Health Data Hub : vers un statu quo avec Microsoft jusqu'en 2025

Le Health Data Hub, hébergé chez Microsoft au moins jusqu’à 2025 ? Le Gouvernement n’envisagerait pas de migration avant cette échéance.

Promesses non tenues pour le Gouvernement ? Fin 2020, Olivier Véran, alors ministre de la Santé, avait affirmé souscrire « pleinement » à l’idée de se passer de Microsoft sous deux ans pour l’hébergement du Health Data Hub.

Quelques semaines en amont, Cédric O, secrétaire d’État chargé de la Transition numérique, avait eu un discours de même teneur. En toile de fond, une injonction de la Cnil. La commission avait manifesté son opposition au choix d’Azure pour déployer cette plate-forme destinée à centraliser les principaux fichiers de santé des Français.

Depuis lors, le Gouvernement a réitéré sa promesse oralement devant les députés. Ainsi que par écrit dans des courriers adressés à la Cnil et au Conseil d’État, rappelle Philippe Latombe.

Le député MoDem de Vendée regrette que dans la pratique, il n’y ait « rien de nouveau ». Il affirme surtout que le Health Data Hub « refuse d’engager sa migration cloud vers une solution souveraine avant le [troisième trimestre] 2025 », d’après ses échanges avec les cabinets ministériels concernés.

Health Data Hub : à quand le benchmark ?

L’intéressé s’étonne aussi que le Health Data Hub n’ait publié ni un cahier des charges ni un résultat du comparatif des différentes solutions possibles pour l’hébergement des données en question (un benchmark mené par la société B2Cloud).

La Cnil lui a expliqué ne pas être en possession du document. Le ministère de la Santé ne lui a pas répondu. Le Health Data Hub a invoqué le secret des affaires. L’élu va donc poursuivre sa démarche auprès de la CADA. Il entend par ailleurs déposer un amendement lors de la transposition du DMA et du DSA. Dans les grandes lignes, il s’agirait d’imposer, d’une part, l’hébergement via des solutions souveraines (= immunes aux règles extraterritoriales non européennes). Et de l’autre, imposer un appel d’offres « en bonne et due forme ».

Le Gouvernement attend-il le successeur du Privacy Shield ? L’appel de la Cnil s’inscrivait en tout cas dans la lignée de l’annulation de ce dernier, qui encadrait depuis 2016 les échanges transatlantiques de données à caractère personnel à des fins commerciales.

Ils souhaitent simplement gagner du temps pour que la décision d’adéquation des USA arrive. Comme ça l’argument RGPD aura disparu (au moins quelques temps) et ils vous diront que le coût de migration est déraisonnable en l’absence d’obligation légale.

— M (@DP0RSS1) May 4, 2023