HDH

  • AprĂšs la rĂ©vocation du Privacy Shield, nouveau recours contre le Health Data Hub

    L'invalidation du Privacy Shield rend caduque le choix de Microsoft Azure pour hĂ©berger et traiter les donnĂ©es de santĂ© du projet Health Data Hub. C'est en tous cas la conviction de 18 organisations et personnalitĂ©s qui dĂ©posent un nouveau recours auprĂšs du Conseil d'État. Le front anti Health Data Hub s'Ă©paissit. Il faut dire que l'actualitĂ© lui apporte quelques nouveaux arguments : rĂ©vocation du Privacy Shield en juillet, persistance de la pandĂ©mie et rĂŽle dĂ©volu au HDB pour contribuer Ă  la recherche pour Ă©radiquer le Covid19, affirmation gouvernementale de la souverainetĂ© numĂ©rique Ă  l'occasion de l'appel d'offres sur la 5G et mission tout rĂ©cemment lancĂ©e Ă  ce sujet Ă  l'AssemblĂ©e nationale («BĂątir et promouvoir une souverainetĂ© numĂ©rique nationale et europĂ©enne»). 

    S'aligner sur la jurisprudence européenne

    Un premier recours en rĂ©fĂ©rĂ© devant le Conseil d'État a Ă©tĂ© repoussĂ©. Â« Il n’apparaĂźt pas que l’arrĂȘtĂ© (
) porte une atteinte grave et manifestement illĂ©gale au droit au respect de la vie privĂ©e et au droit Ă  la protection des donnĂ©es personnelles. »  Cet arrĂȘtĂ© du 21 avril, en plein confinement, Ă©tendait largement les possibilitĂ©s de collecte de donnĂ©es personnelles de santĂ© par le groupement d'intĂ©rĂȘt public "plateforme des donnĂ©es de santĂ©" lequel s'appuie pour hĂ©berger et traiter ces donnĂ©es sur le cloud Azure de Microsoft. Un choix trĂšs contestĂ© depuis plusieurs mois et qui a fait l'objet d'une enquĂȘte dans L'Informaticien n°188 (article que vous pouvez retrouver ici). Ce mercredi 16 septembre, ce sont 18 organisations, syndicats et personnalitĂ©s du monde mĂ©dical qui ensemble dĂ©posent un nouveau recours auprĂšs du Conseil d'État. Ils demandent de « suspendre le traitement et la centralisation des donnĂ©es au sein du Health Data Hub et, ce faisant, de s’aligner sur la toute rĂ©cente jurisprudence europĂ©enne. »Ils font Ă©galement valoir que « les engagements contractuels conclus entre la sociĂ©tĂ© Microsoft et le Health Data Hub sont insuffisants. »

    Liste des 18 requérants

    Avec leur commentaire Ă©ventuel... â–șL’association LE CONSEIL NATIONAL DU LOGICIEL LIBRE (CNLL) : « Pour que les discours sur la souverainetĂ© numĂ©rique ne restent pas des paroles en l’air, les projets stratĂ©giques au plan Ă©conomique et sensibles au plan des libertĂ©s personnelles ne doivent pas ĂȘtre confiĂ©s Ă  des opĂ©rateurs soumis Ă  des juridictions incompatibles avec ces principes, mais aux acteurs europĂ©ens qui prĂ©sentent des garanties sĂ©rieuses sur ces sujets, notamment par l’utilisation de technologies ouvertes et transparentes. » â–șL’association PLOSS AUVERGNE-RHONES-ALPES â–șL’association SoLibre â–șLa sociĂ©tĂ© NEXEDI : « Il est faux de dire qu’il n’y avait pas de solution europĂ©enne. Il est exact en revanche que le Health Data Hub n’a jamais rĂ©pondu aux offreurs de ces solutions. » â–șLe Syndicat National des Journalistes (SNJ) : « Pour le Syndicat national des journalistes (SNJ), premiĂšre organisation de la profession, ces actions doivent permettre de conserver le secret sur les donnĂ©es de santĂ© des citoyennes et citoyens de France ainsi que protĂ©ger le secret des sources des journalistes, principale garantie d’une information indĂ©pendante. » â–șL’Observatoire de la transparence dans les politiques du mĂ©dicament â–șL’association INTERHOP : « L’annulation du Privacy Shield sonne la fin de la naivetĂ© numĂ©rique europĂ©enne. Cependant des rapports de force se mettent en place entre les Etats-Unis et l’Union EuropĂ©enne concernant le transfert des donnĂ©es personnelles en dehors de notre espace juridique. Pour pĂ©renniser notre systĂšme de santĂ© mutualiste et eu Ă©gard Ă  la sensibilitĂ© des donnĂ©es en cause, l’hĂ©bergement et les services du Health Data Hub doivent relever exclusivement des juridictions de l’Union europĂ©enne.» â–șLe syndicat UFMICT-CGT â–șLe syndicat UGICT-CGT: « Pour la CGT des cadres et professions intermĂ©diaires (UGICT-CGT), ce recours est indispensable pour prĂ©server la confidentialitĂ© des donnĂ©es qui sont dĂ©sormais devenues, dans tous les domaines, un marchĂ©. Concepteurs et utilisateurs des technologies, nous refusons de nous laisser dĂ©possĂ©der du dĂ©bat sur le numĂ©rique au prĂ©texte qu’il serait technique. Seul le dĂ©bat dĂ©mocratique permettra de placer le progrĂšs technologique au service du progrĂšs humain!» â–șL’association CONSTANCES : « Volontaires de Constances, la plus grande cohorte de santĂ© en France, nous sommes particuliĂšrement sensibilisĂ©s aux donnĂ©es de santĂ© et leurs intĂ©rĂȘts pour la recherche et la santĂ© publique. Comment admettre que des donnĂ©es de citoyens français soient aujourd’hui transfĂ©rĂ©es aux Etats-Unis ? Comment accepter qu’à terme, toutes les donnĂ©es de santĂ© des 67 millions de Français soient hĂ©bergĂ©es chez Microsoft et donc tombent sous les lois et les programmes de surveillance amĂ©ricains ? » â–șL’Association Française des HĂ©mophiles (AFH) â–șL’association les "Actupiennes" â–șLe Syndicat National des Jeunes MĂ©decins GĂ©nĂ©ralistes (SNJMG) : « Les donnĂ©es issues des soins ne doivent pas servir d’autre finalitĂ© que l’amĂ©lioration des soins. Garantir la sĂ©curitĂ© des donnĂ©es de santĂ© et leur exploitation Ă  des seules fins de santĂ© publique est une prioritĂ© pour toustes les soignant.es. » â–șLe Syndicat de la MĂ©decine GĂ©nĂ©rale (SMG): « La sĂ©curisation des donnĂ©es de santĂ© est un enjeu majeur de santĂ© publique puisqu’elle permet le secret mĂ©dical. Le Health Data Hub n’a jusqu’ici montrĂ© aucune garantie sur une vĂ©ritable sĂ©curisation des donnĂ©es de santĂ© des Français.es, notamment par son choix d’hĂ©berger celles-ci chez Microsoft, et met ainsi en danger le secret mĂ©dical pourtant nĂ©cessaire Ă  une relation thĂ©rapeutique saine et efficiente. » â–șLe Syndicat de l’Union Française pour une MĂ©decine Libre (UFML) : « Évitons le contrĂŽle de systĂšmes monopolistiques potentiellement nuisibles pour le systĂšme de santĂ© et les citoyens. » â–șMadame Marie Citrini, en son mandat de reprĂ©sentante des usagers du Conseil de surveillance de l’AP-HP â–șMonsieur Bernard Fallery, professeur Ă©mĂ©rite en systĂšmes d’information : « La gestion "par l’urgence » revendiquĂ©e pour le Healh Data Hub est un vĂ©ritable cas d’école de tous les risques liĂ©s Ă  la gouvernance des donnĂ©es massives : souverainetĂ© numĂ©rique et stockage sans finalitĂ© prĂ©cisĂ©e, mais aussi centralisation technique risquĂ©e, mainmise sur un commun numĂ©rique, oligopole des GAFAM, dangers sur le secret mĂ©dical, quadrillage des traces et ajustement des comportements » â–șMonsieur Didier Sicard, mĂ©decin et professeur de mĂ©decine Ă  l’UniversitĂ© Paris Descartes Source : CommuniquĂ© du CNLL
  • HDH : Guy Mamou-Mani dĂ©fend le choix de Microsoft

