Discussion :

[Stéphane le calme]

France : le gouvernement accélère la mise en place du Health Data Hub qui vise à centraliser des données de santé,
mais la CNIL s'inquiète d'un possible transfert des données aux États-Unis

La CNIL a été saisie le 15 avril 2020 pour avis d’un projet d'arrêté complétant l’arrêté du 23 mars 2020 prescrivant les mesures d’organisation et de fonctionnement du système de santé nécessaires pour faire face à l’épidémie de covid-19 dans le cadre de l’état d’urgence sanitaire.

Le projet d’arrêté a pour objet, dans le contexte d’urgence lié à la gestion de la crise sanitaire actuelle :

• une « remontée hebdomadaire » des données du programme de médicalisation des systèmes d’information (PMSI), qui comptabilise les actes médicaux facturés par les hôpitaux dans un but de gestion économique et administrative des établissements. Il comprend des codes qui permettent de déterminer chaque acte médical, et donc par exemple de savoir si le patient a été en réanimation. Croisées aux données de l’Assurance-maladie, elles permettront par exemple d’évaluer la comorbidité ou les facteurs de risque ;
• d’organiser le regroupement de certaines données à caractère personnel, comprenant des données de santé, afin de permettre leur utilisation en vue de suivre et projeter les évolutions de l’épidémie, de prévenir, de diagnostiquer et de traiter au mieux la pathologie en plus d’organiser le système de santé pour combattre l’épidémie et en atténuer les impacts. Il prévoit pour ce faire l’ajout dans l’arrêté du 23 mars 2020 d’un chapitre relatif aux mesures concernant le traitement des données à caractère personnel du système de santé.

Ainsi, le projet prévoit, à titre temporaire et dans le cadre spécifique de la gestion de l’urgence sanitaire la centralisation au sein du groupement d’intérêt public dénommé Plateforme des données de santé, prévu par l’article L. 1462-1 du code de la santé publique (également dénommé « Health Data Hub ») de données provenant de différentes sources en vue de leur mise à disposition afin de faciliter l'utilisation des données de santé pour les besoins de la gestion de l’urgence sanitaire et de l’amélioration des connaissances sur le COVID-19.

En clair, au nom de l’état d’urgence, le gouvernement français a accéléré la mise en place du Health Data Hub, une plateforme devant centraliser des données de santé. Alors que le projet était encore en cours de déploiement, et que tous les textes d’applications ne sont pas encore prêts, le gouvernement a pris le 21 avril dernier, au nom de l’état d’urgence sanitaire, un arrêté modifiant celui du 23 mars sur l’organisation du système de santé durant l’épidémie. Il autorise le Health Data Hub, ainsi que la Caisse nationale de l’assurance-maladie (Cnam), à collecter, « aux seules fins de faciliter l’utilisation des données de santé pour les besoins de la gestion de l’urgence sanitaire et de l’amélioration des connaissances sur le virus Covid-19 », un nombre considérable de données

Tout en reconnaissant la légitimité des objectifs poursuivis par le projet, la CNIL a tenu à rappeler, au vu de l’urgence, que, quel que soit le contexte, des garanties suffisantes au regard du respect des principes fondamentaux du droit à la protection des données à caractère personnel doivent être mises en œuvre. Ainsi, elle estime que des mesures juridiques et techniques adaptées devront être prévues afin d’assurer un haut niveau de protection des données.

Pour rappel, en mars 2018, Emmanuel Macron a émis le souhait que la France ne se disperse pas et concentre ses forces dans les domaines où elle dispose déjà d'une grande quantité de données. Raison pour laquelle il a décidé de mettre l'accent sur la santé, où l'Hexagone possède, selon lui, un avantage lié à la centralisation de ses bases de données. L'Élysée a donc annoncé la création d'un « Health Data Hub » qui « pilotera l'enrichissement continu et la valorisation du système national des données de santé, pour y inclure à terme l'ensemble des données remboursées par l'assurance-maladie, les données cliniques des hôpitaux, des données de la médecine de ville...». Il était indiqué que ces données seraient ouvertes aux acteurs de l'IA dans un cadre sécurisé et garantissant la confidentialité pour, comme l'espère Emmanuel Macron, développer des « innovations majeures », comme l'amélioration du traitement des tumeurs cancéreuses, ou la détection des arythmies cardiaques ; et permettre à l'État de faire d'importantes économies.

Observations de la CNIL

Sur la constitution d’un entrepôt de données au sein de la plateforme des données de santé

La Commission relève que la centralisation des données au sein de la Plateforme des données de santé implique la création d’un entrepôt de données de santé en vue de leur mise à disposition auprès d’autres responsables de traitements.

Sur la responsabilité de traitement

La Commission prend acte de ce que la Plateforme des données de santé et la Caisse nationale d’assurance maladie (CNAM) seront conjointement responsables des traitements décrits dans le projet. À ce titre, le projet mentionne que la Plateforme des données de santé est responsable du stockage et de la mise à disposition des données et qu’elle est autorisée à opérer des croisements de données. Le projet mentionne par ailleurs que la CNAM est responsable des opérations de pseudonymisation dans le cadre du croisement des données et peut traiter le numéro d'inscription au répertoire national d'identification des personnes physiques à cette fin. La Commission relève cependant que le projet prévoit que les données peuvent être traitées dans la solution technique de la Plateforme des données de santé, ainsi que dans celle de la CNAM. Il en résulte que la CNAM pourrait également être amenée à stocker et à mettre à disposition des données dans le cadre du traitement envisagé.

