La Cnil demande l’arrêt du stockage de nos données de santé par Microsoft
9 oct. 2020 Par Jérôme Hourdeaux– Mediapart.fr
Dans le cadre d’un recours visant la suspension du Health Data Hub, projet de plateforme pour centraliser nos données de santé, le gendarme de la vie privée a transmis au Conseil d’État un mémoire demandant aux acteurs de cesser de confier leur hébergement à Microsoft ou toute société soumise « au droit étatsunien ».
A Issy les Moulineaux. © Riccardo Milani / Hans Lucas via AFP
La Commission nationale de l’informatique et des libertés demande, dans un mémoire transmis au Conseil d’État jeudi 8 octobre que Mediapart a pu consulter, à l’ensemble des acteurs stockant des données de santé de cesser « dans un délai aussi bref que possible » de confier leur hébergement à Microsoft ou toute autre société soumise « au droit étatsunien ».
Cette demande de la Cnil semble avoir déjà été entendue par le gouvernement. Jeudi après-midi, alors que se tenait l’audience devant le Conseil d’État, le secrétaire d’État au numérique Cédric O a annoncé lors d’une audition au Sénat, sans toutefois citer le mémoire de la Cnil, que ses services et ceux du ministre de la santé Olivier Véran travaillaient déjà sur un tel scénario. « Nous travaillons avec Olivier Véran, après le coup de tonnerre de l’annulation du Privacy Shield, au transfert du Health Data Hub sur des plateformes françaises ou européennes », a affirmé Cédric O. « Nous aurons sur ce sujet des discussions avec nos partenaires allemands », a ajouté le secrétaire d’État qui n’a pas donné de calendrier pour ce transfert.
Ce n’est que quelques heures avant le début de l’audience que ce mémoire a été versé au dossier d’une procédure visant le Health Data Hub (HDH), la gigantesque plateforme devant à terme centraliser l’ensemble des données de santé des Français et dont l’hébergement a été confié à la société américaine Microsoft, via sa filiale irlandaise.
Dans ce recours, les requérants – le collectif SantéNathon regroupant des professionnels de la santé, des syndicats et des acteurs du secteur du logiciel libre – demandent au Conseil d’État d’annuler un décret publié le 21 avril dernier et accélérant, au nom de l’état d’urgence sanitaire, le déploiement du HDH en y intégrant les données issues de l’épidémie de Covid-19.
Créé par la loi santé du 24 juillet 2019, le HDH doit remplacer l’actuel Système national des données de santé (SNDS) qui centralise déjà les principaux fichiers de santé, dont celui de l’assurance-maladie, tout en élargissant considérablement sa portée. À terme, toute donnée collectée dans le cadre d’un acte remboursé par l’assurance-maladie sera centralisée dans le HDH, des données des hôpitaux à celles du dossier médical partagé ou celles des logiciels professionnels utilisés par les médecins et les pharmaciens.
Marie-Laure Denis, présidente de la Cnil. © Wikipédia / Edolag35 / CC BY-SA 4.0
La mise en place de ce projet particulièrement sensible, et vivement contesté en raison du choix de la solution d’hébergement en cloud Azure de Microsoft, a fait durant de nombreux mois l’objet de discussions entre le gouvernement et la Cnil. Mais la publication du décret du 21 avril avait pris de court la commission et celle-ci avait rendu, dans la foulée, un avis particulièrement sévère.
La mise en place du Health Data Hub faisait l’objet d’« un plan d’action conséquent de mise en œuvre de mesures de sécurité s’étalant sur une période de plusieurs mois », y rappelait la commission qui s’interrogeait « donc sur les conditions de démarrage anticipé de la solution technique dans un contexte où la plateforme de données de santé a dû accomplir en quelques semaines des opérations, dont certaines structurantes, pourgarantir la sécurité des données traitées, qui étaient prévues pour s’étaler sur plusieurs mois ».
Plus gênant, l’avis révélait que des données confiées à Microsoft, qui sont actuellement stockées dans des serveurs situés aux Pays-Bas, pourront être transférées aux États-Unis dans certains cas. Selon la Cnil, qui a pu consulter le contrat liant le HDH à Microsoft, celui-ci prévoit bien une localisation par défaut des données au sein de l’UE.