    Le coprĂ©sident de Groupe Open, architecte et maĂźtre d’Ɠuvre du Health Data Hub français, souligne Ă  nouveau qu’il n’y avait pas d’autre choix que Azure. Alors que commence Ă  se dessiner un cloud europĂ©en avec le projet Gaia-X, Guy Mamou-Mani, co-prĂ©sident de Groupe Open, maĂźtre d’Ɠuvre du Health Data Hub, dĂ©fend le choix de Microsoft Azure pour le HDH. Dans une tribune parue ce vendredi dans Les Échos, il Ă©carte toute possibilitĂ© d’ouverture Ă  des acteurs français comme OVH, Scaleway et Outscale.

    Les plus hauts standards du marché

    Extrait : « Maintenant actif, le HDH est un atout incontournable pour la modernisation de notre systĂšme de santĂ© publique. Quand nous, le Groupe Open, architecte et maĂźtre d’Ɠuvre de ce projet, avons fait la proposition de nos services, il est apparu Ă  tous les acteurs concernĂ©s que la plateforme de cloud Azure de Microsoft rĂ©pondait mieux que les autres aux enjeux de traitement des donnĂ©es, par sa flexibilitĂ© et ses innovations aux plus hauts standards du marchĂ©. Elle Ă©tait la seule Ă  rĂ©pondre aux enjeux normatifs du projet parce que certifiĂ©e pour l’hĂ©bergement des donnĂ©es de santĂ©. » Le choix d’Azure paraĂźt rĂ©solu et dĂ©finitif, mĂȘme si « au-dessus de l’infrastructure cloud, cette plate-forme est dĂ©veloppĂ©e en tant qu’infrastructure programmable, garantie de sa portabilitĂ©, si nĂ©cessaire sur d’autres solutions d’hĂ©bergement Ă  l’avenir ».
  • HDH : un avis du Conseil d'État tout en nuances

    Qu'il est mesurĂ©, le Conseil d'État, lorsqu'il s'exprime sur le Health Data Hub. La Cnil a rĂ©cemment critiquĂ© le traitement des donnĂ©es de santĂ© par Microsoft, au motif du risque d'accĂšs Ă  ces donnĂ©es par le renseignement amĂ©ricain. Risque hypothĂ©tique selon le juge, qui ne demande pas la suspension du contrat entre la plateforme et le gĂ©ant, mais que des prĂ©cautions soient prises en attendant une solution plus pĂ©renne. Quelques jours aprĂšs que les remarques de la CNIL aient Ă©tĂ© rendues publiques, le juge des rĂ©fĂ©rĂ©s du Conseil d'État livre un avis plus que timorĂ© sur la question de l'hĂ©bergement et du traitement des donnĂ©es du Health Data Hub par Microsoft. Qui s'avĂšre lĂ©gal selon le juge, ou du moins ne pas ĂȘtre frappĂ© d'une "illĂ©galitĂ© grave et manifeste". Le Conseil d'État estime que l'avenant au contrat passĂ© entre Microsoft et HDH empĂȘche tout transfert de donnĂ©es en dehors de l'UE et que l'arrĂȘtĂ© ministĂ©riel du 9 octobre vient renforcer un peu plus cette clause contractuelle, puisque qu'il "interdit, en outre, tout transfert de donnĂ©es Ă  caractĂšre personnel dans le cadre de ce contrat". Notons que le propos de la Cnil Ă  ce sujet Ă©tait moins catĂ©gorique : le gendarme des donnĂ©es personnelles considĂšre en effet que certains points restent Ă  Ă©claircir.  Toujours est-il que, aux yeux du juge, "le traitement de donnĂ©es par Microsoft sur le territoire de l’Union europĂ©enne n’est pas en lui-mĂȘme une illĂ©galitĂ© grave et manifeste". Il reconnaĂźt nĂ©anmoins que les agences de renseignement amĂ©ricaines risquent de demander Ă  Microsoft l'accĂšs Ă  ces mĂȘmes donnĂ©es. Pour autant, le Conseil d'État considĂšre que pareille situation n'est qu'hypothĂ©tique, "car elle supposerait que Microsoft ne soit pas en mesure de s’opposer Ă  une Ă©ventuelle demande des autoritĂ©s amĂ©ricaines". Et de s'exprimer sur la pseudonymisation des dites donnĂ©es et sur "l'intĂ©rĂȘt public important" Ă  continuer Ă  exploiter ces donnĂ©es dans la situation sanitaire que l'on connaĂźt. 