Sur les données dont le traitement est envisagé

Le projet dresse la liste des catégories de données susceptibles d’être transmises à la Plateforme des données de santé en vue de leur mise à disposition. La Commission relève, au-delà du caractère très générique des catégories décrites, qu’il n’est fait mention ni de la profondeur historique des données ni de leur nature exacte, notamment au regard de l’intérêt que peut présenter leur analyse dans le cadre de l’épidémie de COVID-19. À titre d’exemple, le projet mentionne, sans plus de détail, la remontée possible de données issues du SNDS ou de « données de pharmacie ». Elle rappelle qu’en application du principe de minimisation des données prévu par l’article 5-1- c du RGPD, les données devront être adéquates, pertinentes et limitées à ce qui est nécessaire au vu de la finalité poursuivie, tant s’agissant des données figurant dans l’entrepôt au sein de la Plateforme des données de santé, que des données mises à disposition pour la réalisation de traitements ultérieurs.

Sur les modalités d’information des personnes et d’exercice des droits

La Commission relève qu’en dehors de la constitution, au sein de la Plateforme des données de santé, d’un répertoire public recensant la liste et les caractéristiques de tous les projets portant sur les données de l’entrepôt, le projet ne prévoit aucune modalité d’information ou d’exercice des droits particulière quant à la constitution de l’entrepôt ou aux traitements mis en œuvre ultérieurement.

Sur les transferts de données vers des pays tiers et les divulgations non autorisées par le droit de l’Union

La Commission relève que les contrats qui lui ont été fournis ne prévoient eux-mêmes ni la localisation des données ni l’ensemble des garanties relatives aux modalités d’accès aux données par les administrateurs de l’hébergeur. Le contrat permet cependant à la Plateforme, à travers les « Conditions des services en ligne » de choisir le lieu d’hébergement des données. En outre, les informations fournies par la Plateforme des données de santé mentionnent explicitement le recours à un hébergeur certifié « hébergeur de données de santé ». A cet égard, la Commission prend acte de ce que le ministère s’est engagé à ce que la Plateforme des données de santé exige de son hébergeur que les données « au repos » soient hébergées au sein de l’Union européenne.

La Commission souligne toutefois que cette localisation ne s’applique qu’aux données « au repos », alors même que le contrat mentionne l’existence de transferts de données en dehors de l’Union européenne dans le cadre du fonctionnement courant de la plateforme, notamment pour les opérations de maintenance ou de résolution d’incident.

À cet égard, les dispositions contractuelles de sous-traitance conclues entre la Plateforme des données de santé et le prestataire chargé de l’hébergement des données, stipulent que les données traitées peuvent être transférées vers les États-Unis pour y être stockées et traitées, ainsi que dans tout autre pays dans lequel le sous-traitant ou ses sous-traitants ultérieurs sont implantés. Ces transferts font l’objet d’un encadrement conformément au Chapitre V du RGPD, étant régis en l’espèce par des clauses contractuelles types, conformément à l’article 46-2-c de ce règlement.

La Commission rappelle, dans ce contexte, les inquiétudes soulevées à plusieurs reprises par le Comité européen de la protection des données (CEPD) concernant l’accès par les autorités des États-Unis aux données transférées aux États-Unis, plus particulièrement la collecte et l'accès aux données personnelles à des fins de sécurité nationale en vertu de l'article 702 de la loi américaine FISA et du décret (« Executive Order ») 12 333. Ces problématiques sont actuellement soumises à la Cour de justice de l’Union européenne dans le cadre d’une demande de décision préjudicielle formée par la High Court of Ireland concernant la validité de la décision 2010/87/UE, par laquelle la Commission européenne a établi des clauses contractuelles types pour certaines catégories de transferts. Un arrêt de la Cour dans cette affaire (C-311/18) est attendu dans les mois qui viennent.

La réaction de la directrice du Health Data Hub

Interrogée sur ce dernier point par Médiapart, Stéphanie Combes dément pourtant les affirmations de la CNIL. « Nous ne sommes pas alignés sur cette phrase de l’avis. Le contrat prévoit en effet que des données peuvent être transférées par l’hébergeur dans certains cas, sauf indication contraire. Or, nous avons bien spécifié que les données ne devaient pas sortir du territoire français », explique-t-elle. La CNIL aurait-elle alors mal lu le contrat ? « Je ne dis pas ça. Mais je trouve que les faits sont un peu détournés. En tout cas, nous avons bien indiqué que les données ne pourront pas être transférées. Je peux même vous dire que c’est à la page 11 du contrat ».

Peut-être encore plus inquiétant, la CNIL affirme que, même si les données stockées seront bien chiffrées « avec des algorithmes à l’état de l’art à partir de clés générées par les responsables de la plateforme sur un boîtier chiffrant maîtrisé par la plateforme des données de santé », les clefs de déchiffrement seront envoyées au prestataire. « Elles seront conservées par l’hébergeur au sein d’un boîtier chiffrant, ce qui a pour conséquence de permettre techniquement à ce dernier d’accéder aux données », pointe l’avis de la commission.

