Health Data Hub : vers une solution transitoire en attendant un hébergement SecNumCloud ?

Le CASD, solution transitoire idéale pour héberger une copie de la base principale du SNDS ? Fin 2023, un rapport de mission gouvernementale appelait à explorer cette voie.

Ladite mission visait à établir les bases d’une feuille de route en matière d’utilisation secondaire des données de santé. Les ministères qui en étaient à l’initiative n’avaient pas explicitement demandé d’aborder la question de l’hébergement des infrastructures. Mais « très vite, nous avons constaté que ce sujet […] revenait en permanence dans les échanges et constituait un point de blocage », explique Jérôme Marchand-Arvier*.

En première ligne, le choix de la plate-forme qui accueillera le Health Data Hub. En l’état, le recours à Azure empêche la mise à disposition des données de la base principale du SNDS (système national des données de santé), faute de pouvoir disposer d’une copie en propre. La demande d’autorisation faite à la CNIL a effectivement été retirée début 2022 compte tenu des risques juridiques et de la forte sensibilité politique de la question.

Un « goulot d’étranglement » à la CNAM

On considère que les éléments suivants font partie de la « base principale »  :

– Le Sniiram (système national d’information interrégimes de l’assurance maladie)
Celui-ci contient les données relatives aux dépenses de l’assurance maladie et celles du programme de médicalisation des systèmes d’information (PMSI) d’analyse de l’activité des établissements de santé.

– Les données relatives aux causes de décès du CépiDc (Centre d’épidémiologie sur les causes médicales de décès de l’Inserm)

– À compter de fin 2024-début 2025, les données médico-sociales liées au handicap fournies par les MDPH (maisons départementales des personnes handicapées)

Cette base présente en elle-même des limites. Notamment la faiblesse des données médicales contenues (absence d’informations sur les diagnostics de médecine de ville, de description des consultations médicales, de résultats d’examens prescrits…). Mais elle souffre aussi de « conditions de mise à disposition sous-optimales ». La mission l’explique en partie par un « goulot d’étranglement » au niveau de la CNAM. Celle-ci reste chargée de traiter les extractions et les appariements de données issues de la base principale, en attendant que le Health Data Hub puisse en héberger sa propre copie.

Cette situation, conjuguée entre autres à l’augmentation du volume de demandes et au manque de ressources qu’y consacre la CNAM, contribue à des délais d’accès importants : 18 mois en moyenne à partir de la soumission des projets de recherche. Cela « conduit à des renoncements de la part d’un certain nombre d’acteurs ».

Le Gouvernement a déjà acté la migration de la plate-forme du Health Data Hub vers un cloud souverain. La mission l’invite à officialiser cette orientation et à en préciser les modalités afin qu’un hébergement sur un cloud qualifié SecNumCloud puisse se concrétiser dans un horizon « ambitieux mais crédible » de 24 mois.

Un palliatif nommé CASD ?

Le rapport pose une nécessité plus immédiate : arbitrer sur une solution transitoire. Une option consisterait à continuer à opérer sur Azure et à y héberger, à titre temporaire, une copie de la base concernée. Avantage : pas de dégradation de la qualité des services proposés aux porteurs de projets. Mais cela « paraît difficilement tenable, en particulier sur le plan politique »…

Autre option : le transfert d’une copie sur un hébergement souverain. Piste suggérée : le CASD (Centre d’accès aux données sécurisé).
Ce groupement d’intérêt public créé en 2018 rassemble l’État représenté par l’INSEE, le GENES, le CNRS, l’École polytechnique, HEC Paris et la Banque de France. Certifié HDS et déjà hébergeur d’une copie du PMSI, il met à disposition des « SD-box », boîtiers permettant l’accès à distance à une infrastructure sécurisée. Plus d’une centaine de projets impliquant le SNDS se sont appuyés sur ses services.

Qu’on opte ou non pour le CASD, il faudrait, idéalement, pouvoir mobiliser la solution transitoire sous six mois, estime la mission. À défaut, on court le risque d’une « démultiplication » de copies, totales ou partielles, de la base principale du SNDS. Une tendance déjà à l’œuvre et qui « présente le risque de marginaliser le [Health Data Hub] comme interlocuteur privilégié des demandes d’accès ».

Pour ce qui est de la migration vers une plate-forme SecNumCloud, la mission ne se considère pas en mesure d’évaluer les différentes solutions souveraines existantes. Tout au plus rappelle-t-elle qu’à ce stade, selon les travaux de la DINUM, l’offre qualifiée n’est pas encore en capacité de répondre au besoin. Y compris en termes de fonctionnalités de sécurité.

* L’intéressé est aujourd’hui délégué général à l’emploi et à la formation professionnelle. Sa nomination a été officialisée au lendemain de la publication du rapport.