En revanche, « cette localisation ne s’applique qu’aux données “au repos”, alors même que le contrat mentionne l’existence de transferts de données en dehors de l’Union européenne dans le cadre du fonctionnement courant de la plateforme, notamment pour les opérations de maintenance ou de résolution d’incident ».
La Cnil s’inquiétait par ailleurs également de la manière dont sont gérées les clefs de chiffrement, permettant de déchiffrer les données, et dont une copie sera conservée « par l’hébergeur au sein d’un boîtier chiffrant, ce qui a pour conséquence de permettre techniquement à ce dernier d’accéder aux données », ainsi que d’un manque d’encadrement des procédures d’accès des administrateurs de la plateforme.
En se fondant sur cet avis, le collectif SantéNathon avait déposé, au début du mois de juin, un premier recours en référé devant le Conseil d’État afin de demander la suspension du déploiement du HDH. Les requérants, défendus par Mes Jean-Baptiste Soufron et Juliette Alibert, soulignaient notamment les risques d’accès aux données de santé des Français permis par plusieurs lois américaines, comme le Cloud Act qui, depuis 2018, autorise les autorités américaines à exiger la transmission de données personnelles à toute entreprise basée sur son sol, et ce même si ses serveurs sont situés à l’étranger, sans avoir besoin de recourir à une demande d’entraide judiciaire.
[[lire_aussi]]Dans une décision rendue le 19 juin, le Conseil d’État avait rejeté le recours au motif que le transfert de données vers les États-Unis a été validé et encadré par le Bouclier de protection des données, ou Privacy Shield, un mécanisme négocié par l’Union européenne et entré en vigueur le 1er août 2016. Le juge administratif avait cependant accompagné son rejet de plusieurs injonctions à l’adresse du gouvernement, lui demandant de préciser certains points techniques et d’indiquer, sur son site, que les données pourront être transférées hors de l’UE.
Le raisonnement de la plus haute juridiction administrative française a cependant été remis en cause par une décision historique de la Cour de justice de l’Union européenne (CJUE) rendue le jeudi 16 juillet et invalidant le Privacy Shield. Saisie par le militant autrichien Max Schrems, la cour a estimé que la législation américaine, et son caractère extraterritorial lui permettant de s’appliquer en dehors des États-Unis, ne permettait pas de garantir un niveau de protection suffisant des données de citoyens européens.
Dans son arrêt, la CJUE soulignait les dangers de deux textes, le Foreign Intelligence Surveillance Act (Fisa) et l’Executive Order 12333, régissant des programmes de surveillances américains « qui instituent des programmes permettant l’accès des autorités publiques étatsuniennes à des fins de sécurité nationale aux données personnelles transférées de l’UE vers les États-Unis, de façon particulièrement large et sans ciblage ». Parmi ces programmes figurent Prism et UpStream, dont l’ampleur avait été révélée par Edward Snowden en 2013 et depuis maintenus. De plus, poursuivait la cour, « cette législation n’accorde pas aux personnes concernées des droits de recours devant des juridictions contre les autorités étatsuniennes ».
Sur la base de cette invalidation du Privacy Shield, le collectif SantéNathon avait déposé un nouveau recours en référé devant le Conseil d’État. C’est dans le cadre de cette procédure que l’avis de la Cnil a de nouveau été sollicité pour savoir quelles conséquences tirer de cette décision de la CJUE et à quel point celle-ci impactait le HDH.
– Le mémoire de la Cnilhttps://www.documentcloud.org/documents/7224049-Me-moireCnilHDH.html?embed=true&responsive=true&sidebar=false
« Évaluer en urgence l’existence de fournisseurs alternatifs »
Dans son mémoire, la commission réitère ses inquiétudes quant aux possibilités de transferts de données vers les États-Unis et d’accès aux clefs de chiffrement.
Ainsi, si elle reconnaît que ces clefs sont stockées dans un dispositif appelé « Customer Lockbox » qui « constitue une garantie de limitation des transferts », elle pointe également une faille dans le contrat qui prévoit une exception « dans le cadre de scénarios inattendus ou imprévisibles correspondant à des catastrophes ou en cas d’accès fortuit aux données par un ingénieur de Microsoft ».
