L'administration du Health Data Hub, une plateforme géante de données de santé, a été confiée fin 2019 à la société américaine Microsoft. Alors que la pandémie de coronavirus se poursuit, des parlementaires s'inquiètent de la mise en danger de la "souveraineté numérique" française.
La pandémie du covid-19 a jeté une lumière crue sur les angoisses du 21e siècle. Mais à mesure que les prophéties apocalyptiques s'éloignent, les questions entourant l'omniprésence des données personnelles et l'opacité de leur gestion ne font que se multiplier. Elles pourraient d'ailleurs s'inviter dans la commission d'enquête mise en place pour évaluer l'action du gouvernement pendant la crise.
Le 1er juillet dernier, la sénatrice UDI de l'Oise, Nathalie Goulet, a souhaité la création d'une nouvelle commission parlementaire, destinée cette fois à identifier "les conditions de passation d’un accord confiant la gestion des données de santé de la France à la société Microsoft ainsi qu’à formuler des propositions pour renforcer la protection de ces mêmes données". Cette demande vise particulièrement le Health Data Hub, une plateforme créée par arrêté le 30 novembre 2019 et supposée exploiter l'immense masse de données sanitaires françaises, en se basant sur les recommandations du rapport Villani de 2018 sur l’intelligence artificielle.
#HealthDataHub Plateforme des données de santé : le Conseil d’État confie à la CNIL la mission d’expertiser la robustesse des mesures de pseudonymisation ? https://t.co/Mbe7gdLT8P pic.twitter.com/HEq4tP3Fku
— CNIL (@CNIL) June 22, 2020
"La France doit mesurer l'importance de sa souveraineté numérique"
Or, fin 2019, un contrat de sous-traitance est conclu entre l'Etat et le géant américain de l'informatique Microsoft en vue de lui attribuer la gestion de ces données massives. La décision soulève alors une vive inquiétude de la Cnil ainsi que la colère de plusieurs entreprises françaises du secteur (comme le spécialiste du cloud computing OVH) et de parlementaires. Cette accusation de "favoritisme" au profit de l'Américain a ensuite été récusée par le Conseil d'État le 20 juin. Passée quelque peu à l'arrière-plan au plus fort de la crise, la demande de Nathalie Goulet fait pourtant écho à de nombreuses interrogations soulevées notamment sur l'usage des données confiées à l'application Stop Covid."La France doit mesurer l'importance de sa souveraineté numérique", martèle Sophie Auconie, députée UDI de l'Indre-et-Loire, vice-présidente du groupe parlementaire UDI et indépendants et membre de la commission sur le covid-19. "C'est une atteinte grave que de ne pas confier cette gestion à une société issue de l'Union européenne", poursuit la parlementaire, qui craint l'ingérence "d'un Etat tout sauf bienveillant quand il s'agit de ses intérêts" dans les données personnelles des Français.
Si les données sont le pétrole du siècle à venir, la France ne peut se résigner au sort de colonie numérique ! Il est urgent de réagir et de défendre un “protectionnisme éducateur” sur le plan numérique.
— UDI (@UDI_off) July 1, 2020
Pas assez de garanties de la part de Microsoft et des États-Unis ?
En effet, comme le précise le professeur Benjamin Nguyen, directeur du Laboratoire d'informatique fondamentale d'Orléans (LIFO) et enseignant à l'Institut national des sciences appliquées (INSA) Centre-Val de Loire, la loi américaine n'a pas les mêmes standards que la France ou l'Europe quand il s'agit de données personnelles.En vertu du "Cloud Act" de 2018 (et également de l'Executive Order 12333 de 1981), une entreprise américaine peut être contrainte de livrer ses données à une institution d'enquête ou de renseignement. Et exiger par exemple d'identifier tous les porteurs européens présents ou passés de telle ou telle pathologie afin de leur interdire l'accès à son territoire, alors même que ces données seront traitées dans des fermes de serveurs hébergées sur le continent européen.
Une politique "incohérente" avec celle menée pendant la crise
"L'argument en faveur de Microsoft consisterait à dire qu'on sera protégés car liés par un contrat", concède Benjamin Nguyen. "Mais ce contrat ne sera pas forcément vu comme une garantie suffisante", avertit le chercheur, en tout cas pas aussi solide que si elle venait d'une entreprise européenne. "Bien sûr, la question qu'on ne pose pas, ici, c'est de savoir si l'État français est vraiment plus fiable que les États-Unis sur la question !""C'est une politique incohérente avec celle que le gouvernement semble vouloir mener", poursuit le chercheur. "Avec Stop Covid, on était au contraire dans le renforcement d'une autonomie nationale." Mais alors pourquoi choisir Microsoft ? D'abord, parce que le géant américain possède le certificat HDS (Hébergeur de données de santé), qui lui donne le droit de gérer et de stocker les données relatives à la santé de personnes physiques. Cependant, c'est aussi le cas d'un certain nombre d'autres grandes entreprises, y compris françaises.
L'autre raison tient pour le spécialiste au traitement qui sera réservé à ces données : "S'il s'agissait juste de gérer une base de données il y a l'embarras du choix, mais là on veut aller vers une gestion de la donnée massive, grâce à l'IA", et Microsoft aura simplement bénéficié de sa position de mastodonte sur le marché. L'objectif du Health Data Hub, à terme, est de permettre des innovations cliniques et scientifiques et croisant les milliards de données générées par les patients et les institutions de santé sur le territoire. Pourtant "la France n'est pas à la traîne" au niveau des compétences nécessaires pour traiter ces big data, observe Benjamin Nguyen.
C'est d'ailleurs aussi l'avis des élus de l'UDI. "On a en France des établissements tout aussi capables et bien plus fiables", tonne Sophie Auconie. "On se met en situation de fragilité et de dépendance alors qu'on est l'un des rares pays du monde à posséder des entreprises capable de rivaliser !"
Si la commission d'enquête demandée par Nathalie Goulet, étant donné le calendrier parlementaire, a actuellement peu de chances de se mettre en place, celle sur la gestion de la pandémie pourrait bien voir son périmètre élargi pour intégrer les interrogations soulevées par la sénatrice de l'Oise. En particulier, la publication d'un cahier des charges précis pourrait donner lieu à un appel d'offres, et permettre d'évaluer si OVH, prêt à se ruer sur l'occasion, en a effectivement les épaules.