    Hypothétique

    Et puisque la CJUE n'a pas interdit le traitement de donnĂ©es sur le territoire de l'UE par des sociĂ©tĂ©s amĂ©ricaines, la tĂąche confiĂ©e Ă  Microsoft n'a rien d'illĂ©gale et rien ne justifie "la suspension immĂ©diate du traitement des donnĂ©es par cette plateforme". Cependant, le Conseil d'État est bien forcĂ© de considĂ©rer l'existence d'un risque, mĂȘme "hypothĂ©tique". Puisqu'il s'agit d'un rĂ©fĂ©rĂ©, ne pouvant prendre des mesures qu'Ă  trĂšs court terme, le juge "demande au Health Data Hub de continuer, sous le contrĂŽle de la CNIL, Ă  travailler avec Microsoft pour renforcer la protection des droits des personnes concernĂ©es sur leurs donnĂ©es personnelles". Soit des "prĂ©cautions" Ă  prendre, que le Conseil d'État ne dĂ©taille pas, en attendant qu'un solution plus pĂ©renne soit trouvĂ©e, qu'il s'agisse d'un accord de licence que la Cnil a dĂ©jĂ  suggĂ©rĂ© ou de la sĂ©lection d'un nouveau sous-traitant, que CĂ©dric O a rĂ©cemment appelĂ© de ses voeux.   En rĂ©action, la Cnil explique dans un communiquĂ© qu’elle “va analyser avec attention la position du juge des rĂ©fĂ©rĂ©s pour l’instruction des demandes d’autorisations de projets de recherche utilisant le Health Data Hub ainsi que pour conseiller les autoritĂ©s publiques sur la mise en place de garanties pĂ©rennes appropriĂ©es” et se dit favorable Ă  la position du secrĂ©taire d’État au numĂ©rique de transfĂ©rer le Health Data Hub sur des plateformes françaises ou europĂ©ennes.
  • HDH : la Cnil Ă©trille l’hĂ©bergement des donnĂ©es par Microsoft

    Dans un mĂ©moire transmis au Conseil d’Etat, le gendarme des donnĂ©es personnelles se prononce enfin sur le Health Data Hub, et plus particuliĂšrement sur l’hĂ©bergement des donnĂ©es de santĂ© sur Azure. Un choix technique que la Cnil dĂ©sapprouve et estime illĂ©gal, du fait d’une part de l’invalidation du Privacy Shield et de l’autre des risques juridiques relatifs Ă  la rĂ©glementation amĂ©ricaine.  Vendredi soir, Mediapart ainsi que le CNLL ont dĂ©voilĂ© les observations de la Cnil sur l’hĂ©bergement des donnĂ©es de santĂ© du Health Data Hub sur Azure de Microsoft. Le gendarme des donnĂ©es personnelles, de mĂȘme que la plus haute juridiction administrative, avaient Ă©tĂ© saisis par un groupe d’associations fermement opposĂ©s au contrat passĂ© entre Microsoft et HDH. Et ce mĂ©moire de la Cnil, rendu Ă  la lumiĂšre de l’arrĂȘt de la CJUE invalidant le Privacy Shield, abonde dans le sens des dĂ©tracteurs de Redmond. La Cnil rappelle que, saisie en avril au sujet du HDH, elle avait rendu un avis favorable au projet tout en Ă©mettant plusieurs rĂ©serves. “Elle s’était inquiĂ©tĂ©e du fait que le choix de Microsoft pour l’hĂ©bergement des donnĂ©es impliquait, malgrĂ© les prĂ©cautions prises par la PDS, que des transferts de donnĂ©es vers les États-unis soient rĂ©alisĂ©s” Ă©crit-elle, prĂ©cisant que ces transferts Ă©taient alors couverts par le Privacy Shield. Le gendarme des donnĂ©es personnelles signale avoir appelĂ© le gouvernement Ă  “une extrĂȘme vigilance” sur le sujet. 

    Feu vert en avril, mais... 

    Car en avril, la Cnil remarquait que le HDH permettait des “transferts rĂ©siduels” de donnĂ©es de santĂ© vers les États-unis. MalgrĂ© un stockage au repos et un traitement effectuĂ© uniquement sur le sol europĂ©en, les donnĂ©es pouvaient nĂ©anmoins se retrouver aux États-unis dans le cadre d’opĂ©rations d’administration rĂ©alisĂ©es par Microsoft, qui dĂ©tient par ailleurs les clĂ©s de chiffrement. Ajoutons Ă  cela que la Cnil estime que la pseudonymisation n’empĂȘche pas dans l’absolu de pouvoir identifier une personne sur la base de ses donnĂ©es. Cela dit, un avenant au contrat plus tard, tout semblait pouvoir rouler pour HDH et Microsoft... jusqu’à ce que tombe le Privacy Shield.  Si des transferts devaient subsister, ils seraient illĂ©gaux souligne le rĂ©gulateur. Car si les modifications apportĂ©es au contrat liant la plateforme Ă  Microsoft prĂ©cisent bien qu’il n’y aura point de transfert sous quelque forme que ce soit, se heurtent Ă  ce beau principe certains autres mĂ©canismes du contrat, points que HDH et la Cnil cherchent encore Ă  clarifier. Mais il y a plus grave, et c’est justement la problĂ©matique en vertu de laquelle aucun acteur ayant des donnĂ©es aux États-unis ne devrait hĂ©berger des donnĂ©es de santĂ© française : la rĂ©glementation amĂ©ricaine. 

    FISA et EO123333 

    Et ici, la Cnil ne brandit pas l’éternel Ă©pouvantail du Cloud Act, mais s’appuie sur deux textes dĂ©jĂ  utilisĂ©s par l’administration amĂ©ricaine : le Foreign Intelligence Surveillance Act et l’Executive Order 12333. Tous deux obligent en effet des entreprises amĂ©ricaines ou ayant des activitĂ©s aux États-unis Ă  fournir aux services de renseignements amĂ©ricains Ă  leur demande des donnĂ©es quand bien mĂȘme celles-ci ne sont pas stockĂ©es sur le sol amĂ©ricain. Ce qui n’assure pas aux yeux de la CJUE un niveau de protection des donnĂ©es Ă©quivalent au droit europĂ©en : c’est l’une des raisons de l’invalidation du Privacy Shield.  La Cnil s’est interrogĂ©e Ă  ce sujet Ă  la lumiĂšre du nouvel arrĂȘt de la cour europĂ©enne. Or le contrat entre HDH et Microsoft ne permet pas les transferts de donnĂ©es “sauf si la loi l’exige”. ConsidĂ©rant que les demandes du renseignement amĂ©ricain contreviennent au RGPD, le gendarme français des donnĂ©es personnelles estime que, pour le cas de donnĂ©es de santĂ©, “mĂȘme dans le cas oĂč l’absence de transferts de donnĂ©es personnelles en dehors de l’UE Ă  des fins de fourniture du service serait confirmĂ©e”, Microsoft demeure soumis Ă  la lĂ©gislation amĂ©ricaine et donc obligĂ© d’opĂ©rer de tels transferts pour satisfaire les autoritĂ©s amĂ©ricaines. Transferts illĂ©gaux, aux yeux de la Cnil. 