La Cnil a également eu accès à un avenant négocié au début de l’été entre le HDH et Microsoft afin, comme le révélait Mediapart au mois de juin, de répondre aux inquiétudes quant aux risques de transferts de données. Le mémoire de la commission reconnaît que cet avenant « limite fortement les transferts à l’initiative de Microsoft », mais pointe également que celui-ci stipule par ailleurs que Microsoft « ne divulguera ni ne donnera accès à une quelconque donnée traitée aux autorités, sauf si la loi l’exige » (souligné par la Cnil).
En conséquence, la commission estime, tout comme la CJUE, « que, même dans le cas où l’absence de transferts de données personnelles en dehors de l’UE à des fins de fourniture du service serait confirmée, la société Microsoft peut être soumise, sur le fondement du FISA, voire peut-être de l’EO 123333, à des injonctions des services de renseignement l’obligeant à leur transférer des données stockées et traitées sur le territoire de l’Union européenne ».
Cette invalidation du Privacy Shield, désormais acté par la Cnil, prive de base légale toute demande de transfert des données par les autorités américaines. Ces demandes, précise le mémoire, « devraient être considérées comme des divulgations non autorisées par le droit de l’Union » et contraires au règlement général sur la protection des données (RGPD). De plus, la commission souligne que les programmes de surveillance américains permettent d’accéder à des données en dehors des États-Unis et de les collecter par exemple lors de leur circulation dans les câbles transatlantiques assurant le trafic internet entre plusieurs grandes zones géographiques. De ce fait, « il ne suffit pas que l’hébergeur ait son siège social hors des États-Unis pour ne pas être soumis en partie au droit étatsunien », pointe le document
.
© AFP
Pour la Cnil, les conséquences de l’arrêt de la CJUE sont claires : les données des citoyens européens ne peuvent plus être confiées à une société américaine, même si celle-ci dispose d’un siège et de serveurs dans l’Union européenne. En conséquence, « cette situation doit conduire selon elle à modifier les conditions d’hébergement de la PDS [plateforme de données de santé – ndlr], ainsi que celles des autres entrepôts de données de santé qui sont hébergés par des sociétés soumises au droit étatsunien. La solution la plus effective consiste à confier l’hébergement de ces données à des sociétés non soumises au droit étatsunien ». Et ce changement d’hébergement « devrait intervenir dans un délai aussi bref que possible ».
La commission a conscience de l’impact potentiellement considérable de cette prise de position, Microsoft équipant un nombre très important d’administrations françaises, notamment en logiciels de bureautique, comme les ministères de l’Éducation nationale ou celui de la défense. « La commission n’est pas sans ignorer que cette situation… [sic] dépasse largement le cadre du seul HDH », précise le mémoire. Celui-ci précise que l’analyse de la Cnil se limite, pour l’instant, aux seules données de santé. « Elle réserve son appréciation des conséquences qu’il convient d’en tirer dans d’autres secteurs et pour d’autres données présentant une moindre sensibilité », précise le mémoire.
Mais, même en se limitant au domaine de la santé, de nombreux établissements de santé ont déjà recours aux services de sociétés américaines et « sont donc placées dans la même situation que le HDH ». Ces acteurs vont donc devoir modifier les conditions d’hébergement de leurs données, au risque de se voir refuser, par la Cnil, leurs « autorisations de traitement de ces données, notamment dans le cadre de recherches scientifiques ».
Pour éviter un blocage total et une perte de données, la Cnil propose de mettre en place, de manière transitoire, « un fondement juridique permettant, le cas échéant, de délivrer de telles autorisations, sous certaines garanties. Cependant, prévient-elle, cette période de transition doit rester limitée à ce qui est nécessaire et impérativement mise à profit pour garantir, par des démarches actives, la modification des conditions d’hébergement des données ». Elle appelle donc les autorités à « évaluer en urgence l’existence de fournisseurs alternatifs et leurs capacités, tant en volume de stockage qu’en qualité de service, afin d’évaluer la durée nécessaire pour cette transition, la plus courte possible ».
