Health Data Hub : du recadrage de la CNIL à l’arrêt prévisible du service

12 oct. 2020 - 14:59,

Actualité

- DSIH
Réussir un projet informatique c’est difficile, bien plus que de le rater. Mais ce qui est encore plus difficile c’est de l’arrêter au beau milieu en osant reconnaître que l’on s’est trompés. C’est exactement ce qui est en train d’arriver aux pouvoirs publics avec le Health Data Hub (HDH) : dans 40 ou 50 ans dans les promotions des écoles de management, pendant le cours des plus beaux fails de la prise de décision à haut niveau, nul doute que l’affaire des avions renifleurs sera traitée dans la même session que celle du Health Data Hub. Ainsi, selon Mediapart la CNIL demande que Microsoft cesse d’héberger le HDH[1].    

Le feuilleton n’en finit pas, mais surtout il n’en finit pas de finir. Il faut dire qu’il avait déjà commencé de façon poussive : lors d’une présentation à tout un parterre de RSSI, la DRESS alors en charge du dossier s’était quelque peu faite chahutée. En effet alors que la réglementation exigeait que l’accès à une donnée de santé se fasse par le biais d’une authentification forte, l’accès aux données du SNDS se faisait avec un simple login / password. Dans les premières versions, la CNIL avait d’ailleurs déjà retoqué le SNDS entre autres pour ce motif. (Pour mémoire, le HDH intègre les données du SNDS en plus d’autres données de santé telles les données de pharmacie).

Créé dans l’urgence, le HDH a de suite concentré les critiques de bon nombre d’experts SSI, de membres de la classe politique de tout bord, de membres du corps médical et j’en passe : l’hébergement technique contractualisé avec Microsoft (dans des conditions de passation de marché que d’aucuns qualifient d ‘ « audacieuses ») ne passe pas pour bon nombre de gens qui voient là d’un mauvais œil la mainmise d’une firme US sur des données stratégiques qui constituent un patrimoine national. Le problème est en fait double : il y a d’une part la question de la souveraineté d’un pays pour ce qui concerne de sa capacité à exploiter lui-même des données qui relèvent du patrimoine national, et d’autre part la territorialité des lois US.

Pour ce qui concerne de la première question, si l’on admet comme l’a dit Bruno Lemaire devant la représentation nationale que « la souveraineté c’est d’être capable de résister aux sanctions extra-territoriales », avec un hébergement du HDH chez Microsoft c’est totalement raté. Sur un coup de tête de Trump, des données pourront être partiellement ou entièrement masquées aux requêtes lancées par les chercheurs ou professionnels de santé (si vous ne voyez pas comment on fait, sachez que c’est à la portée d’un informaticien de 2ème année d’IUT), voire l’entrepôt pourrait être bloqué à la suite d’un contentieux de toute nature. Et si vous pensez que le blocage relève du fantasme, demandez un peu à la BNP ce que cela fait de faire du business avec un pays étiqueté « gros vilain » par le gouvernement US : dès lors que la transaction est faite en dollars US (donc en gros tout le temps) les américains considèrent que ce sont leurs lois qui s’appliquent, des banques européennes se sont pris des amendes exorbitantes pour cela.

Pour ce qui concerne de la seconde question, petit rappel historique : le Patriot Act, voté à la suite des attentats du 11/09, donne tout pouvoir aux autorités US pour accéder aux données (sous quelque forme que ce soit) techniquement hébergées sur le territoire US, et ce même par une entreprise étrangère. A la suite d’un « léger » différent entre les autorités US et Microsoft à propos de données hébergées par le géant de Redmond en Irlande (Microsoft considérant que le Patriot Act ne s’appliquait qu’au territoire US et ayant eu gain de cause devant un juge), les autorités US ont réglé la question avec le Cloud Act, qui s’applique urbi et orbi. En d’autres termes, toute donnée hébergée par une entreprise américaine (voire une entreprise filiale) et ce même hors du territoire US relève de la loi US. Autrement dit, si Trump veut toute la base HDH hébergée en France par Microsoft, il n’a qu’un coup de fil à passer.

Dans l’émission récente([2]) de France Inter « Secret d’info » sur ce sujet de l’hébergement du HDH, on assiste à un argumentaire proprement stratosphérique de Bernard Ourghanlian (Microsoft) et d’autres défenseurs de la situation actuelle : selon eux, d’une part il ne serait pas possible de ré-identifier les personnes dans la base car les données ont été anonymisées, d’autre part l’information selon laquelle M Dupont s’est fait opérer d’un corps au pied n’a aucune valeur marchande ou stratégique et enfin le Cloud Act est une loi qui s’applique à la lutte contre le terrorisme et pas pour aller siphonner les données de santé françaises. On reste sans voix devant autant de naïveté ou de mauvaise foi, c’est selon.