Elle s’inquiète également d’un manque d’encadrement des procédures d’accès des administrateurs de la plateforme. Dans l’étude d’impact du projet, « une fonctionnalité d’autorisation préalable des accès administrateurs » était bien prévue. Mais « la Commission relève que cette fonctionnalité ne semble pas mentionnée dans les contrats fournis. En outre, la Commission s’interroge sur l’effectivité de cette mesure qui ne semble pas couvrir la totalité des accès possibles ».

Sur ce point, Stéphanie Combes explique qu’en effet les clefs de chiffrements des données seront générées par un « HSM » (Hardware Security Module), un « coffre-fort numérique » et envoyées à la plateforme ainsi qu’au prestataire qui est Microsoft. Mais ces clefs « sont utilisées de manière automatique sans intervention humaine ».

Concernant les accès des administrateurs, la directrice du Health Data Hub explique « qu’il peut y avoir un accès des administrateurs à certaines conditions. Mais pas n’importe lesquelles. Nous contrôlons ces accès et nous nous sommes engagés à refuser toute demande qui ne serait pas légitime. Nous avons totalement sécurisé cet aspect-là », assure-t-elle.

Depuis la publication de l’arrêté, le collectif Interhop, composé de professionnels du secteur de la santé et de l’informatique médicale, a publié un nouvel appel. « Contrairement à l’avis de nombreux acteurs – Commission nationale informatique et des libertés, Ordre national des médecins, Conseil national des barreaux, hôpitaux –, le gouvernement français s’appuie sur le géant américain Microsoft pour stocker l’ensemble des données de santé, affirme-t-il. Nous appelons à la constitution d’un écosystème universitaire, médiatique, juridique, associatif et politique pour réaffirmer les valeurs d’autonomie et des “communs” et, pour faire naître un large débat de société. »

Sources : Mediapart, rapport de la CNIL

Et vous ?

Qu'en pensez-vous ? Les craintes de la CNIL vous semblent-elles justifiées ? Dans quelle mesure ?

[scandinave]

Je pense que la dame confond sécurité juridique et sécurité numérique. Bien sûr seul la première l'intéresse pour sauver ses fesses quand ça partira en sucette. Dans la première on se satisfait d'une promesse ( Contrat ) dans la seconde on demande la preuve. Cela fait une énorme différence.

Dans la première, Microsoft à la les clés. Promis on les utilisera pas. Microsoft à les serveurs. Promis, les données bougeront pas de France. ( Promesse )
Dans la deuxième. Les serveurs sont en France, gérés par l'état et avec des clés de chiffrement détenues exclusivement par l'état ( Preuve )

Surtout quand on sait que Microsoft est une boite américaine, donc soumis au règle extra-territoriale des USA, autant partir du principe que les données sont accessible au gouvernement américain ainsi qu'aux grosses boites US.

[redcurve]

Je pense que la dame confond sécurité juridique et sécurité numérique. Bien sûr seul la première l'intéresse pour sauver ses fesses quand ça partira en sucette. Dans la première on se satisfait d'une promesse ( Contrat ) dans la seconde on demande la preuve. Cela fait une énorme différence.

Dans la première, Microsoft à la les clés. Promis on les utilisera pas. Microsoft à les serveurs. Promis, les données bougeront pas de France. ( Promesse )
Dans la deuxième. Les serveurs sont en France, gérés par l'état et avec des clés de chiffrement détenues exclusivement par l'état ( Preuve )

Surtout quand on sait que Microsoft est une boite américaine, donc soumis au règle extra-territoriale des USA, autant partir du principe que les données sont accessible au gouvernement américain ainsi qu'aux grosses boites US.

Je vois pas le problème Microsoft a deux data centers en france même, et l'état peut très bien faire du edge computing pour gérer toute la partie chiffrement sur ces propres machines et n'avoir dans le cloud que des données chiffrés Azure est prévu pour ce genre de scénario. L'état peut aussi utiliser Azure Arc pour aller encore plus loin dans la possibilité d'avoir les avantages du cloud et sa propre sécurité.

Avec Azure Arc l'état peut déployer son propre cloud hybride et faire de l'offload sur Azure avec uniquement des données chiffrés, et faire des traitements aves ses propres images docker ou image de vm sur ces données chiffrés à coup de chiffrage homomorphique.

En plus Microsoft travail beaucoup avec OVH donc il y a moyen d'avoir quelque chose qui envoi du bois tout en correspondant aux besoins en sécu de l'état.

Le vrai problème est la compétence des personnes mettant en place le système.

Bref un non sujet

[defZero]

Qu'en pensez-vous ? Les craintes de la CNIL vous semblent-elles justifiées ? Dans quelle mesure ?

J'en pense qu'en effet, les craintes de la CNIL sont parfaitement justifié, dans la mesure ou aucune information technique n'est évoqué clairement.
Concrètement, ils fixent des objectifs complétement hors sol comme à leurs habitudes.
A charge, ensuite aux exécutants de trouver des solutions et en cas de pépins (technique et juridique) ils seront qui aller voir .