    Transition

    En consĂ©quence, l’hĂ©bergement des donnĂ©es du Health Data Hub par le gĂ©ant de Redmond est remis en cause. Il devient donc nĂ©cessaire d’opĂ©rer quelques changements afin de “soustraire ces donnĂ©es Ă  la possibilitĂ© d’une communication aux services de renseignement”. Ainsi, “la solution la plus effective consiste Ă  confier l’hĂ©bergement de ces donnĂ©es Ă  des sociĂ©tĂ©s non soumises au droit Ă©tatsunien” assĂšne la Cnil. Exit Microsoft ! Quoique... l’avis du rĂ©gulateur se veut plus nuancĂ©. Ainsi, il suggĂšre qu’un dispositif contractuel embarquant un accord de licence pourrait ĂȘtre mis en place, pour peu que seule une entreprise europĂ©enne ait les clĂ©s de chiffrements, tandis que l’entreprise amĂ©ricaine continue de fournir ses services sans toutefois avoir accĂšs aux donnĂ©es.  Mais quelle que soit la solution choisie, elle ne se fera pas en un jour, c’est pourquoi la Cnil recommande une pĂ©riode de transition “afin d’assurer ces changements sans perte de donnĂ©es ou de technologie et sans compromettre les usages qui sont faits aujourd’hui de ces donnĂ©es”. En effet, le RGPD prĂ©voit bien Ă  son article 49 des dĂ©rogations et l’autoritĂ© française considĂšre qu’il en va de l’intĂ©rĂȘt public de mĂ©nager cette pĂ©riode transitoire. Elle n’en prĂ©cise pas la durĂ©e mais insiste : elle “doit rester limitĂ©e Ă  ce qui est nĂ©cessaire”.  C’est donc une victoire non nĂ©gligeable pour le CNLL, mais loin d’ĂȘtre dĂ©finitive. D’une part il est nĂ©cessaire d’attendre l’avis du Conseil d’État sur le sujet, d’autre part entre une pĂ©riode de transition floue et la possibilitĂ© de certains dispositifs contractuels, Microsoft pourrait bien rester dans la boucle encore quelques temps.
  • Health Data Hub : Pourquoi tant de haine ?

    Peu de projets français d’IA auront suscitĂ© autant de controverses. La rĂ©cente plate-forme de donnĂ©es et de services cloud pour la recherche en santĂ© s’est fait de nombreux ennemis. En cause : le choix de Microsoft comme prestataire cloud. Une polĂ©mique qui fait de l’ombre Ă  un projet pourtant trĂšs prometteur pour les data sciences et le secteur français de l’e-santĂ©. Mais ce choix n’est pas irrĂ©versible. Une levĂ©e de boucliers des promoteurs du logiciel libre, des tweets incendiaires d’Octave Klaba, une nĂ©cessaire prise de parole de CĂ©dric  O, pour calmer le jeu
 Le projet Health Data Hub a cristallisĂ© le dĂ©bat français autour de la souverainetĂ© numĂ©rique. La cause de la polĂ©mique n’est pas son objectif, Ă  savoir : proposer une plate-forme des donnĂ©es de santĂ© et de services cloud, aux chercheurs et aux entreprises, pour dĂ©velopper de nouvelles solutions d’e-santĂ©, basĂ©es sur l’IA. Ce qui bloque : c’est la mĂ©thode. Sans appel d’offres, Microsoft s’est vu confier la fourniture de l’infrastructure et des principaux services cloud. Au grand dam des acteurs français du secteur et des dĂ©fenseurs du logiciel libre, qui voient le gĂ©ant amĂ©ricain se positionner au cƓur d’un projet hexagonal aux enjeux considĂ©rables, basĂ© sur des donnĂ©es ultra-sensibles : celles de la santĂ© des Français. Pour les uns, ce choix rĂ©vĂ©lerait un manque de maturitĂ© de l’offre cloud en Europe, encore incapable de rivaliser avec celle des gĂ©ants amĂ©ricains. Pour d’autres, c’est un nouvel exemple d’une certaine politique publique française, accordant plus facilement sa confiance Ă  de grands groupes, mĂȘme Ă©trangers, qu’à des PME, pourtant hexagonales. Pour comprendre l’«affaire Health Data Hub», il convient de cerner le contexte et la nature mĂȘme du projet. Pourquoi a-t-il Ă©tĂ© lancĂ©? En quoi consiste exactement la plate-forme et comment fonctionne-t-elle ? Et, bien entendu, quelles donnĂ©es y sont hĂ©bergĂ©es et comment sont-elles protĂ©gĂ©es ?

    Stéphanie Combes, directrice du projet Health Data Hub : « Nous disposons en France de nombreuses données de santé, parmi les plus riches au monde, mais elles demeurent relativement sous-exploitées. »

     

    A l'origine : le rapport Villani

    L’origine du projet est le rapport sur l’Intelligence artificielle du mathĂ©maticien et dĂ©sormais homme politique CĂ©dric Villani. Rendu au gouvernement en mars 2018, le document prĂ©conisait de « crĂ©er une plate-forme d’accĂšs et de mutualisation des donnĂ©es pertinentes pour la recherche et l’innovation en santĂ©, regroupant dans un premier temps les donnĂ©es mĂ©dico-administratives, puis les donnĂ©es gĂ©nomiques, cliniques, hospitaliĂšres » C’est Ă  partir de cette recommandation qu’a Ă©tĂ© lancĂ© le projet Health Data Hub en juin 2018. La situation de dĂ©part Ă©tait la suivante : « Nous disposons en France de nombreuses donnĂ©es de santĂ©, parmi les plus riches au monde, mais elles demeurent relativement sous-exploitĂ©es, particuliĂšrement par des approches d’IA et de data science. Pourquoi ? Tout d’abord car elles sont rĂ©parties sur un grand nombre de systĂšmes hĂ©tĂ©rogĂšnes, avec des bases de donnĂ©es trĂšs cloisonnĂ©es. Ensuite, car ces systĂšmes ne disposent pas toujours des technologies nĂ©cessaires Ă  l’exploitation de ces donnĂ©es avec des approches de data science. Ces technologies sont pourtant nĂ©cessaires pour la rĂ©alisation des traitements de gros volumes de donnĂ©es en Python, en R, en Spark
 avec des capacitĂ©s de calcul et de stockage importants », explique StĂ©phanie Combes, directrice du projet Health Data Hub. L’objectif est donc de rassembler un maximum de donnĂ©es de santĂ© sur une seule plate-forme, et d’y intĂ©grer de la puissance de calcul (CPU et GPU), ainsi que des services cloud pour faire tourner des rĂ©seaux de neurones et autres algorithmes d’IA. Point important : il ne s’agit pas de centraliser toutes les donnĂ©es de santĂ© françaises. Le Health Data Hub ne collecte que des copies de ces donnĂ©es, Ă  des fin de data science, et non de suivi mĂ©dical. « Il y a souvent une confusion, mais le Health Data Hub n’est pas une plate-forme de production pour les professionnels de santĂ©. Il s’agit d’une plate-forme de R&D destinĂ©e Ă  de la recherche et uniquement Ă  la recherche », souligne StĂ©phane Messika, CEO de Kynapse by open. Ce cabinet de conseil en stratĂ©gie digitale, filiale de l’intĂ©grateur Open, a assurĂ© la maĂźtrise d’Ɠuvre du projet. Le Health Data Hub s’adresse donc aux acteurs de la recherche en santĂ© publique (instituts, universitĂ©s, laboratoires
) mais aussi aux «porteurs de projets» du secteur privĂ©, Ă  commencer par les start-up. « L’intĂ©rĂȘt de la plate-forme est d’offrir Ă  la fois un environnement de services et des donnĂ©es. C’est la combinaison de ces deux Ă©lĂ©ments qui est source de valeur », indique le docteur Arnaud Rosier, fondateur de la jeune pousse Implicity, Ă  l’origine du premier projet exploitant le Health Data Hub (lire ci-dessous). L’accĂšs Ă  la plate-forme s’effectue via un espace dĂ©diĂ©, totalement cloisonnĂ© oĂč les utilisateurs peuvent exploiter les donnĂ©es liĂ©es Ă  leur projet. « Le plus compliquĂ© a Ă©tĂ© de crĂ©er ces espaces sĂ©curisĂ©s, Ă©lastiques et permĂ©ables avec le respect des normes de protection du systĂšme de santĂ© français», poursuit StĂ©phane Messika. Avec ce systĂšme d’espaces cloisonnĂ©s, les donnĂ©es de santĂ© ne sortent pas de la plate-forme et les porteurs de projets n’ont accĂšs qu’aux datas qui les concernent. Pour l’instant l’accĂšs Ă  la plate-forme n’est pas payant. Mais le Health Data Hub rĂ©flĂ©chit Ă  une tarification de son offre de services. « Pour la recherche publique, la plate-forme resterait gratuite, mais pour le secteur privĂ©, certains services pourraient ĂȘtre tarifĂ©s. Cela nous permettrait de redistribuer les revenus aux acteurs Ă  l’origine de la collecte des donnĂ©es », confie StĂ©phanie Combes. Le business model du Health Data Hub est donc aujourd’hui basĂ© quasi-uniquement sur de la subvention publique. Le budget s’élĂšve Ă  prĂšs de 80 millions d’euros sur quatre ans, dont 36 millions proviennent de l’appel Ă  projets du fonds pour la transformation de l’action publique (FTAP) et 40 millions de l’Ondam (Objectif national de dĂ©penses d’assurance maladie). Des partenaires privĂ©s ont Ă©galement des contributions Ă  hauteur de quelques dizaines de milliers d’euros. Mais elles restent donc Ă  la marge.

