Le grand écart entre Gaia-X et le Health Data Hub

Alors que Gaia-X vise à donner à l’Europe une souveraineté numérique, une annonce en totale contradiction avec le choix du gouvernement français de confier à l’américain Microsoft l’hébergement du projet Health Data Hub. Lancée au printemps 2018 par Emmanuel Macron, cette plateforme doit centraliser l’ensemble des données de santé des Français collectées par les hôpitaux, l’assurance maladie, les médecins et les pharmacies.

La mise en place du Health Data Hub a été entérinée par la loi santé du 24 juillet 2019. La plateforme s’est dotée d’une personnalité morale depuis le 1er décembre de la même année sous la forme d’un groupement d’intérêt public (GIP). Or le choix du prestataire américain s’est fait sans passer par un appel d’offres, ce qui n’a pas manqué de provoquer l’ire de nombreux professionnels de la santé, d’entreprises françaises, de députés, du Conseil national des barreaux et d’associations de défense du logiciel libre.

Les centres hospitaliers universitaires (CHU), qui développent depuis de nombreuses années leur propre système de données, ne comprennent pas non plus ce choix du gouvernement. Ils alertent sur les risques de devoir confier les données dont ils disposent à une entreprise américaine. Afin de passer outre la procédure administrative de l’appel d’offres applicable aux marchés publics, le gouvernement s’est appuyé sur l’UGAP (Union des groupements d’achats publics), qui autorise une administration à choisir un prestataire ayant déjà répondu à un marché similaire et dont le contrat a été validé, en l’occurrence l’offre de Microsoft Azure sur la sécurité. Stéphanie Combes, chargée du projet du Health Data Hub, a justifié ce choix en expliquant que seul Microsoft, agréé « hébergeur de données de santé » depuis la fin de l’année 2018, était à même de répondre au cahier des charges du projet. Un choix que défend également Guy Mamou-Mani, coprésident du Groupe Open, désigné maître d’œuvre du projet également via l’UGAP.

Le 10 juillet 2020, le gouvernement a, contre toute attente, accéléré la transmission des données de santé des Français vers le Health Data Hub en publiant un arrêté « prescrivant les mesures générales nécessaires pour faire face à l’épidémie de Covid-19 dans les territoires sortis de l’état d’urgence sanitaire et dans ceux où il a été prorogé ». Depuis cette date, le Health Data Hub et la caisse nationale d’assurance maladie sont autorisés à recevoir, « aux seules fins de faciliter l’utilisation des données de santé pour les besoins de la gestion de l’urgence sanitaire et de l’amélioration des connaissances sur le virus Covid-19 »un nombre sans précédent de données à caractère personnel. Celles provenant du système national des données de santé (SNDS), qui lui-même agrège les principales bases de données de santé publique auxquelles s’ajoutent « des données de pharmacie ; des données de prise en charge en ville telles que des diagnostics ou des données déclaratives de symptômes issues d’applications mobiles de santé et d’outils de télésuivi, télésurveillance ou télémédecine ; des résultats d’examens biologiques réalisés par les laboratoires hospitaliers et les laboratoires de biologie médicale de ville ; des données relatives aux urgences collectées par l’Agence nationale de santé publique dans le cadre du réseau de surveillance coordonnée des urgences ; des données relatives aux appels recueillis au niveau des services d’aide médicale urgente et des services concourant à l’aide médicale urgente ; des données relatives à l’activité et à la consommation de soins dans les établissements ou services médico-sociaux, notamment dans les établissements d’hébergement pour personnes âgées dépendantes ; des enquêtes réalisées auprès des personnes pour évaluer leur vécu ; des données non directement identifiantes issues du système d’identification unique des victimes mentionné à l’article L. 3131-9-1 du code de la santé publique ; des données cliniques telles que d’imagerie, de pharmacie, de biologie, de virologie, de comptes rendus médicaux de cohortes de patients pris en charge dans des centres de santé en vue de leur agrégation ».

Directeur de l’AP-HP, Martin Hirsch, dans des propos rapportés par Mediapart, s’inquiète également du choix de Microsoft : « Le stockage de ces données personnelles dans des clouds détenus par des sociétés extra-européennes serait un risque de nature à compromettre la confiance des patients, en particulier compte tenu de l’intervention du Cloud Act dont certaines des dispositions sont incompatibles avec le RGPD. »

Autrement dit, la totalité des données de santé des Français va bien être hébergée en France, mais par un opérateur américain, lequel en vertu du Cloud Act pourra être contraint par la justice américaine de transférer toutes ces informations personnelles aux États-Unis. Face à ce risque, des associations et des syndicats ont saisi le juge du référé-liberté du Conseil d’État afin de « suspendre le traitement des données liées à l’épidémie de Covid-19 sur la Plateforme des données de santé [Health Data Hub] en raison des risques que cette situation comporte au regard du droit au respect de la vie privée, compte tenu de possibles transferts de données vers les États-Unis ». Dans une ordonnance du 13 octobre 2020, le Conseil d’État a cependant estimé qu’en raison de l’utilité du Health Data Hub pour la gestion de la crise sanitaire, « si le risque ne peut être totalement exclu que les services de renseignement américains demandent l’accès à ces données, il ne justifie pas, à très court terme, la suspension de la Plateforme, mais impose de prendre des précautions particulières, sous le contrôle de la Cnil ». Cette dernière veillera notamment, selon ses propos, « à analyser avec attention la position du juge des référés pour l’instruction des demandes d’autorisations de projets de recherche utilisant le Health Data Hub ainsi que pour conseiller les autorités publiques sur la mise en place de garanties pérennes appropriées ».

Sources :

  • « Données de santé : l’État accusé de favoritisme au profit de Microsoft »,
    Jérôme Hourdeaux, Mediapart.fr, 11 mars 2020.
  • « La Cnil s’inquiète d’un possible transfert de nos données de santé aux États-Unis », Jérôme Hourdeaux, Mediapart.fr, 8 mai 2020.
  • « Health Data Hub et protection de données personnelles : des précautions doivent être prises dans l’attente d’une solution pérenne », Conseil d’État, conseil-etat.fr, 13 octobre 2020.
  • « Le Conseil d’État demande au Health Data Hub des garanties supplémentaires pour limiter le risque de transfert vers les États-Unis », Cnil, cnil.fr, 14 octobre 2020. 
Print Friendly, PDF & Email

3 Commentaires

LAISSER UN COMMENTAIRE

Please enter your comment!
Please enter your name here