le choix de l'entreprise Microsoft", écrivait Olivier Véran, le ministre des Solidarités et de la Santé, dans une lettre en novembre 2020.

Au-delà de l'inquiétude sur la confidentialité des données hébergées, le cloud de Microsoft a été sélectionné sans appel d'offres. Cette procédure permet à une autorité publique de choisir l'offre la plus avantageuse en mettant en concurrence plusieurs entreprises. Anticor, une association française spécialisée dans la lutte contre la grande délinquance économique et financière, avait saisi le Parquet national financier (PNF) en avril 2021, estimant que le marché de l'hébergement de la base de données avait été illégalement attribué à l'entreprise américaine. "Ce marché a été attribué sans mise en concurrence (…) au motif que seul Microsoft aurait les capacités technologiques de fournir une telle infrastructure", expliquait Anticor.

Microsoft répondrait à "l'ensemble des prérequis"
Cédric O, le secrétaire d'Etat chargé de la transition numérique et des communications électroniques, a été interrogé sur ce sujet par la Commission d'enquête sénatoriale sur l'influence des cabinets de conseil le 2 février dernier. "A l'issue d'un comparatif, il apparaît que seule la société Microsoft est capable de répondre à l'ensemble des prérequis", a-t-il répondu à Eliane Assassi, la rapporteure de la Commission, qui s'interrogeait sur le rôle du cabinet de conseil Capgemini dans le développement du Health Data Hub. "Parce que nous savons que le cabinet a perçu quand même 1,9 million d'euros sur ce dossier en 2019", a-t-elle argué.

Le Conseil de la Caisse nationale de l'Assurance maladie (Cnam) se montre également très critique envers l'hébergement par Microsoft de la base de données. Dans un avis qui n'a pas été officiellement publié, révélé par l'association Interhop la semaine dernière, il demande l'ouverture d'un appel d'offres avec la mise en place d'une "commission indépendante". Il recommande également la mise en place d'un calendrier "très précis de migration". C'est ce que le Health Data Hub est justement en train de faire, à en croire son programme de travail pour 2022 que le média spécialisé TICpharma a pu consulter.

9 solutions d'hébergement alternatives
Le Health Data Hub prévoit de "poursuivre la réduction en continu de l'adhérence à Microsoft Azure" sans fixer d'échéances précises. A l'heure actuelle, "neuf solutions d'hébergement souverain" sont éligibles, apprend-on également dans le programme de travail. Dans la dernière version connue de l'étude de réversibilité de novembre 2019, seuls Microsoft et OVHcloud avaient été mentionnés.

Cédric O, interrogé par la commission sénatoriale, a tenté d'être rassurant : "On ne peut pas dire qu'il y a un risque sur les données personnelles des Français dans le cadre actuel du Health Data Hub". Pourtant, le Health Data Hub a retiré "temporairement sa demande d'autorisation" auprès de la Commission nationale de l'informatique et des libertés (Cnil) en janvier 2022 "dans l'attente de la finalisation de l'instruction par la Cnil de l'arrêté définissant la composition de ces bases".

En attendant, le Health Data Hub continue de fonctionner en mettant "à disposition les données aux projets autorisés, un par un", précise Stéphanie Combes, la directrice du Health Data Hub. En mai 2021, il accompagnait une quarantaine de projets, dont une vingtaine avait été sélectionnée par le biais d'appels à projet. A noter que les projets de recherche menés par la plateforme doivent être autorisés par la Cnil lorsqu'ils ne peuvent pas faire l'objet d'une déclaration de conformité à une méthodologie de référence (mesures de simplification).

Il ne faut pas s'attendre à un changement d'hébergeur dans les prochains mois, en particulier "avant la présidentielle", a précisé Cédric O lors de ses vœux à la presse en janvier, jugeant le contexte trop sensible.

SUR LE MÊME SUJET

Sujets associés

NEWSLETTER L'Usine Digitale

Nos journalistes sélectionnent pour vous les articles essentiels de votre secteur.

Votre demande d’inscription a bien été prise en compte.

Votre email est traité par notre titre de presse qui selon le titre appartient, à une des sociétés suivantes...

Votre email est traité par notre titre de presse qui selon le titre appartient, à une des sociétés suivantes du : Groupe Moniteur Nanterre B 403 080 823, IPD Nanterre 490 727 633, Groupe Industrie Service Info (GISI) Nanterre 442 233 417. Cette société ou toutes sociétés du Groupe Infopro Digital pourront l'utiliser afin de vous proposer pour leur compte ou celui de leurs clients, des produits et/ou services utiles à vos activités professionnelles. Pour exercer vos droits, vous y opposer ou pour en savoir plus : Charte des données personnelles.

ARTICLES LES PLUS LUS