Health Data Hub : le choix de Microsoft contesté devant le Conseil d’État

CloudJuridiqueRégulations

La mise en œuvre accélérée du Health Data Hub avec le choix de Microsoft (Azure) comme hébergeur fait l’objet d’une saisine en référé-liberté au Conseil d’État.

La contestation contre le Health Data Hub monte d’un cran.  Voilà près d’un an que l’État a acté la naissance de ce groupement d’intérêt public, à travers la loi santé. L’initiative implique la constitution d’une plate-forme centralisée (d’où la notion de « hub ») qui élargit la portée de l’actuel SNDS (Système national des données de santé).

Objectif affiché :  « promouvoir l’innovation dans l’utilisation des données de santé ».

La mise en place de ce guichet unique s’est faite de manière accélérée « pour les besoins de la gestion de l’urgence sanitaire et de l’amélioration des connaissances sur le virus covid-19 ».
L’arrêté du 21 avril 2020 qui entérine cette démarche laisse entrevoir l’ampleur des regroupements de données.

La Cnil a manifesté ses inquiétudes sur ce point dès la phase amont du projet. Dans un avis du 31 janvier 2019 sur la loi santé, elle avait notamment fait référence aux principes de limitation des finalités et de minimisation des données.

La Cnil pointe « le flou » du contrat

Par la même occasion, la commission avait dénoncé le « flou » qui régnait sur nombre d’aspects du Health Data Hub. En particulier le volet technique.

Elle a réaffirmé ses craintes sur ce dernier point après la publication de l’arrêté du 21 avril.
En toile de fond, un accord avec Microsoft pour assurer l’hébergement sur le cloud Azure.

Le contrat signé avec le groupe américain pose des questions en matière de localisation des données, de gestion des clés de chiffrement ou encore d’encadrement des procédures d’accès des administrateurs de la plate-forme.
Il sonne surtout comme un désaveu à la politique de « souveraineté numérique » que prône le gouvernement français.

Catherine Morin-Desailly, sénatrice UDI de Seine-Maritime, a soulevé le problème fin mai en séance publique.

Cédric O lui a adressé une réponse ferme : « Les solutions françaises ne nous permettaient pas de faire les recherche scientifiques que nous souhaitions […] sur les données de santé ».
« Il y avait un choix cornélien, poursuit le secrétaire d’État au numérique. Est-ce qu’on mettait en avant l’efficacité sanitaire avec un certain nombre de garanties ou la question de la souveraineté avec une moindre efficacité sanitaire ? ».
Et de conclure : « Nous avons choisi de contractualiser avec la société Microsoft, qui était la mieux-disante en termes de technologies, avec un certain nombre de garanties techniques et bien évidemment juridiques. »

OVHcloud conteste la procédure de choix 

Octave Klaba avait réagi à ces propos en évoquant la « peur » de faire confiance aux acteurs français face à la « religion Microsoft ». « Pas de cahier des charges, pas d’appel d’offres, le PoC avec Microsoft qui se transforme en solution imposée... », regrettait le DG d’OVHcloud.

Il a pu s’entretenir avec Stéphanie Combes, directrice du Health Data Hub. Et obtenir :

  • Des précisions. Entre autres la justification de l’absence d’appel d’offres : les commandes ont été passées par la centrale UGAP (Union des groupements d’achats publics).
  • Un engagement : la publication « prochaine » de la liste des services technologiques nécessaires au projet. OVHcloud entend y mesurer sa propre offre et faire un bilan public. Lors d’une analyse de gap réalisée fin 2019, l’hébergeur s’était vu dire qu’il lui manquait 18 des services recherchés.

Action en référé-liberté

Dans ce contexte, une coalition emmenée par la Conseil national du logiciel libre a fini par saisir le Conseil d’État en référé-liberté. Avec une requête : suspendre l’arrêté du 21 avril, au nom du droit à la protection de la vie privée.

L’audience se tiendra le 11 juin. Soit le jour même où le Conseil national du numérique doit rendre un rapport consacré au « numérique en santé ».

Certains membres de la coalition s’étaient déjà signalés auprès du ministère de la Santé, sollicitant une enquête pour « favoritisme ».

Ils sont une quinzaine à appuyer la saisine, dont Interhop.
Ce collectif d’hôpitaux français s’est distingué avec une tribune qui compte aujourd’hui quelque 1 300 signatures, dont celle de Richard Stallman. Il y est question des risques de « captivité numérique », de « rupture du secret médical », d’« incompatibilité CLOUD Act-RGPD » ou encore de piratage inhérents au modèle centralisé.

Illustration principale © umseas via Visualhunt / CC BY

Lire aussi :

Lire la biographie de l´auteur  Masquer la biographie de l´auteur 
Avis d'experts de l'IT