Ils feraient mieux de demander à tous les Ingénieurs Informatique Fonctionnaire d’État et dont c'est le boulot :
"Comment pouvons nous mettre en place un Cloud National pour le traitement des données de santés en toute sécurité ?".
De là ils pourrait ensuite légiféré sans demander des trucs impossibles à réaliser ou complétement ubuesque.
Bref une belle bande de br**leurs qui font les choses à l’envers, comme d'hab .

---

@scandinave, +1 Autant faire directement payer les boites US pour l'usage de nos donnés de santé, ça ira plus vite et aux moins ça nous rapportera quelque chose .

... Le vrai problème est la compétence des personnes mettant en place le système.
Bref un non sujet

@redcurve

Du coup si, il y a un très gros sujet justement.
Comment ce fait il qu'un PAYS soit dit en développé, n'est pas ça propre infrastructure de Cloud National en 2020 ?
D'autant que j'ai déjà lu pas mal d'articles faisant la réclame pour des dépenses faramineuses d'argent public qui devaient justement nous d’ôter d'un tel système.
Alors, où est partit l'argent, puisque visiblement l'infra n'est pas là et où sont les compétences, puisque l'on doit faire appel à des boites étrangères pour tout ou partit des traitements ?
Oh mais attendez, ne serait-ce pas une preuve de plus que l'on nous prend pour des c*** et que nous sommes dirigée par des personnes hautement qualifiées ?

P.S. : Désoler, mais c'est énervant qu'à chaque fois que je lise un article sur les décisions du gouvernement, ils fassent systématiquement du grand n'importe quoi et qu'ils n'est jamais eu à subir aucunes conséquences de leurs choix / actes.
Dans le monde pro, si nous étions à leur niveau, aucun projet n’aboutirait jamais et les gens passerait leur temps à se faire viré.
Prendre des décisions législatives avant même d'avoir l'avale de la technique, sur ce type de projet, c'est complétement absurde.

[stardeath]

Comment ce fait il qu'un PAYS soit dit en développé, n'est pas ça propre infrastructure de Cloud National en 2020 ?

parce qu'on est tout simplement incapable d'en mettre un en place? https://www.lesechos.fr/tech-medias/...ancais-1118112

ps: j'ai pas vérifié le contenu de l'article, mais il semble qu'il n'y a pas que le gouvernement à revoir, mais aussi l'ensemble de nos "champions" nationaux ...

[defZero]

@stardeath, +1

... ps: j'ai pas vérifié le contenu de l'article, mais il semble qu'il n'y a pas que le gouvernement à revoir, mais aussi l'ensemble de nos "champions" nationaux ...

@stardeath

Justement, l’État devrait arrêter de tout vouloir sous-traiter et recommencer à prendre les choses en mains.
Sinon que l'on m'explique pourquoi ils ont besoin d'embaucher autant d' Informaticiens si c'est pour systématiquement sous-traité aux moins cher ?
S'ils comptent sur les "champions nationaux" qui n'en n'ont que le nom, ça risque pas d'aboutir à grand chose en effet .

[stardeath]

attention, je vais parler d'une situation d'il y a 15 ans, je ne peux pas extrapoler ça à aujourd'hui, juste mettre ça dans le champs des possibles :

donc il y a 15 ans, dans une mairie que j'ai très bien connu, ils avaient du embauché un prestataire informatique, parce que le fonctionnaire dédié à cette tâche (déjà que c'était rare d'avoir pu avoir un fonctionnaire pour faire la gestion de l'informatique de cette ville) était moins que enclin pour faire le boulot, vu qu'il était visiblement indéboulonnable.
en attendant, il fallait bien que le boulot soit fait, d'où la prestation en plus du fonctionnaire.

je pense que ça doit plus ou moins rester comme ça, tu ne peux pas forcément avoir une équipe pour tout et n'importe quoi en permanence, donc tu prends de la prestation le plus souvent possible.
les entreprises de certains secteurs ne se gênent pas pour la prestation, l'état, qui a autorisé la pratique, doit jouer dans la même cours.

j'ai donc pas l'impression qu'il y a tant d'informaticiens "non prestataires" que ça au service de l'état.

[grim95]

C'est la même chose que les protections sensibles de l'armée qui tourne sous Windows et l'entretien des ordinateurs est confié à Microsotf donc autant dire que toutes nos données personnelles seront collectées par ces branleurs d'américains.

[xp-op]

Confier les données à Microsoft représente un triple danger :
1/ C'est une boîte américaine et donc soumise à tout un tas de lois américaines pas vraiment protectrice pour les non-américains
2/ Microsoft a des velléités dans le domaine de la santé, donc il ne va pas se gêner pour exploiter nos données
3/ La sécurité a toujours été son point faible. Il n'y a qu'à voir les 500 Go de données privées qui viennent d'être piratées sur Github !

[J_P_P]

Confier des données sensibles à Microsoft ? Cela semble une plaisanterie !

[padebile]

Ce qui s'est passé ces derniers mois montre clairement l'intention technocratique de prendre d'en haut les décisions sur la façon de nous soigner individuellement. Or, on a vu aussi qu'en réalité ceux qui prétendent savoir sont loin de tout comprendre au développement d'une maladie. L'urgence me parait donc de repousser la prise de pouvoir des algorithmes sur les choix en matière de santé, aussi bien les choix portant sur les individus que les choix de société (tabac, alimentation, prévention, équipements). M$ ne fait pas mystère de son idéologie vaccinale; si on confie les décisions à des systèmes de régulation pondus par cette entreprise, le résultat est prévisible. Alors que les orientations à prendre pour traiter des problèmes de santé sont très discutables.