Lors de l’audience devant le Conseil d’État, à laquelle Mediapart assistait, le représentant du ministère de la santé a alerté sur les « conséquences sur d’autres acteurs privés et publics » d’une prise en compte de l’analyse de la Cnil et de la « source de désordre considérable » qui en résulterait. Selon le gouvernement, il n’existerait aucune alternative à Microsoft, un argument vivement contesté par les requérants, et même si elle existait,« il faudrait au moins des mois » pour la mettre en place.
La présidente, de son côté, a annoncé qu’elle rendrait sa décision en début de semaine prochaine. Elle a cependant d’ores et déjà demandé au représentant du ministère de la santé si certains engagements concernant le non-transfert de données pouvaient être inscrits dans un « acte réglementaire », ce que celui-ci a accepté. Le Health Data Hub, uniquement déployé au nom de l’état d’urgence sanitaire, doit en effet encore faire l’objet d’un décret précisant ses conditions de fonctionnement et devant être pris avant la fin du mois d’octobre. La présidente a cependant précisé qu’il n’était « pas évident que cela suffise dans le cadre du conflit » qu’elle avait à trancher.
GERARD JULIEN / AFP
Données de santé hébergées par Microsoft : « Il y a un problème d’intégrité des responsables publics »
Gafam
Publié le 12/10/2020 à 9:53
Après un recours au Conseil d’Etat demandant la suspension du Health Data Hub, le projet de plate-forme qui centralise les données de santé des Français à des fins de recherche médicale, la CNIL a fait connaître ce 8 octobre sa position sur le sujet : le gendarme de la vie privée demande l’arrêt de leur hébergement à Microsoft.
Comme un coup de tonnerre dans le Cloud. Dans un mémoire transmis au Conseil d’Etat ce 8 octobre, et dévoilé en partie par Mediapart le lendemain, la Commission nationale de l’informatique et des libertés (CNIL) demande l’arrêt du stockage des données de santé à Microsoft ou à toute autre société soumise « au droit étasunien ».
Derrière ce coup de colère de la Cnil se trouve un grand projet controversé : le Health Data Hub. La mise en place de cette base de données compilant les informations de santé des Français à des fins de recherche médicale, hébergée par Microsoft, a été accélérée par un décret passé au coeur du confinement, le 21 avril 2020. Depuis septembre, deux recours ont été transmis au Conseil d’Etat contre ce dernier par un collectif de 18 personnalités et organisations, dont le Conseil National du Logiciel Libre, le Syndicat National des Journalistes et l’association Française des Hémophiles. Entretien avec l’un des avocats des requérants, Me Jean-Baptiste Soufron.
Marianne : Que pensez-vous de la décision de la Cnil réclamant l’arrêt du stockage des données de santé des Français par Microsoft, tombée ce 8 octobre ?
Jean-Baptiste Soufron : Elle était attendue et n’est pas surprenante. Elle suit un arrêt très important de la Cour de justice européenne qui, en juillet, invalidait l’accord « Privacy Shield », servant de base légale pour encadrer le transfert des données personnelles entre l’Union européenne et les Etats-Unis. Cet arrêt posait, de plus, la question du traitement des informations personnelles des utilisateurs en Europe, du moment que ces dernières n’étaient pas des entreprises qui dépendent du droit américain.
Depuis, peu a bougé. Le Conseil d’Etat a ensuite été saisi en référé, la question a été transmise à Cnil, qui a répondu sans ambiguïté. D’une part, il n’est pas possible de transférer les données aux Etats-Unis. D’autre part, il ne l’est pas non plus de faire traiter ces données par des entreprises qui dépendent du droit américain.
Pourquoi une telle réticence de la Cnil à confier nos données de santé à Microsoft ?
Car il s’agit d’une société américaine. Les Etats-Unis n’accordent pas les mêmes niveaux de protection aux utilisateurs européens. Si vous avez des problèmes avec vos données au sein de l’Union européenne, vous pourrez vous tourner vers une autorité de contrôle. Ce n’est pas le cas aux Etats-Unis. Ceux qui utilisent les services des plateformes américaines, comme Facebook ou Google, peuvent constater à quel point il est difficile d’intervenir sur ses données personnelles.
