Le 21 septembre 2020, le Conseil d’Etat a rejeté le recours en référé d’un collectif visant à suspendre le transfert de données de santé de la plateforme française Health Data Hub dans le Cloud de Microsoft. Toutefois, la sécurisation des données doit être prouvée à la Cnil d’ici cinq jours. En septembre, Cédric O s’est dit favorable au lancement d’un appel d’offres…
Le Conseil d’Etat français avait donné son feu vert au lancement du Health Data Hub, plateforme qui comporte les données de santé des 67 millions de Français, dans une ordonnance parue le 19 juin 2020. Cette décision a déclenché le mécontentement d’une dizaine d’organisations, dont le Conseil National du logiciel libre et le collectif InterHop, qui ont aussitôt déposé un recours devant le juge administratif. Ils estiment que cette base de données de santé géante porte atteinte aux droits de 67 millions d’habitants.
Le Health Data Hub remplace, dans l’urgence, le Système National des Données de Santé
Créé par la loi du 24 juillet 2019, le Health Data Hub est une plateforme informatique permettant l’exploitation centralisée des données de santé. C’est un groupement d’intérêt public (GIP) qui reprend les missions actuelles de l’Institut national des données de santé (INDS), tout en les élargissant. Le Health Data Hub remplacera le Système National des Données de Santé (SNDS) qui contient les données de l’Assurance Maladie, des facturations hospitalières, des causes médicales de décès, etc. Autre sujet de mécontentement pour les plaignants, le Gouvernement a pris le 23 avril 2020 un arrêté accélérant, au nom de l’état d’urgence sanitaire, le déploiement de sa plateforme Health Data Hub. Il l’autorise, ainsi que la Caisse nationale de l’assurance-maladie (Cnam), à collecter des informations de santé.
Le Conseil d’Etat demande des garanties à la Cnil
Si le Conseil d’Etat a rejeté la procédure, il demande toutefois à la Commission nationale de l’informatique et des libertés (Cnil) de lui apporter des précisions sur la technologie et sécurité des données gérées par le Health Data Hub. Cette dernière ne va s’en priver. Cet été, la Cnil avait déjà tiré la sonnette d’alarme en affirmant que les dispositions contractuelles stipulent que les données traitées peuvent être transférées vers les États-Unis pour y être stockées et traitées.
Par conséquent, les Autorités américaines pourraient avoir à accès aux données médicales des Français grâce à leur Cloud Act… Inexact selon Bernard Ourghanlian, directeur Technique et Sécurité de Microsoft France, qui rappelle le 22 septembre que l’éditeur se conforme à la législation française et que « Microsoft ne fait pas de business avec les données de ses clients, qui leur appartiennent, car ce n’est pas notre modèle économique ».
Certes, pourtant le rapport du député Gauvain sur « La souveraineté de la France et de l’Europe… » remis en juin 2019 au Premier ministre n’aboutit pas tout à fait aux mêmes conclusions quant à la possibilité pour le Gouvernement américain d’aller chercher les données de santé des Français dans le Cloud de Microsoft.
L’hébergement des données de santé des Français dans le Cloud de Microsoft interroge
L’hébergement des données de santé des Français dans le Cloud public d’un Gafam tel que Microsoft poserait donc problème à ce niveau. Les plaignants avaient aussi demandé au Gouvernement l’ouverture d’une enquête pour “favoritisme” sur son choix de confier l’hébergement du Health Data Hub dans le cloud public Azure de Microsoft. Or, la décision du Gouvernement est « légitime » à la base puisque que l’ASIP Santé a décerné en 2019 l’agrément Hébergeur des Données de Santé (HDS) à tous les Gafam, dont Microsoft. Question, où est la réciprocité ? L’hébergeur et opérateur Cloud français OVH, ou l’un de ses concurrents, seront-ils habilités à candidater à un appel d’offres similaire s’il était lancé par les gouvernements américain ou chinois… ?
OVH sur la touche
Rappelons que comme de nombreux autres hébergeurs ou infogéreurs français (Adista, Capgemini, Cheops Technologies, CIV, Claranet, Hisi, ITS Integra, Oodrive, etc.), OVH a aussi obtenu d’ASIP Santé la certification HDS dès 2016, puis l’a renouvelée en mai 2019 dans sa nouvelle version pour son offre Private Cloud OVH Healthcare. Octave Klaba, fondateur et directeur général d’OVH, était donc monté au créneau sur Twitter en mai 2020, accusant le Gouvernement de ne pas avoir respecté la procédure d’appel d’offres réglementaire : “Pas de cahier des charges. Pas d’appel d’offres. Le POC avec Microsoft qui se transforme en solution imposée. Mais de là dire que l’écosystème qu’on représente est incapable de proposer mieux et moins cher, c’est non !” Pourtant, Stéphane Messika, le PDG et fondateur de Kynapse, société de conseil qui a participé à l’élaboration du Health Data Hub lui a répondu sur Twitter qu’OVH lui aurait répondu qu’il « n’était pas capable de répondre à la demande ».
Cédric O favorable au lancement d’un vrai appel d’offres à terme
Invité à intervenir en septembre 2020 lors de l’Université d’Eté d’Hexatrust, Cédric O, secrétaire d’État chargé de la Transition numérique, partage en partie l’incompréhension des autres intervenants sur le choix par exemple de Microsoft pour le Health Data Hub, en français dans le texte… « Construire une indépendance française dans le Cloud prendra du temps. Pour être opérationnel rapidement, le Gouvernement a choisi Microsoft qui était le mieux disant. Est-ce que les données sont alors soumises au Cloud Act américain ? Non. Ce choix n’est d’ailleurs pas définitif. Je suis même favorable au lancement d’un appel d’offres à terme ».