En posant ce point de vue, certains me trouveront excessifs. Pourtant, la mise à disposition envisagée des données sort du cadre purement comptable, et si on ne réfléchit pas ouvertement à l'usage de ces données, c'est la politique du fait accompli qui s'exercera à coup sûr.

En premier lieu, il faudrait discuter des limites de la liberté individuelle que le système de santé doit respecter. Sans entrer en détail dans ce débat, on peut anticiper que la capacité à respecter l'anonymat des données sera essentiel. Or, certains besoins comme la surveillance des épidémies conduisent à lever de fait cet anonymat : les données de détail de votre dossier suffisent souvent à vous identifier. Il faudra donc astreindre au secret les personnes qui auront le droit d'accès aux données pour ces opérations.

D'autre part, les dangers pour notre santé n'ont pas de frontière; il faut d'emblée dépasser le cadre franco-français pour ces questions, tout en sachant que dans ce domaine nos concitoyens ont un traitement haut de gamme qu'il ne faudrait pas sacrifier aux lois du marché.

[Stéphane le calme]

Données de santé : plusieurs organisations attaquent Health Data Hub devant le Conseil d’État,
estimant que le choix d'un hébergeur américain porte atteinte à la vie privée des Français

Le déploiement du Health Data Hub est attaqué devant le Conseil d’État. Les requérants estiment que cette base de données médicales porte atteinte à la vie privée des 67 millions de Français. Le choix de l'hébergeur, Microsoft, est au centre des plaintes.

Au nom de l’état d’urgence, le gouvernement français a accéléré la mise en place du Health Data Hub, une plateforme devant centraliser des données de santé. Nous pouvons citer des mesures comme l’arrêté du 21 avril qui autorise le Health Data Hub, ainsi que la Caisse nationale de l’assurance-maladie (Cnam), à collecter, « aux seules fins de faciliter l’utilisation des données de santé pour les besoins de la gestion de l’urgence sanitaire et de l’amélioration des connaissances sur le virus Covid-19 », un nombre considérable de données.

L’avis de la CNIL sur le projet a été demandé et la Commission n’a pas caché ses inquiétudes face à un possible transfert des données aux États-Unis notamment parce que le gouvernement français s’appuie sur l’américain Microsoft pour stocker l’ensemble des données de santé.

La Sénatrice Catherine Morin Dessailly a demandé à Cédric O, secrétaire d’État en charge du numérique, ce qui a motivé l’attribution du marché à Microsoft. Le secrétaire d’État a déclaré :

« La réponse elle est simple : nous avions le choix entre prendre une solution française, et l’évaluation technique était très claire, qui ne nous permettait pas, et je le regrette, de faire les recherches scientifiques que nous souhaitions faire sur les données de santé. Et quand je parle de recherches scientifiques, il s’agit de ce que nous avons fait pendant la crise du COVID-19 notamment les recherches de comorbidité, les recherches d’interactions médicamenteuses.

« Avec les solutions françaises, étant donné le retard européen dans le cloud, que je regrette profondément, nous n’avions pas la possibilité de faire tourner les algorithmes d’intelligence artificielle aussi développés sur l’infrastructure française que sur l’infrastructure américaine.

« Dès lors il y avait un choix cornélien qui était de savoir si on mettait en avant d’abord l’efficacité sanitaire avec un certain nombre de garanties ou la question de la souveraineté avec une moindre efficacité sanitaire. Nous avons réfléchi longtemps sur cette question. Après avoir discuté avec un certain nombre de scientifiques, de chercheurs en intelligence artificielle pour comprendre jusqu’au bout ce qu’on pouvait faire et ce qu’on ne pouvait pas faire, nous avons choisi Microsoft qui était la mieux placée en termes de technologie, avec un certain nombre de garanties techniques et juridiques ».

À cette déclaration, Morin Dessailly a réagi en disant : « ne me faites pas croire qu’il n’y avait pas de solution française, européenne, internationale. OVH aurait très bien pu candidater si le cahier des charges avait été aussi fait en fonction des acteurs européens dont nous disposons. Parce que dans ce domaine, tout est en train d’être construit et Microsoft fait de même ».

La réaction des acteurs français

Octave Klaba, président du fournisseur de cloud français OVH, n’a pas manqué d’afficher son regret de voir cette attribution à Microsoft, effectuée sans « procédure d'appel d'offres en bonne et due forme ». Il avait exprimé son mécontentement notamment sur Twitter : « C’est la peur de faire confiance aux acteurs français de l’écosystème qui motivent ce type de décisions. La solution existe toujours. Le lobbying de la religion ‘Microsoft’ arrive à faire croire le contraire. C’est un combat. On va continuer et un jour on gagnera. Ensemble. »

Il avait d’ailleurs annoncé qu’il allait avoir un entretien téléphonique le 1er juin à 16 heures avec Stéphanie Comb, directrice du Health Data Hub, pour voir si ou quand la plateforme pourrait tourner sur un cloud français au lieu de Microsoft, précisant qu’il avait « une envie débordante de montrer que l’écosystème français est à la hauteur de ce type de mission ».