A LIRE AUSSI >>Vente du champion des processeurs ARM : dernier clou dans le cercueil de la souveraineté numérique européenne
Voilà le problème de fond : aujourd’hui, les données des citoyens européens sont traitées aux Etats-Unis, sans protection adéquate. Il faut trouver une solution pour leur fournir des garanties et des protections.
Dans ce cas, comment expliquer qu’une entreprise américaine ait été choisie pour héberger des informations aussi sensibles que des données de santé ?
Cette décision a été prise dans un cadre extrêmement opaque au niveau financier. Malgré tout, les services du ministre de la Santé n’ont eu de cesse d’expliquer qu’aucune entreprise française ou européenne n’était capable d’héberger ces données de santé, alors que même que nombreuses entreprises ont expliqué qu’elles pouvaient le faire.
A LIRE AUSSI >> Exclusif – Microsoft : menace sur la sécurité de l’Etat
Nous avons un problème de formation, de compétence et d’intégrité des responsables publics qui traitent ce sujet. L’attribution du Health Data Hub à Microsoft relève de la corruption culturelle : le fait de prendre pour acquis certaines choses – ici, l’idée que Microsoft serait forcément plus compétent -, parce qu’elles apparaissent comme des solutions de facilité.
Ce 8 octobre, le secrétaire d’Etat au numérique, Cédric O, a expliqué qu’il travaillait au « transfert du Health Data Hub sur des plates-formes françaises ou européennes ». Il existe donc bien des alternatives au géant Microsoft…
Evidemment ! Il suffit de prendre la liste des entreprises ayant effectué la requête au Conseil d’Etat. Ces personnes sont parfaitement capables de fournir des services similaires, et, par ailleurs, les rendent déjà. Prenons un exemple : de nombreux grands hôpitaux font appel à des entreprises françaises, qui peuvent analyser les données de santé avec de l’intelligence artificielle et en logiciel libre. Ce système est déjà opérationnel ; il n’y avait aucun besoin de créer une plateforme supplémentaire. Ce que fait ici la Cnil est heureux et courageux : elle se met au service d’une politique industrielle du numérique.Peut-on imaginer que l’Etat se comporte avec Renault de la même manière qu’il le fait avec les sociétés françaises du secteur ? Absolument pas !
Aujourd’hui, on voit le ministère de la Santé défendre Microsoft, au lieu de se sortir d’une situation qui semble manifestement illégale. Il est scandaleux de voir la résistance fautive et maladive mise par les autorités sur ce dossier. Nous parlons d’entreprises et de citoyens qui expliquent depuis des mois qu’ils sont face à une fonction publique du numérique qui les regarde avec mépris et arrogance, en affirmant qu’ils ne sont pas capables de rendre les services qu’on demande à une entreprise étrangère.
A LIRE AUSSI >> Comment nos élites livrent l’Etat aux Gafam
Il a fallu une décision de la Cnil pour les rappeler à leur devoir. Or, ce devrait être naturel ; ces choses ne seraient pas tolérées dans un autre secteur que celui du numérique. Peut-on imaginer que l’Etat se comporte avec Renault de la même manière qu’il le fait avec les sociétés françaises du secteur ? Absolument pas !
Données de santé : le gouvernement veut rapatrier le Health Data Hub, hébergé chez Microsoft
Le secrétaire d’Etat au numérique, Cédric O, a déclaré qu’il travaillait « au transfert du Health Data Hub sur des plates-formes françaises ou européennes ».
Publié le 09 octobre 2020 à 11h09
Le controversé Health Data Hub, plate-forme qui centralise des données de santé de Français à des fins de recherche médicale, va-t-il rester hébergé chez l’américain Microsoft ? Alors qu’une deuxième requête contestant cette situation est examinée par le Conseil d’Etat, Cédric O, le secrétaire d’Etat au numérique, a déclaré jeudi 8 octobre que le gouvernement souhaitait rapatrier la plate-forme.
« Nous travaillons avec [le ministre de la santé] Olivier Véran, après le coup de tonnerre de l’annulation du Privacy Shield, au transfert du Health Data Hub sur des plates-formes françaises ou européennes », a déclaré Cédric O, auditionné par des sénateurs. « Nous aurons sur ce sujet des discussions avec nos partenaires allemands », a t-il ajouté.