Pour ce qui est de la question de la ré-identification, je ne saurais trop conseiller à certains des protagonistes de s’informer un minimum avant d’intervenir sur une chaine nationale : Luc Rocher a démontré qu’avec 6 traits identifiants et même sans aucun nom ni prénom, par croisement avec des données publiques (Facebook entre autres) il était possible de ré-identifier facilement plus de 95 % des personnes([3]). La base du HDH n’est donc pas anonyme du tout. Pour ce qui concerne de la valeur des données, là encore on tombe de notre chaise devant tant de bisnounourserie : ce qui a de la valeur ce n’est pas l’information du corps du pied de ma grand-mère ou de la cataracte de votre grand-père : ce qui a de la valeur, ce sont les informations statistiques que l’on peut tirer d’une telle masse de données, comme par exemple le fait que tel protocole médicamenteux engendre telle pathologie 20 ans plus tard. Il s’agit du patrimoine de la nation, et cela a autant de valeur que toute source de donnée de recherche. Enfin et pour ceux qui pensent que les lois anti-terroristes ne sont faites que pour lutter contre le terrorisme et jamais utilisées à des fins autres telle la guerre économique ou la restriction des libertés individuelles, je leur conseille de retourner gentiment regarder la roue de la fortune, cela m’évitera de leur rappeler que le Cloud Act stipule que Microsoft n’a pas à communiquer à son Client le fait que le gouvernement US lui a demandé une copie des données qu’il héberge.

Mais le fond du problème est ailleurs : il s’agit d’une question de souveraineté nationale bien entendu, mais aussi de politique industrielle. Y avait-il urgence à se précipiter chez Microsoft pour héberger les bijoux de famille ? Certes il se dit qu’OVH et d’autres n’apportaient pas le même niveau de fonctionnalités et de garantie : et alors ? N’était-ce pas justement le bon moment pour faire émerger une offre nationale qu’en plus on aurait pu ultérieurement vendre aux Belges, aux Suisses, aux Allemands, etc. ? N’aurait-il pas été préférable d’attendre quelques mois voire une année pour faire émerger cette offre souveraine, quitte à se contenter de fonctions modestes mais maîtrisées par nous et pour nous ? La France est capable de produire le Rafale et la fusée Ariane, et on vient nous expliquer que l’on ne serait pas fichus de monter un Datacenter sécurisé avec des outils de machine learning (sujet sur lequel en plus nos chercheurs sont parait-il en pointe) ?

Les yankees ne sont pas plus intelligents que nous. L’industrie IT des US est ultra performante car elle importe les meilleurs cerveaux du monde (une bonne partie des ingénieurs IT européens partent chez eux, l’inverse n’est pas vrai, demandez-vous pourquoi) mais surtout à cause du système incitatif qui est basé sur un partenariat entre l’État qui fait jouer la puissance de la commande publique préférentiellement pour des entreprises US, et les pépinières adossées au système de capital risque. On en revient à la préférence nationale, un amorçage des offres par la commande publique et la maîtrise des infrastructures. C’est ce que nous avons fait il y a 70 ans pour les télécom, mais étonnamment nos élites font de l’amnésie sélective dès lors qu’il s’agit d’IT.

Les données de santé sont stratégiques, parce que la prochaine révolution en santé c’est le Big Data. Ces données doivent être hébergées sur le territoire national, par un opérateur national totalement contrôlé par des entités nationales et sous contrôle des pouvoirs public (conseil d’administration compris) et ne pas être soumis à des lois extra-territoriales. Les briques techniques peuvent bien entendu être israéliennes, américaines, japonaises, mais de préférence françaises : Hexatrust([4]) propose un ensemble de briques de sécurité de niveau largement comparable à celles de leurs concurrents étrangers. La préférence nationale dans les appels d’offre que les américains s’appliquent chez eux sans aucun état d’âme doit être la règle ici.

Point-barre.


[1] https://www.bfmtv.com/tech/health-data-hub-la-cnil-demande-l-arret-de-l-hebergement-des-donnees-de-sante-par-microsoft_AN-202010090163.html 

[2]   https://www.franceinter.fr/emissions/secrets-d-info/secrets-d-info-03-octobre-2020 

[3]   https://uclouvain.be/fr/decouvrir/presse/actualites/donnees-privees-anonymes-uclouvain.html 

[4]   https://www.hexatrust.com/

Avez-vous apprécié ce contenu ?

A lire également.

Lettre d'information.

Ne manquez rien de la e-santé et des systèmes d’informations hospitaliers !

Inscrivez-vous à notre lettre d’information hebdomadaire.

Contact

Nos marques

Logo DSIHLogo Thema Radiologie