À l’issue de cet appel, il a fait quelques remarques, notamment :

• Le projet a vu le jour fin 2018, sur la base d’une description de besoin fonctionnelle du service, d’assez haut niveau. Le document est public
• Il n’y a pas eu et il n’y a toujours pas d’autres documents sur le projet. Par exemple, le cahier des charges avec la liste ou la description de services IaaS PaaS et SaaS nécessaires pour réaliser le projet.
• La liste de services utilisés est documentée en interne, mais n’est pas rendue publique.
• Sur la base de ce document interne, les équipes internes analysent les insuffisances entre les services utilisés et la liste de services disponibles, notamment chez OVHcloud.
• Pourtant, Klaba note « qu’en 2018, avant le démarrage du projet, les insuffisances se résumaient au ‘manque de IaaS HDS avec du GPU’. On avait Hosted Private Cloud HDS, on avait Baremetal GPU, mais on n’avait pas IaaS HDS avec GPU. En mai 2019, Baremetal a été certifié HDS et on n’avait plus d’insuffisances »

« Le développement du projet a démarré en mai 2019 et donc théoriquement il n’y avait plus de souci. Mais on accepte le constat qu’en novembre 2018 on n’avait pas d’offre HDS avec du GPU et donc que le projet est parti sans nous. C’est la vie. Fin 2019, après plusieurs mois de dev, une nouvelle analyse de gap a été faite. Cette fois-ci, il s’agit d’une liste de 18 services qu’on n’aurait pas. Je vais vous donner les détails de cette liste dans les prochains jours et confirmer, qu’on les a ou pas.

« J’ai regretté le manque de transparence sur les besoins et l’absence du cahier de charge avec toute la liste de service tech qui sont nécessaires au projet. Il n’y a pas qu’OVHcloud sur le marché! J’ai eu un engagement que cette liste sera publiée prochainement et disponible pour tous. »

Pour Arnaud de Bermingham, Président fondateur de Scaleway, la filiale spécialisée dans les infrastructures cloud (IaaS) du groupe Iliad, la réponse est dans le multicloud : « pour moi, le cloud du futur c’est un écosys composé de centaines d’hyperspecialistes. Nos clients font des choses incroyablement pointues. La vision monolithe oligarchique et monopolistique, et horriblement chère ne va durer qu’un temps. La réponse c’est l’ouverture, le multicloud ».

Un recours déposé auprès du Conseil d’État

Une quinzaine d'organisations et de personnalités ont déposé un référé-liberté devant le Conseil d’État contre le déploiement de la base de données de Health Data Hub. Ce référé-liberté doit être examiné le jeudi 11 juin. Il s’agit entre autres du collectif InterHop, composé de professionnels du secteur de la santé et de l’informatique médicale, mobilisé depuis près d’un an contre le projet, mais également par le médecin Didier Sicard, ancien président du Comité national consultatif d’éthique, le professeur Bernard Fallery, spécialiste des systèmes d’information, le Syndicat national des journalistes (SNJ), le Syndicat de la médecine générale (SMG), l’Union française pour une médecine libre (UFML), la représentante des usagers du conseil de surveillance de l’APHP, l’Observatoire de la transparence dans les politiques de médicaments, l’Union générale des ingénieurs, cadres et techniciens CGT (UGICT-CGT) et l’Union fédérale médecins, ingénieurs, cadres, techniciens CGT Santé et Action sociale (UFMICT-CGT Santé et Action sociale).

Selon eux, cette mise en place « porte une atteinte grave et sûrement irréversible aux droits de 67 millions d’habitants de disposer de la protection de leur vie privée notamment celle de leurs données parmi les plus intimes, protégées de façon absolue par le secret médical : leurs données de santé ».

Le motif : le Health Data Hub, avec ses données, est « hébergé sur le cloud de Microsoft ». Microsoft étant une entreprise américaine, « il n'y a pas de garantie que ces données ne seront pas exportées aux États-Unis », selon les auteurs du recours, s’alignant ainsi sur l’avis rendu par la CNIL.

Cette action fait suite à un courrier envoyé par les requérants en mars 2020 au ministère des Solidarités et de la Santé. Ils demandaient alors que soit ouverte une enquête pour « favoritisme » sur le choix fait par le gouvernement de confier l'hébergement du Health Data Hub au service de cloud computing Azure de Microsoft.

La procédure de référé-liberté permet de demander à la plus haute juridiction administrative de prendre en urgence une mesure nécessaire à la sauvegarde d'une ou de plusieurs libertés fondamentales si l'administration y porte atteinte de manière grave et illégale.

Sources : Octave Klaba, Arnaud de Bermingham, Morin Desailly, MediaPart

[tanaka59]

Bonsoir,

Données de santé : plusieurs organisations attaquent Health Data Hub devant le Conseil d’État

J'ai envie de dire de dire "mais lol"

Microsoft avec son poids lourd niveau cloud devance même OVH ... Azure + Onedrive + Outlook online + Power Bi + d'autres services ...

OVH Cloud se concentre sur la stockage de data et site web. Tant que OVH n'aura pas de produit de type power bi ou analyse il y aura un train de retard ...

En somme réussir à trouver tous les equivalents US en FR/EU ... Quasi mission impossible .