    Des donnĂ©es « pseudonymisĂ©es Â»

    Les donnĂ©es stockĂ©es sur la plateforme sont aujourd’hui principalement issues du SystĂšme national des donnĂ©es de santĂ© (SNDS), qui regroupe l’ensemble des donnĂ©es de santĂ© associĂ©es Ă  un remboursement de l’Assurance maladie. Il s’agit des informations collectĂ©es Ă  l’occasion d’une prise en charge Ă  l’hĂŽpital, d’une visite chez le mĂ©decin ou d’une participation Ă  une cohorte de recherche. On y retrouve notamment la pathologie du patient, son traitement, les Ă©ventuels actes mĂ©dicaux, etc. D’autres bases de donnĂ©es devraient ĂȘtre prochainement ajoutĂ©es, comme celles du Samu ou des pharmacies. « Nous n’avons pas vocation Ă  collecter toutes les donnĂ©es de santĂ© du pays, mais seulement celles qui sont intĂ©ressantes pour la recherche Â», prĂ©cise la direction du Health Data Hub. Ces donnĂ©es ne sont pas anonymisĂ©es mais pseudonymisĂ©es. La diffĂ©rence est subtile. Avec une donnĂ©e anonymisĂ©e, tous les Ă©lĂ©ments d’identidication sont dĂ©truits afin qu’il n’y ait aucune rĂ©versibilitĂ©. Avec des donnĂ©es pseudonymisĂ©es, seules les principales informations d’identification sont effacĂ©es (nom, prĂ©nom, date et lieu de naissance, adresse
). Il demeure donc des Ă©lĂ©ments spĂ©cifiques Ă  l’individu. Par recoupements, il serait thĂ©oriquement possible de retrouver l’identitĂ© liĂ©e Ă  des donnĂ©es pseudonymisĂ©es, comme l’ont dĂ©montrĂ© plusieurs Ă©tudes scientifiques. Mais ce type d’opĂ©ration reste complexe. Le Health Data Hub explique avoir besoin de donnĂ©es pseudonymisĂ©es car la data science requiert l’analyse de «trajectoires individuelles», avec des successions d’évĂ©nements (hospitalisation, complication, amĂ©lioration de l’état clinique, traitements pris
) ce que les donnĂ©es anonymisĂ©es ne permettent pas.

    Un projet menĂ© au pas de charge, d’oĂč le choix de Microsoft

    La premiĂšre version de la plate-forme est opĂ©rationnelle depuis avril 2020. Le choix du prestataire a Ă©tĂ© pris dĂ©but 2019 et la crĂ©ation du groupement d’intĂ©rĂȘt public, gĂ©rant la plate-forme, date de novembre dernier. Pour un projet de cette envergure, le calendrier a Ă©tĂ© plutĂŽt serrĂ©. Ce serait d’ailleurs pour gagner du temps que le choix s’est portĂ© sur Microsoft. Car, d’aprĂšs la direction du Health Data Hub, seul Microsoft Ă©tait prĂȘt Ă  l’époque. « C’était le seul choix possible, au regard de nos attentes techniques et juridiques Â», indique StĂ©phanie Combes. D’oĂč le fait qu’aucun appel d’offres n’ait Ă©tĂ© lancĂ©, car seule la firme de Redmond aurait rempli tous les critĂšres. « Techniquement, Microsoft proposait les meilleurs outils managĂ©s et Ă©tait le seul Ă  ĂȘtre certifiĂ© HDS, ou HĂ©bergeurs de donnĂ©es de santĂ©, notamment au niveau des GPU », rappelle pour sa part StĂ©phane Messika. Un point de vue que ne partage pas le CNLL (Conseil National du Logiciel Libre) qui a attaquĂ© la Health Data Hub devant le Conseil d’État, dĂ©but juin, avec une quinzaine d’autres organisations et personnalitĂ©s, dont le collectif InterHop, Jean-Paul Smets chez Nexedi ou le mĂ©decin Didier Sicard : « Pourquoi ne pas avoir attendu quelques mois afin qu’un ou plusieurs acteurs français puissent se positionner? Microsoft Ă©tait un choix facile, avec des solutions sur Ă©tagĂšre, mais il est soumis au Cloud Act et cela pose tout de mĂȘme un grave problĂšme de souverainetĂ© des donnĂ©es Â», estime Pierre Baudracco, co-prĂ©sident du CNLL et CEO de la sociĂ©tĂ© BlueMind. Rappelons que le Cloud Act permet Ă  une juridiction amĂ©ricaine de collecter des donnĂ©es personnelles sur des suspects, sans aucune transparence sur l’exploitation de ces donnĂ©es (lire ci-dessous). Autre problĂ©matique soulevĂ©e par les requĂ©rants, le projet n’intĂšgre pas que la fourniture d’une plate-forme cloud « mais aussi une cinquantaine de services managĂ©s sur Azure, dont on ne connaĂźt pas prĂ©cisĂ©ment la nature et qui posent la question de la rĂ©versibilitĂ© de la plate-forme. Comment changer de prestataire si celle-ci a Ă©tĂ© construite sur des technologies Microsoft ?», pointe pour sa part Stefane Fermigier, autre co-prĂ©sident du CNLL et CEO d’Abilian. Pour Jean-Paul Smets, prĂ©sident de Nexidi, des alternatives Ă©taient possibles : « Nous leur avons Ă©crit pour leur dire que des technologies open-source Ă©taient disponibles afin de construire la plate-forme. Et nous aurions pu rĂ©pondre Ă  un appel d’offres en nous rapprochant d’un Cloud provider. Mais nous n’avons eu aucune rĂ©ponse. Le pire, c’est que toutes les technologies du type de celles utilisĂ©es sur Azure viennent de Français, comme Scikitlearn, une bibliothĂšque libre d’IA qui a Ă©tĂ© dĂ©veloppĂ©e par l’Inria. C’est une nĂ©gation des compĂ©tences françaises. Â» Le choix de Microsoft a Ă©galement fait sortir de ses gonds Octave Klaba, le dirigeant d’OVH : « C’est la peur de faire confiance aux acteurs français de l’écosystĂšme qui motive ce type de dĂ©cision. La solution existe toujours. Le lobbying de la religion Microsoft arrive Ă  faire croire le contraire. C’est un combat. On va continuer et un jour on gagnera Â», a-t-il dĂ©clarĂ© sur Twitter.