En juillet, la Cour de justice européenne a en invalidé l’accord « Privacy Shield », la base légale encadrant les transferts de données entre l’Union européenne et les Etats-Unis. C’est sur cet accord que s’appuyait Microsoft, comme 5 000 entreprises américaines, pour transférer certaines données vers ses serveurs outre-Atlantique.Article réservé à nos abonnés Lire aussi Données de santé : la plate-forme de la discorde
Une décision du Conseil d’Etat attendue
Cette décision a permis à un collectif de 18 organisations et personnalités – dont le Conseil national du logiciel libre, le Syndicat national des journalistes, ou le Syndicat de la médecine générale – de relancer leur requête devant le Conseil d’Etat pour suspendre le traitement et la centralisation des données au sein du Health Data Hub.
Après* un premier rejet de procédure à la fin de septembre, les requérants ont soumis une nouvelle requête en référé. Une audience s’est tenue jeudi et la décision est attendue « la semaine prochaine », a annoncé le Conseil d’Etat à l’Agence France-Presse.
Cédric O avait déjà jugé « normal » en juin qu’il y ait, « dans les mois qui viennent », un appel d’offres sur l’hébergement de cette plate-forme, pour permettre à des acteurs européens de se positionner.
Lire aussi * Données de santé : le Conseil d’Etat rejette un nouveau recours contre le Health Data Hub
Faciliter le travail de recherche
Cette plate-forme française de données de santé des Français, ou Health Data Hub, a pour objectif de permettre à des scientifiques, sélectionnés, d’accéder à des montagnes de données médicales, sous forme anonymisée, pour effectuer des recherches. Ces données sont actuellement éparpillées dans une variété d’organismes – Sécurité sociale, hôpitaux… –, obligeant les chercheurs à de multiples démarches pour les obtenir.
Au début de 2019, le gouvernement a choisi dans la plus grande discrétion de confier l’hébergement de ces données extrêmement sensibles à Microsoft Azure, la branche de services en ligne (« cloud ») du géant américain. Lors de la création de ce projet, la volonté du gouvernement était « de démarrer très vite » et Microsoft était alors « le seul capable de répondre aux prérequis au moment où la consultation a été faite », a-t-il justifié.
Ce choix est contesté par beaucoup d’experts et de professionnels, qui jugent dangereux de confier ces données à Microsoft : le groupe est en effet soumis au « Cloud act », une législation américaine qui oblige dans certains cas les hébergeurs américains à fournir des données aux autorités, même si elles sont hébergées à l’étranger.Article réservé à nos abonnés Lire aussi ** Données de santé : le controversé Health Data Hub conforté par le Conseil d’Etat
Le Monde
Rappel:
*Données de santé : le Conseil d’Etat rejette un nouveau recours contre le Health Data Hub
Cette action avait été lancée par un collectif s’inquiétant de voir des données de santé de Français hébergées par l’entreprise américaine Microsoft.
Le Monde avec AFP Publié le 22 septembre 2020 à 15h09
Le Conseil d’Etat a rejeté lundi 21 septembre le recours en référé déposé cinq jours plus tôt par un collectif à l’encontre du « Health Data Hub ». Lancée en décembre, cette plate-forme centralise certaines données de santé des Français, collectées par les hôpitaux, l’Assurance-maladie, etc., pour des projets de recherche scientifique. Ces données sont stockées « sous une forme anonymisée », avait rappelé en décembre la ministre de la santé d’alors, Agnès Buzyn. La plate-forme peut être utilisée par des organismes publics ou des entreprises privées dont les projets de recherche ont été sélectionnés.
Le collectif, qui rassemble une vingtaine d’organisations et de personnalités dont le Conseil national du logiciel libre et le Syndicat de la médecine générale, reproche notamment au Health Data Hub son partenariat avec Microsoft : c’est en effet le grand groupe américain qui héberge ces données sensibles. Selon ce collectif, le stockage de données de santé de Français par une entreprise américaine est illégal depuis l’annulation, en juillet, par la justice européenne, du « privacy shield » : un accord encadrant le transfert des données de citoyens européens vers les Etats-Unis.
