#StopHealthDataHub : les données de santé en otage chez Microsoft

Publié le mardi 15 décembre 2020

Tribune. Voté fin mars 2019 dans le cadre de la loi santé et faisant suite aux annonces présidentielles, il a été décidé de mettre en œuvre un Big Brother médical : le Health Data Hub. Cette plateforme visant à centraliser l’ensemble des données de santé de plus de 67 millions de personnes veut faire avancer la recherche en santé. Déjà contestable au regard des risques en matière de sécurité, cette centralisation de l’ensemble des données de santé de la population française est inconciliable avec le respect des droits à la protection des données personnelles. En effet, l’hébergement des données du Health Data Hub repose sur le géant du numérique Microsoft, une société soumise au droit américain. Dans un courrier du 19 novembre dernier, le ministre de la Santé lui-même a reconnu que cette solution n’était pas viable. Et pour cause !

Petit rappel des faits. Dans une affaire récente portée devant la Cour de justice de l’Union européenne contre Facebook, le juge a reconnu que le droit américain ne protégeait pas les données personnelles des Européens. Risque d’accès massif aux données par les services de renseignement américains, absence d’autorité indépendante pour contrôler ces accès, défaut de droits opposables pour les citoyens, cette décision rend illicite les transferts de données vers les Etats-Unis. Suite à cette décision, Facebook a même fait pression sur l’Union européenne en menaçant d’arrêter ses services d’ici la fin de l’année.

Intérêts commerciaux et politiques
Les implications de cette décision pour les données de santé hébergées sur des clouds américains, comme le Health Data Hub, sont colossales ! Pour rappel, les données de santé constituent les informations les plus sensibles et intimes, protégées par le secret médical. Dans ce cadre, plusieurs associations et organisations voulaient obtenir l’arrêt immédiat du stockage et du traitement des données de plus de 67 millions de personnes au sein du Health Data Hub. Le 13 octobre, après plusieurs recours en urgence et un avis historique de la Cnil considérant cette solution comme néfaste, le Conseil d’Etat a considéré que le Health Data Hub ne protégeait pas les données de santé contre les intrusions du gouvernement américain. De façon critiquable, il a cependant admis que le projet pouvait prospérer dans le cadre de la lutte contre le Covid-19.

En réaction, le 19 novembre, le ministre de la Santé, Olivier Véran, a lui aussi reconnu ces risques, tout en promettant le retrait de Microsoft mais dans un délai de deux ans ! Deux ans. Le temps pour les données, pourtant couvertes par le secret médical, d’être bradées ou accaparées par des intérêts commerciaux ou politiques. Le temps pour des accords transnationaux de permettre une régularisation des transferts des données vers les Etats-Unis, alors que les droits opposables sont d’ores et déjà ineffectifs au Health Data Hub. Le temps d’oublier les enjeux de sécurité autour des données de santé et de perdre la confiance des patients. Le temps que la réversibilité de la solution soit techniquement impossible ou financièrement trop coûteuse. La réversibilité en informatique désigne la possibilité, pour un client ayant sous-traité son exploitation à un infogérant, de récupérer ses données à l’issue d’un contrat. Le temps de faire croire que, face à l’urgence liée au Covid-19, d’autres alternatives à Microsoft n’étaient pas possibles.

Autonomie numérique

Cela serait un affront à la recherche médicale que de penser qu’elle a attendu le Health Data Hub pour lutter contre le Covid-19. Des plateformes techniques efficaces existent. Les acteurs institutionnels de la santé développent déjà des plateformes d’analyse sécurisées répondant aux besoins des chercheurs. En leur sein, des centaines de projets de recherche sont en cours, y compris sur le Covid-19. Ils développent des approches décentralisatrices qui garantissent localement le lien de confiance avec les patients.

D’autres, comme le Centre d’accès sécurisé aux données (CASD), conçoivent des solutions matérielles (hardware) pour renforcer la sécurité de bout en bout. Ces plateformes, pour la plupart centrées sur le logiciel libre et loin des intérêts extra-européens, sont protectrices des données hébergées. Leur développement est la troisième voie européenne pour l’autonomie numérique de la prochaine décennie. Nous sommes pour le développement de la recherche, et pour garder la confiance des patients, ayons foi en notre capacité à inventer et à créer.

Deux ans. Le temps pourtant opportun et nécessaire pour repenser la gouvernance du projet du Health Data Hub avec la société civile. La gouvernance doit être séparée des problématiques d’hébergement des données. Le Health Data Hub doit se limiter à sa mission historique : être un organe de régulation de l’accès aux données. Pour l’ensemble de ces raisons, nous demandons une refonte structurelle du projet Health Data Hub ainsi que le retrait immédiat de Microsoft Azure.

Lire aussi

Les jours de carence doivent être supprimés pour tous les arrêts de travail

14 décembre 2020
par GA SMG
Le Sénat a supprimé le jour de carence pour les salarié·es du public malades de la Covid, mais pas pour les autres salarié·es Le Sénat a voté à l’unanimité, avec l’aval du gouvernement, lundi 7 …

Saisi en référé par le collectif SantéNathon, le Conseil d’Etat reconnaît que le gouvernement américain peut accéder sans contrôle aux données de santé des Français hébergées par le Health Data Hub chez Microsoft

15 octobre 2020
par Camille Gendry
Un collectif comprenant de 18 requérants issus du milieu du logiciel libre, d’associations de patients, de syndicats de médecins et techniciens et du milieu du journalisme, a demandé au Conseil …

La France transfère-t-elle illégalement nos données de santé aux Etats-Unis ?

17 septembre 2020
par SMG
Il y maintenant plus d’un an, le SMG alertait sur les risques de la construction d’une nouvelle plateforme des données de santé prévue dans la loi santé …

Soigner n’est pas ficher - L’éthique des médecins n’est pas à vendre

5 mai 2020
par SMG
En préparation du post-confinement, l’Assurance maladie demande aux médecins généralistes de collecter des données personnelles sur leurs patient·e·s atteint·e·s du coronavirus, mais également sur …