Genre un concurrent de Power Bi français qu'est Report One-My Report ... a besoin d'un licence Microsoft donc d'Excel ...

[robertledoux]

A voir, car si je me base sur Azure, Microsoft a un datacenter en France et Allemagne. Donc il parait un peu tôt pour crier au loup avec des données en vadrouille de l'autre côté de l'océan

[marsupial]

C'est un peu vite oublier le cloud act qui donne le droit d'accès aux données où qu'elles soient sur le globe dès lors qu'il s'agit d'une entreprise américaine.

[grigric]

un datacenter en france ne veux pas dire qu'il ne synchronise pas la totalité des données aux état unis pour backup, mais aussi pour audit des agences de sécurités (NSA, etc.)

[DevTroglodyte]

un datacenter en france ne veux pas dire qu'il ne synchronise pas la totalité des données aux état unis pour backup, mais aussi pour audit des agences de sécurités (NSA, etc.)

Une donnée sur un datacenter possédé par une entreprise américaine ou filiale d'une entreprise américaine est concernée par le cloud act. Donc peu importe si ton datacenter est en France ou qu'il ne soit pas backupé aux US.

Pour avoir un stockage Azure non concerné par le cloud act, il faudrait qu'il soit déployé sur un datacenter n'appartenant pas à MS ni à une de ses filiales.

[Stan Adkens]

La CNIL publie son avis sur le contrat de Health Data Hub avec Microsoft Azure, alors que la polémique enfle sur le sujet,
La Commission appelant à choisir un prestataire européen

Microsoft sera-t-il, en fin de compte, l’hébergeur de la Plateforme des données de santé (Health Data Hub), infrastructure officiellement pour faciliter le partage des données de santé issues de sources très variées afin de favoriser la recherche ? Depuis quelques semaines, le gouvernement français est sous le feu des accusations à propos du contrat d’hébergement de Health Data Hub attribué à la plateforme cloud computing du géant américain Microsoft. À ces critiques, viennent de s’ajouter celles de la CNIL, qui appelle à choisir un prestataire européen.

Initialement lancé en mai 2019 par le gouvernement, le projet Health Data Hub est une plateforme conçue pour regrouper toutes les données de santé des Français de manière centralisée. Une initiative louable, en théorie, puisqu’elle permettra aux chercheurs d’accéder aux données fournies par les hôpitaux ou l’Assurance maladie. Ces ressources leur permettront de développer des modèles d’intelligence artificielle capables de prédire les maladies, de renforcer la précision des diagnostics, ou encore de découvrir de nouveaux médicaments.

Cependant, compte tenu du caractère sensible et intime des données de santé de 67 millions de personnes, des inquiétudes légitimes émergent quant à la confidentialité, bien que les données soient chiffrées et anonymisées. Le problème c’est le fournisseur cloud choisi par le gouvernement pour l’hébergement de la plateforme française. Ces inquiétudes sont d’autant plus légitimes que le célèbre lanceur d’alerte Edward Snowden soulignait fin mai dernier que le choix d’un hébergeur américain fait du Health Data Hub une menace pour la vie privée.

La CNIL, qui contrôle la loi Informatique et Libertés qui régit l’accès à ces informations, s’est jointe à la polémique qui va bon train depuis des semaines. En effet, la commission souhaite qu’au vu de « la sensibilité et du volume des données ayant vocation à être hébergées au sein de la PDS, pour lesquelles le niveau de protection technique, mais aussi juridique le plus élevé doivent être assurés, y compris en matière d’accès direct par les autorités de pays tiers, la CNIL a fait part de son souhait qu’une vigilance particulière soit accordée aux conditions de conservation et aux modalités d’accès aux données ».

La Commission nationale va plus loin en appelant au choix d’un hébergeur européen : « À plus long terme, elle a pris acte de ce qu’il lui a été indiqué que l’entrepôt appelé à être constitué au sein de la Plateforme des données de santé n’est pas lié aux services d’un unique prestataire. Elle souhaiterait, eu égard à la sensibilité des données en cause, que son hébergement et les services liés à sa gestion puissent être réservés à des entités relevant exclusivement des juridictions de l’Union européenne ».

Même si le RGPD prémunit les pays d’Europe contre la loi américaine Cloud Act, qui autorise la justice des États-Unis à accéder sur demande aux données stockées par des hébergeurs américains, en interdisant le transfert de données vers des pays extérieurs à l’UE, le choix du gouvernement inquiète et suscite la polémique.

La CNIL souligne « les inquiétudes soulevées à plusieurs reprises par le Comité européen de la protection des données (CEPD) concernant l’accès par les autorités nord-américaines aux données transférées aux États-Unis, plus particulièrement la collecte et l'accès aux données personnelles à des fins de sécurité nationale en vertu de l'article 702 de la loi américaine FISA et du décret (« Executive Order ») 12 333 ».

Elle rappelle aussi les obligations du RGPD qui « interdisent toute demande d’accès d'une juridiction ou d'une autorité administrative d'un pays tiers, adressée à des entreprises dont les traitements sont soumis au RGPD, en dehors d’un accord international applicable ou, selon l’interprétation du CEPD, de l’application d’une dérogation relative à l’intérêt vital de la personne concernée ».