Un premier recours rejeté en juin
Les requérants ont notamment demandé au Conseil d’Etat d’ordonner « la suspension de la centralisation et du traitement des données en lien avec l’épidémie de Covid-19 sur la plate-forme des données de santé ». La demande a été rejetée. Pour le Conseil d’Etat, les mesures sollicitées « excèdent celles que le juge des référés (…) pourrait adopter. En outre, en l’absence de toute justification de l’urgence de l’affaire, la requête ne saurait, en tout état de cause, s’analyser utilement comme une nouvelle demande », peut-on lire dans son ordonnance.
Le Conseil d’Etat avait déjà été saisi en avril, après la publication d’un arrêté élargissant les prérogatives de la plate-forme Health Data Hub pour mener des projets de recherche contre le Covid-19. Mais le Conseil d’Etat, qui s’était prononcé en référé le 19 juin, avait alors refusé d’annuler l’arrêté controversé : « Il n’apparaît pas que l’arrêté (…) porte une atteinte grave et manifestement illégale au droit au respect de la vie privée et au droit à la protection des données personnelles », avait-il décidé.
Le Monde avec AFP
Données de santé : le controversé Health Data Hub conforté par le Conseil d’Etat
Le Conseil d’Etat a refusé d’annuler en référé l’arrêté élargissant les prérogatives de cette vaste base de données de santé afin de mener en urgence des recherches contre le Covid-19.
Par Martin Untersinger et Alexandre Piquard Publié le 19 juin 2020 à 19h26 – Mis à jour le 20 juin 2020 à 06h29
La pandémie n’a pas apaisé les tensions entourant le Health Data Hub, la plate-forme qui doit centraliser des données de santé françaises à des fins de recherche, en particulier grâce à l’intelligence artificielle (IA). La structure vient, cependant, de remporter une bataille : le Conseil d’Etat a maintenu, vendredi 19 juin, l’arrêtéélargissant en pleine crise sanitaire ses prérogatives pour mener des projets de recherche contre le Covid-19.Article réservé à nos abonnés Lire aussi Données de santé : la plate-forme de la discorde
Cet arrêté donne le droit au Health Data Hub de stocker de nouvelles catégories de données médicales. Ainsi, un projet de recherche a pu être lancé, par le ministère de la santé, sur les données des passages aux urgences. Douze autres sont aujourd’hui à l’étude. Cette extension du Health Data Hub a été attaquée par quatorze associations, experts et médecins. Ces derniers lui reprochent, notamment, l’hébergement des données par un groupe américain, en l’occurrence Microsoft, et la centralisation d’une très grande quantité de données sensibles.
Pour la CNIL, un « démarrage anticipé »
La juge du Conseil d’Etat – se prononçant en référé et non sur le fond – a écarté la quasi-totalité de leurs demandes : « Il n’apparaît pas que l’arrêté (…) porte une atteinte grave et manifestement illégale au droit au respect de la vie privée et au droit à la protection des données personnelles », écrit-elle. Le Conseil d’Etat a cependant ordonné au Health Data Hub de préciser à la Commission nationale de l’informatique et des libertés (CNIL) les méthodes utilisées pour pseudonymiser les renseignements hébergés, et d’afficher sur son site plus d’informations pour les Français dont les données seraient utilisées.
L’élargissement des pouvoirs du Health Data Hub a réactivé les polémiques qui l’accompagnent depuis sa naissance, en décembre 2019. Dans un avis critique du 22 avril, la CNIL s’est inquiétée du « démarrage anticipé » du projet. Jusqu’ici, le Health Data Hub n’était pas pleinement fonctionnel, et un seul projet de recherche n’avait été autorisé.