    Une dĂ©cision mitigĂ©e du Conseil d'État

    Le 19 juin, le Conseil d’État a rendu une dĂ©cision mitigĂ©e, qui est loin d’avoir calmĂ© les esprits. En rĂ©sumĂ©, la plus haute juridiction administrative française a estimĂ© que le choix de Microsoft ne prĂ©sentait pas de risques pour la protection des donnĂ©es privĂ©es. Il a cependant demandĂ© au Health Data Hub de fournir de plus amples informations Ă  la Cnil sur ses systĂšmes de pseudonymisation et de protection des donnĂ©es. «Cette dĂ©cision conforte le fait que la plate-forme technologique ne constitue pas un risque pour la vie privĂ©e des personnes», se fĂ©licite StĂ©phanie Combes. « C’est une victoire car plusieurs contre-vĂ©ritĂ©s, portĂ©es par le Health Data Hub, ont Ă©tĂ© mises en lumiĂšre », souligne pour sa part Stefane Fermigier. « Par exemple : nous avons appris que les donnĂ©es ne sont pas hĂ©bergĂ©es en France mais aux Pays-Bas. Par ailleurs, Microsoft peut avoir accĂšs aux clĂ©s de chiffrement.» Dans l’autre camp, on rĂ©torque vouloir une localisation des donnĂ©es en Europe. « Et c’est le cas !», indique StĂ©phane Messika. Concernant les clĂ©s de chiffrement, « elles sont gĂ©nĂ©rĂ©es via un HSM, ou Hardware Security Module, externe et transmises Ă  un HSM interne sur la plate-forme Azure de Microsoft. Le dĂ©chiffrement des clĂ©s est automatisĂ©, il n’y a donc aucune intervention d’un administrateur de Microsoft dans cette opĂ©ration. Et dans son contrat, Microsoft a l’interdiction d’utiliser ces clĂ©s », indique la direction du Health Data Hub. Sur les risques du Cloud Act, c’est une loi trĂšs spĂ©cifique qui permet de « rĂ©quisitionner des donnĂ©es nominatives, Ă  des fins d’enquĂȘte, et pas une base de donnĂ©es complĂšte. Or, nous n’avons pas les donnĂ©es nominatives des patients. Elles arrivent dĂ©jĂ  pseudonymisĂ©es dans la plate-forme ». Enfin, sur la nature des cinquante services cloud associĂ©s Ă  l’offre d’hĂ©bergement Azure, ils couvrent notamment « la virtualisation de machines, la structuration des espaces de stockage, le dĂ©clenchement d’évĂ©nements sur la plate-forme ou le transport des messages », indique la Health Data Hub. Environ quarante de ces services sont fournis par Microsoft et dix sont externalisĂ©s. « Nous travaillons avec une dizaine de fournisseurs pour ces services, dont Wallix, Ă©diteur français de logiciels de sĂ©curitĂ© informatique, ou CDC ArkhinĂ©o, spĂ©cialiste de l’archivage et de la conservation Ă  long terme des donnĂ©es Ă©lectroniques Â». Dans ces conditions comment est-il possible de changer de prestataire? « Le choix de Microsoft a permis Ă  la plateforme une mise en production rapide, en moins de douze mois. Le moment venu, il sera possible de changer de prestataire, car la plate-forme technologique est conçue pour ĂȘtre rĂ©versible. En effet, nous utilisons la technologie Terraform pour scripter au maximum les travaux d’intĂ©gration et de dĂ©ploiement dans une logique Infrastructure As Code. Le contrat passĂ© avec Microsoft ne prĂ©voit aucune clause d’engagement ou d’exclusivité», assure StĂ©phanie Combes.

    En avril 2019, AgnÚs Buzyn, ministre de la Santé, dévoilait les 10 lauréats du premier appel à projets du Health Data Hub.

    Vers un prochain appel d’offres?

    Face Ă  la polĂ©mique, CĂ©dric O, secrĂ©taire d’État au NumĂ©rique a dĂ©clarĂ© qu’il « serait normal que, dans les mois Ă  venir, nous puissions lancer un appel d’offres». Un avis partagĂ© par Guillaume Poupard, DG de l’Anssi, dont l’agence a participĂ© au projet : « Dans une phase de prototypage, le choix d’une solution facile d’emploi a Ă©tĂ© privilĂ©giĂ©. Nous sommes maintenant dans une phase opĂ©rationnelle, et le fait de revenir sur une solution europĂ©enne idĂ©alement qualifiĂ©e par l’Anssi et non soumise Ă  des lois extra-territoriales europĂ©ennes serait de bon goĂ»t.» Plusieurs acteurs sont dĂ©jĂ  sur les rangs, dont OVH qui a rappelĂ© disposer aujourd’hui de la certification HDS et de celle de l’Anssi. En lice Ă©galement : Scaleway, le cloud d’Iliad. « Le Health Data Hub peut mĂȘme et d’ores et dĂ©jĂ  travailler avec plusieurs fournisseurs de Cloud, simultanĂ©ment, dont Scaleway et Microsoft! Le choix n’est pas binaire », confie Yann Lechelle, son directeur gĂ©nĂ©ral. Autre acteur positionnĂ© : 3DS Outscale (Dassault SystĂšmes) : « Ce qui Ă©tait vrai il y a un an, ne l’est plus. Aujourd’hui, nous sommes en mesure de rĂ©pondre. Nous avons obtenu les certifications HDS et ANSSI fin 2019 », souligne son directeur de la stratĂ©gie, David Chassan. Quant Ă  Orange : « Au cas oĂč l’État dĂ©ciderait de lancer un appel d’offres pour le Health Data Hub, dans les prochains mois, Orange Business Services est en capacitĂ© de rĂ©pondre aux exigences fonctionnelles, techniques et de sĂ©curitĂ© connues Ă  date sur les services cloud Â», confie Éric Pieuchot, directeur d’Orange Healthcare. Outre leurs diverses certifications, tous ces acteurs rappellent ĂȘtre membres fondateurs du projet de Cloud europĂ©en, Gaia-X (lire ci-dessous). Microsoft aurait donc de la concurrence en cas d’appel d’offres.