Le choix du gouvernement contesté depuis plusieurs semaines

Depuis quelques semaines, des acteurs français cherchent à comprendre pourquoi un prestataire français – comme OVH – n’a pas été retenu dans le cadre du Health Data Hub. Dans un tweet, Octave Klaba, président du fournisseur de cloud français OVH, a exprimé son mécontentement : « C’est la peur de faire confiance aux acteurs français de l’écosystème qui motivent ce type de décisions. La solution existe toujours. Le lobbying de la religion ‘Microsoft’ arrive à faire croire le contraire. C’est un combat. On va continuer et un jour on gagnera. Ensemble. »

Il a aussi relancé la polémique dans un autre tweet lors d’un échange avec Stéphanie Combes, directrice de Health Data Hub : « Pas de cahier des charges. Pas d’appel d’offres. Le POC avec Microsoft qui se transforme en solution imposée. Tout ceci à la limite je m’en fous. Mais de là dire que l’écosystème qu’on représente est incapable de proposer mieux et moins cher, c’est non ! »

Face à ces accusations, le gouvernement se défend en rappelant que le contrat a été signé en 2019. Or, à cette époque, OVH ne disposait pas de la certification HDS (hébergeur de données de santé) obligatoire pour stocker de telles données. Aussi au nom de l’état d’urgence, le gouvernement français devait accélérer la mise en place du Health Data Hub. C’est la raison pour laquelle Microsoft a été sélectionnée, afin de ne pas perdre de temps.

« Avec les solutions françaises, étant donné le retard européen dans le cloud, que je regrette profondément, nous n’avions pas la possibilité de faire tourner les algorithmes d’intelligence artificielle aussi développés sur l’infrastructure française que sur l’infrastructure américaine », avait répondu Cédric O, secrétaire d’État en charge du numérique, lorsque que la sénatrice Catherine Morin Dessailly a voulu savoir ce qui a motivé l’attribution du marché à Microsoft.

Néanmoins, la directrice du Health Data Hub, Stéphanie Combes, a précisé que le contrat n’est pas définitif. Si les conditions sont remplies, il est possible qu’OVH ou d’autres acteurs français comme Scaleway et Hotscale soient appelés à rejoindre le projet. Toutefois, pour l’heure, ces entreprises françaises n’ont pas été sollicitées par le gouvernement.

Parmi les plaignants, on compte le collectif de professionnels de la santé et de l’informatique médicale InterHop, l’ancien président du Comité national consultatif d’éthique Didier Sicard, le professeur Bernard Fallery, le Syndicat national des journalistes, le Syndicat de la médecin générale, ou encore l’Union française pour une médecine libre. Ces entités sont à l’origine d’un recours pour lequel le Conseil d’État rendra son verdict ce 11 juin prochain.

Ils reprochent que la plateforme mise en place « porte une atteinte grave et sûrement irréversible aux droits de 67 millions d’habitants de disposer de la protection de leur vie privée notamment celle de leurs données parmi les plus intimes, protégées de façon absolue par le secret médical : leurs données de santé ». Le motif de leurs recours est que le Health Data Hub qui regroupe ses données, est « hébergé sur le cloud de Microsoft », une entreprise américaine. Pour eux, « il n'y a pas de garantie que ces données ne seront pas exportées aux États-Unis ».

Source : CNIL

Et vous ?

Que pensez-vous de l’appel de la CNIL à choisir un prestataire européen ?
Que pensez-vous de la polémique concernant le choix de Microsoft ? Les craintes exprimées vous semblent-elles justifiées ?

Lire aussi

Données de santé : plusieurs organisations attaquent Health Data Hub devant le Conseil d'État, estimant que le choix d'un hébergeur américain porte atteinte à la vie privée des Français
France : le gouvernement accélère la mise en place du Health Data Hub qui vise à centraliser des données de santé, mais la CNIL s'inquiète d'un possible transfert des données aux États-Unis
France : IBM obtient la certification d'hébergeur de données de santé (HDS), qui atteste que l'entreprise respecte à la fois la confidentialité, l'intégrité et la disponibilité des données des clients

[stardeath]

Que pensez-vous de l’appel de la CNIL à choisir un prestataire européen ?

ça devrait être même un prestataire français, vu la qualité de nos relations européennes.
mais ...

Que pensez-vous de la polémique concernant le choix de Microsoft ? Les craintes exprimées vous semblent-elles justifiées ?

... on est visiblement incapable, on ne compte plus le nombre de gabegies, que ça soit en france ou en europe, de proposer un concurrent à de nombreuses boites américaines.
par exemple, le fameux cloud français.

[tanaka59]

Bonjour,

ça devrait être même un prestataire français, vu la qualité de nos relations européennes. mais ...

Français oui ! Tout à fait !

... on est visiblement incapable, on ne compte plus le nombre de gabegies, que ça soit en france ou en europe, de proposer un concurrent à de nombreuses boites américaines.
par exemple, le fameux cloud français.

La liste commence à devenir longue

Support de carte grise française imprimées en Suisse
Jeux a grattés FDJ imprimés au Canada
Code du travail imprimé en Italie
Le renouvellement des P4 qui est devenu Ford Pick Up benne au lieu d'un Renault ou Duster benne ...
Le renouvellement des voitures de polices chez Skoda et VW

On peut ajouter à la liste les données de la sécurité sociale française chez Microsoft au lieu de chez OVH ...