Toutefois, Stéphanie Combest, interrogée la veille de la décision du Conseil d’Etat, se défend d’avoir pris des risques : « Nous avons atteint un niveau de sécurité que vous allez rarement retrouver dans des outils informatiques de mise à disposition des données de santé », assure la directrice de la plate-forme. De fait, la CNIL a fini, le 10 juin, par fournir un satisfecit global sur la sécurité du projet.Article réservé à nos abonnés Lire aussi Données de santé : conflit d’intérêts au cœur de la nouvelle plate-forme
Les opposants pointent aussi un risque de transfert de données vers les Etats-Unis, lié au choix d’un hébergeur américain. Le gendarme français des données personnelles s’est inquiété que le contrat liant le « Hub » à Microsoft « ne prévoie [pas] la localisation des données ». Mme Combes répond qu’il s’agit d’une formulation standard et que les informations sont physiquement stockées au Pays-Bas, donc dans l’Union européenne (UE). Les données pourraient même être transférées en France. La CNIL s’est aussi émue que le contrat « mentionne l’existence de transferts de données en dehors de l’UE dans le cadre du fonctionnement courant de la plate-forme ». Pour la directrice, il s’agit d’opérations de maintenance lors desquelles les techniciens de Microsoft n’accèdent pas aux données.
Les associations et la CNIL soulignent la menace du Cloud Act, une loi qui permet à la justice américaine de perquisitionner des données hébergées partout dans le monde. Mais, sur ce point sensible, le Conseil d’Etat penche pour le Health Data Hub : les Etats-Unis et Microsoft adhèrent au « bouclier de protection des données » de la Commission européenne, et les requêtes dans le cadre du Cloud Act sont « autorisées par un juge pour les besoins d’une enquête criminelle ». Or, le Conseil d’Etat ne voit pas d’éléments prouvant que les données de santé pourraient être réclamées dans ce cadre. De plus, assure Mme Combes, le contrat noué avec Microsoft précise que ce dernier ne doit pas avoir accès aux données.
Ecart technologique
Mais, pour autant, le débat sur le Health Data Hub n’est pas clos. Le 11 juin, dans un texte publié sur son site, la Commission nationale de l’informatique et des libertés a « souhaité que son hébergement puisse être réservé à des entités relevant exclusivement des juridictions de l’UE ». Une demande qui exclurait les grands hébergeurs de cloud américains comme Microsoft, Amazon ou Google – ou chinois comme Alibaba.Lire l’enquête : Numérique : le cloud, enjeu de souveraineté
Le gouvernement et le Health Data Hub s’étaient déjà vu reprocher de ne pas avoir choisi un hébergeur français ou européen. Leur décision s’explique par le « retard » technologique du continent, a répondu le secrétaire d’Etat au numérique, Cédric O, interpellé fin mai au Sénat par Catherine Morin-Desailly (MoDem). « Une solution française ne nous permettait pas de faire les recherches scientifiques que nous souhaitions faire, avait-il expliqué. Dès lors, il y avait un choix cornélien : est-ce qu’on mettait en avant d’abord l’efficacité sanitaire ou la question de la souveraineté ? »
Octave Klaba, le fondateur du leader français de l’hébergement OVH, avait réagi en dénonçant d’un Tweet « la peur de faire confiance aux acteurs français » et « le lobbying de la religion “Microsoft” ». Depuis, Stéphanie Combes a invité M. Klaba à une rencontre mais l’écart technologique entre Français et Américains reste d’actualité, selon elle.Lire la tribune : « L’exploitation de données de santé sur une plate-forme de Microsoft expose à des risques multiples »
De son côté, Guy Mamou-Mani, coprésident du groupe Open, la société de services maître d’œuvre du Health Data Hub, a fait valoir, dans une tribune aux Echos publiée le 5 juin, que « l’écosystème numérique français s’est construit avec des technologies d’entreprises internationales, à condition qu’elles se conforment à nos valeurs et accèdent aux obligations normatives, comme de ne pas avoir accès aux données stockées ».
Devant le Conseil d’Etat, Stéphanie Combes a réaffirmé que la plate-forme était « réversible », c’est-à-dire transférable à une entreprise française ou européenne. Peut-être qu’un acteur hexagonal pourra s’aligner « dans six mois ou un an », a-t-elle imaginé. Cette porte ouverte, et le déploiement progressif du Health Data Hub, promettent la poursuite de vifs débats. Notamment politiques : dans leurs « propositions pour l’après-crise », les députés LRM souhaitent d’ailleurs renforcer « l’autonomie numérique européenne », notamment en raison du Cloud Act.
Santé-Environnement-Politique 