    Une trentaine de projets attendus en 2021

    MalgrĂ© ce dĂ©marrage sous pression, le projet Health Data Hub entend poursuivre son dĂ©veloppement, avec un rythme soutenu. « C’est un projet de santĂ© publique, mais il est aussi question de donner un avantage compĂ©titif aux acteurs français de la santĂ©. Or, dans le domaine des applications numĂ©riques de santĂ©, qui Ă©voluent trĂšs vite avec l’IA, les États-Unis et la Chine sont dĂ©jĂ  trĂšs avancĂ©s. Il faut donc aller vite. C’est une question de souverainetĂ© numĂ©rique », souligne StĂ©phanie Combes. D’ici Ă  2021, la plate-forme devrait accueillir une trentaine de projets. Une dizaine a dĂ©jĂ  Ă©tĂ© retenue par le Health Data Hub sur plus de 180 candidatures. Ils portent notamment sur l’évaluation et l’amĂ©lioration des parcours de soins aprĂšs un infarctus du myocarde, la prĂ©diction des trajectoires individuelles des patients parkinsoniens ou encore la quantification de la proportion de patients touchĂ©s par un effet mĂ©dicamenteux indĂ©sirable. En cet Ă©tĂ© 2020, un seul a obtenu l’autorisation de la Cnil, celui d’Implicity (lire ci-dessous). L’interface devrait Ă©galement prochainement Ă©voluer pour gagner en ergonomie. « Nous sommes pressĂ©s d’avoir des retours utilisateurs pour faire Ă©voluer la plate-forme Â», indique StĂ©phane Messika. Le Health Data Hub prĂ©voit aussi d’étoffer ses effectifs, aujourd’hui composĂ©s de 35 collaborateurs internes et d’une quinzaine de prestataires. Environ 25 recrutements sont prĂ©vus dans les six prochains mois, avec comme objectif d’atteindre 70 collaborateurs en 2021. Le Health Data Hub recrute notamment des juristes, des dĂ©veloppeurs, des ingĂ©nieurs infrastructure cloud, des administrateurs systĂšme et des chefs de projets. Mais l’enjeu principal pour la plateforme est surtout d’étoffer son catalogue de donnĂ©es. « D’ici Ă  2022, nous espĂ©rons proposer un catalogue suffisamment large pour ĂȘtre attractif visĂ -vis de l’écosystĂšme de la recherche et de l’innovation », confie StĂ©phanie Combes. Elle Ă©voque Ă©galement sa participation Ă  l’action conjointe de la Commission europĂ©enne pour la construction d’un European Data Space qui doit fĂ©dĂ©rer tous les Health Data Hub d’Europe. « Le projet Findata, en Finlande, prĂ©sente beaucoup de similaritĂ©s avec le nĂŽtre Â», conclut-elle. D’ici moins de 10 ans, un Health Data Hub europĂ©en pourrait ainsi voir le jour. Un projet qui ne manquera pas d’alimenter de nouveaux dĂ©bats sur la souverainetĂ© numĂ©rique et le respect des donnĂ©es personnelles !

    GrĂące Ă  son infrastructure certifiĂ©e HDS et ANSSI, 3DS Outscale est un des candidats potentiels au futur appel d’offres du Health Data Hub.


    Gaia-X : la marque du Cloud souverain europĂ©en

    En juin 2020, vingt deux acteurs du Cloud français et allemand ont lancĂ© le projet Gaia-X, avec comme objectif de dĂ©velopper des offres cloud capables de concurrencer les Microsoft Azure et autres AWS. Il ne s’agit pas d’un vaste Cloud europĂ©en, basĂ© sur des data centres interconnectĂ©s, mais d’une « marque Â», intĂ©grant des critĂšres que se sont engagĂ©s Ă  respecter les membres fondateurs. « C’est une marque de confiance d’un Cloud souverain europĂ©en, regroupant des offres avec des engagements autour de la portabilitĂ©, de l’interopĂ©rabilitĂ©, de la protection des donnĂ©es », rĂ©sume David Chassan de 3DS Outscale. À la diffĂ©rence du Cloud souverain français, AndromĂšde, qui a Ă©chouĂ© : « Les membres fondateurs de Gaia-X ne sont pas que des cloud provider mais aussi des clients, comme EDF, Amadeus ou Safran. Cela nous garantit des commandes.» Les premiĂšres offres Gaia-X sont attendues pour la fin 2020 - dĂ©but 2021.

    Cloud Act : la « loi du Far West »

    Le «Clarifying Lawful Overseas Use of Data Act» ou Cloud Act est une loi fĂ©dĂ©rale amĂ©ricaine adoptĂ©e en 2018 sous l’administration Trump. Elle permet aux autoritĂ©s amĂ©ricaines d’accĂ©der Ă  des donnĂ©es, dont des donnĂ©es personnelles, dans le cadre de leur procĂ©dure, en en faisant la demande auprĂšs de fournisseurs de services, notamment cloud. Ses promoteurs y voient un cadre juridique pour une pratique de toute façon existante; ses dĂ©tracteurs, une porte ouverte au non-respect de la vie privĂ©e ou Ă  l’espionnage industriel. Car le Cloud Act peut ĂȘtre invoquĂ© sans aucune transparence sur la collecte et l’exploitation de donnĂ©es. Un juge n’est pas tenu d’informer les personnes concernĂ©es, ni de fournir des informations sur l’hĂ©bergement, l’utilisation et la sĂ©curisation des donnĂ©es. « Le Cloud Act pose de nombreux problĂšmes. Il entre en conflit avec le RGPD et ne permet aucun recours, puisque son exploitation est totalement opaque », dĂ©plore Alexandra Iteanu, avocate spĂ©cialisĂ©e dans l’IT. Comment ĂȘtre certain qu’un cloud provider, mĂȘme français, n’est pas soumis Ă  cette lĂ©gislation? « Il ne faut pas avoir son siĂšge aux États-Unis, mais pas non plus de filiales sur place qui pourraient servir Ă  capter des donnĂ©es en dehors du sol amĂ©ricain. Un acteur français qui possĂšde une ou plusieurs entitĂ©s aux États-Unis doit donc garantir qu’elles sont totalement cloisonnĂ©es techniquement et juridiquement. » Il n’existe pas, Ă  ce jour, de cas public d’exploitation du Cloud Act. « Mais il y a des chances que le texte ait Ă©tĂ© utilisĂ©. Nous n’avons cependant aucun moyen de le savoir », conclut Alexandra Iteanu.

