Expertises des Systèmes d'information - Juillet 2020 - N°459 - Le mensuel du droit de l'informatique et du multimédia - 255

F

O

L

C

U

S

orsque
Microsoft
avait
été désigné pour assurer
l'hébergement des bases de
données sur la plateforme
Health Data Hub (HDH) au début
2020, le choix d'un sous-traitant
américain, qui plus est un Gafa,
avait déjà fait polémique. Depuis
la crise sanitaire du Covid  19, la
controverse d'experts a glissé sur un
terrain plus politique. Si la question
de la souveraineté nationale et celle
de la maîtrise des données de santé
de citoyens français innervent le
débat, la bataille s'est néanmoins
principalement placée sur le terrain
juridique. Mais ni le risque d'un
transfert transatlantique de nos
données personnelles en vertu des
lois américaines extra-territoriales
ni celui d'un favoritisme au profit
d'un Gafa grâce à un télescopage
des règles des marchés publics ne
semblent démontrés.
Le HDH a été créé par la loi du
24 juillet 2019 pour devenir une
plateforme centralisant plusieurs
sources de données de santé
afin de faciliter la recherche au
bénéfice d'acteurs privés et publics.
Le groupement d'intérêt public
TICsanté a choisi Microsoft Azure
comme prestataire d'hébergement
de la plateforme. Sa directrice
Stéphanie Combes a expliqué que
cette sélection n'était «  pas idéale  »
mais correspondait à un «  choix
d'opportunité  » afin «  d'aller vite  »
pour ne pas prendre de retard sur
les autres pays. Elle assure qu'elle
aurait préféré un acteur français et
qu'elle était consciente que l'option
Microsoft allait susciter la polémique
mais « aucun n'était en mesure faire
ce que nous demandions  ». A ce
moment, Microsoft était la seule
société à être certifiée hébergeur
de données de santé sur les six
activités référencées.
On reproche au TICsanté d'avoir
favorisé Microsoft au détriment
d'acteurs français, en s'abstenant
de recourir à un appel d'offre.
Faute d'alternative, aux yeux du
GIP, ce dernier a pu juridiquement
être dispensé de la procédure de
marché public. Il est donc passé
par l'Ugap (Union des groupements
d'achats publics) et a inscrit l'offre

Données de santé : vent
contraire pour Microsoft
Si le choix de Microsoft pour héberger le Health
Data Hub génère une controverse, les raisons
sont plus politiques que juridiques.
d'hébergement dans le cadre du
marché existant du ministère sur
la sécurité.
Mais la plus grande critique porte
sur l'hébergement de nos données
de santé par un prestataire américain, avec un risque de transfert aux
Etats-Unis. La question est devenue
encore plus sensible avec l'arrêté du
21 avril 2020, complétant celui du
23 mars, qui accélère le déploiement
de la plateforme au nom de l'état
d'urgence sanitaire, en élargissant
notamment le champ des données.
Un certain nombre d'organisations
ont attaqué en référé le gouvernement devant le Conseil d'Etat.
Dans sa décision du 19 juin 2020, le
Conseil a répondu que le choix de
Microsoft Azure ne représentait pas
un danger pour le respect de notre
vie privée et de la protection des
données personnelles.
Les associations avaient invoqué
le risque de transfert des données,
notamment en vertu du Cloud Act.
Mais le Conseil d'Etat a commencé
par préciser que les données
étaient stockées dans un des data
centers de Microsoft aux Pays-Bas
puis prochainement en France.
Et seules les données nécessaires
aux opérations de maintenance
ou de résolution d'incidents et
non les données de santé étaient
susceptibles d'être transférées outreAtlantique. Or, le Conseil rappelle
que le Cloud Act ne s'applique que
dans le seul cadre d'une enquête
criminelle. Il y a donc très peu
de risques que cela concerne les
données de santé, d'autant que les
demandes d'accès doivent porter
sur des données nominatives. Or, le
HDH ne comporte que des données
pseudonymisées, obtenues après
un chiffrement irréversible sur
l'identifiant initial et dont Microsoft
n'a pas la clé.
EXPERTISES juillet/août 2020

Sur ce dernier point, se pose néanmoins la question de la robustesse
de cette pseudonymisation que la
Cnil n'a pas eu le temps de tester, vu
le peu de délai laissé par le gouvernement. Le Conseil d'Etat n'a pas
été insensible à cette réserve et a
ordonné à la plateforme de fournir
à la Cnil «  tous éléments relatifs
aux procédés de pseudonymisation utilisés, propres à permettre à
celle-ci de vérifier que les mesures
prises assurent une protection suffisante des données de santé traitées
sur le fondement de l'arrêté du
21 avril 2020 ».
La vraie question est donc politique,
en faveur d'une souveraineté
numérique et en soutien d'un
projet industriel sur l'e-médecine.
L'administration assure que la
plateforme a été conçue pour être
reployée aisément vers une solution
d'hébergement, notamment une
offre française qui disposera
de
la
certification
complète.
Stéphanie Combes a rappelé que
«  nous ne sommes pas pieds et
poings liés à Microsoft. Nous
pourrions tout à fait nous appuyer
sur d'autres acteurs. Nous n'avons
pas d'engagement contractuel sur
plusieurs années qui nous enferme
dans ce choix. Il faudrait simplement
qu'il existe chez l'acteur vers lequel
nous ferions la bascule les mêmes
fonctionnalités ».
La contestation de la société civile
et des prestataires français, a fini
par porter ses fruits puisque
Cédric O, secrétaire d'Etat chargé du
Numérique, a ouvert la porte à «  un
appel d'offres afin d'avoir un choix
plus large avec les spécifications
qui permettront à quelqu'un de se
positionner ».
Sylvie ROZENFELD

255
Expertises des Systèmes d'information - Juillet 2020 - N°459 - Le mensuel du droit de l'informatique et du multimédia

Table des matières de la publication Expertises des Systèmes d'information - Juillet 2020 - N°459 - Le mensuel du droit de l'informatique et du multimédia