    Implicity : premiĂšre start-up Ă  exploiter le Health Data Hub

    Le projet « Hydro », portĂ© par la jeune pousse Implicity, a reçu l’autorisation de la Cnil fin mai pour exploiter les donnĂ©es du Health Data Hub. Son objectif : dĂ©velopper un algorithme d’IA capable de prĂ©dire les crises d’insuffisance cardiaque pour les patients porteurs de prothĂšses cardiaques connectĂ©es (pacemakers et dĂ©fibrillateurs). «Ces Ă©quipements collectent des informations pertinentes, comme la frĂ©quence cardiaque, la frĂ©quence respiratoire et mĂȘme la prĂ©sence d’eau dans les poumons. L’algorithme pourra traiter ces donnĂ©es afin d’anticiper une crise environ 30 jours Ă  l’avance. En modifiant en consĂ©quence le traitement du patient, la crise sera Ă©vitĂ©e et il n’y aura pas d’hospitalisation», explique le docteur Arnaud Rosier, fondateur d’Implicity. Il rappelle que l’insuffisance cardiaque est la pathologie chronique la plus coĂ»teuse en France. Elle reprĂ©sente la premiĂšre cause d’hospitalisation des plus de 65 ans et 10% des coĂ»ts globaux d’hospitalisation, soit 1,5 milliard d’euros annuels. «Nous allons entraĂźner l’algorithme sur la plate-forme en l’alimentant avec les donnĂ©es d’hospitalisation que nous allons croiser avec celles de 20000 patients tĂ©lĂ©suivis.» Les travaux de R&D dĂ©butent en juillet. La start-up espĂšre proposer une premiĂšre version de son algorithme dans les six mois.

  • Hub SantĂ©: « Nous pourrions tout Ă  fait nous appuyer sur d'autres acteurs. »

    L'hĂ©bergement du Health Data Hub français sur Microsoft Azure sans passer par une procĂ©dure classique d'attribution de marchĂ© public n'en finit pas de faire des vagues.  La semaine derniĂšre Guy Mamou-Mani, coprĂ©sident de Groupe Open, maĂźtre d'oeuvre su projet, s'expliquait dans Les Echos et ne paraissait nullement enclin Ă  laisser une place Ă  d'autres acteurs français comme OVH dans le projet.  C'est maintenant au tour de StĂ©phanie Combes, directrice gĂ©nĂ©rale du HDH, de livrer son point de vue rĂ©pondant Ă  nos confrĂšres du Point. « Entre septembre 2018 et janvier 2019, nous avons rencontrĂ© un grand nombre d'acteurs du marchĂ©, dont OVH. Microsoft a Ă©tĂ© choisi parce qu'il rĂ©pondait aux exigences de sĂ©curitĂ© et fonctionnelles. » Est-ce dĂ©finitif ? Peut-ĂȘtre pas finalement. « Nous ne sommes pas pieds et poings liĂ©s Ă  Microsoft. Nous pourrions tout Ă  fait nous appuyer sur d'autres acteurs. Nous n'avons pas d'engagement contractuel sur plusieurs annĂ©es qui nous enferme dans ce choix. Il faudrait simplement qu'il existe chez l'acteur vers lequel nous ferions la bascule les mĂȘmes fonctionnalitĂ©s. »
  • Le recours contre le Health Data Hub Ă  nouveau rejetĂ©

    Caramba, encore ratĂ© ! L’action collective menĂ©e par le CNLL et plusieurs associations de mĂ©decins a de nouveau Ă©tĂ© rejetĂ©e par le Conseil d’État, non sur le fond mais sur la forme. Le juge estime en effet qu’il n’y a pas urgence et que les mesures demandĂ©es par le recours ne peuvent faire l’objet d’une dĂ©cision en rĂ©fĂ©rĂ©.   Avec l’annulation du Privacy Shield et la charge sonnĂ©e par l’autoritĂ© irlandaise de protection des donnĂ©es contre Facebook et ses transferts de donnĂ©es UE-USA, les opposants au choix de Microsoft pour le traitement et l’hĂ©bergement du Health Data Hub ont entrevu une lueur d’espoir. Le Conseil national du logiciel libre (CNLL) et plusieurs autres associations ont saisi une nouvelle fois le Conseil d’État Ă  la lumiĂšre de ces nouveaux Ă©lĂ©ments.  Dans son communiquĂ©, le CNLL faisait remarquer que son premier recours contre le HDH avait Ă©tĂ© rejetĂ© au motif que Microsoft faisait partie de la liste des entitĂ©s relevant du Privacy Shield, couvrant donc les transferts de donnĂ©es entre l’UE et les États-Unis. Celui-ci annulĂ©, “les requĂ©rant.e.s demandent par consĂ©quent au Conseil d’État de suspendre le traitement et la centralisation des donnĂ©es au sein du Health Data Hub et, ce faisant, de s’aligner sur la toute rĂ©cente jurisprudence europĂ©enne”. En outre, les plaignants s’appuyaient sur la dĂ©cision du rĂ©gulateur irlandais pour faire valoir que les clauses contractuelles types liant Microsoft et le HDH n’étaient pas suffisantes. 

    Un non sur la forme

    Mais le Conseil d’État n’est pas la DPC. Il a rejetĂ© avant-hier le recours, se prononçant moins sur le fond que sur la forme. En effet, les mesures demandĂ©es par les requĂ©rants “excĂšdent celles que le juge des rĂ©fĂ©rĂ©s (...) pourrait adopter. En outre, en l'absence de toute justification de l'urgence de l'affaire, la requĂȘte ne saurait, en tout Ă©tat de cause, s'analyser utilement comme une nouvelle demande” cite l’AFP, qui a pu consulter l’ordonnance de la plus haute juridiction administrative française.  Dans un nouveau communiquĂ©, le CNLL fait savoir que le collectif prend acte de cette dĂ©cision, mais s’apprĂȘte Ă  “dĂ©sormais dĂ©poser la mĂȘme requĂȘte, mais au fond”, une procĂ©dure qui s’annonce bien plus longue. NĂ©anmoins, dans le mĂȘme temps, les requĂ©rants entendent saisir la Cnil, qui ne s’est pas encore exprimĂ©e sur le sujet du HDH Ă  l’aune de l’annulation du Privacy Shield, mais qui se rĂ©jouissait cet Ă©tĂ© de la dĂ©cision de la Cour de justice de l’Union europĂ©enne.