Contestable en matière de sécurité, le projet de centralisation des données de santé des Français est inconciliable avec le respect des droits à la protection des informations personnelles, alertent des associations, personnalités publiques, syndicats des secteurs de la santé et de la défense des libertés. Tribune parue dans Libération le 14 décembre 2020.
Voté fin mars 2019 dans le cadre de la loi santé et faisant suite aux annonces présidentielles, il a été décidé de mettre en œuvre un Big Brother médical : le Health Data Hub. Cette plateforme visant à centraliser l’ensemble des données de santé de plus de 67 millions de personnes veut faire avancer la recherche en santé. Déjà contestable au regard des risques en matière de sécurité, cette centralisation de l’ensemble des données de santé de la population française est inconciliable avec le respect des droits à la protection des données personnelles. En effet, l’hébergement des données du Health Data Hub repose sur le géant du numérique Microsoft, une société soumise au droit américain. Dans un courrier du 19 novembre dernier, le ministre de la Santé lui-même a reconnu que cette solution n’était pas viable. Et pour cause !
Petit rappel des faits. Dans une affaire récente portée devant la Cour de justice de l’Union européenne contre Facebook, le juge a reconnu que le droit américain ne protégeait pas les données personnelles des Européens. Risque d’accès massif aux données par les services de renseignement américains, absence d’autorité indépendante pour contrôler ces accès, défaut de droits opposables pour les citoyens, cette décision rend illicite les transferts de données vers les Etats-Unis. Suite à cette décision, Facebook a même fait pression sur l’Union européenne en menaçant d’arrêter ses services d’ici la fin de l’année.
Intérêts commerciaux et politiques
Les implications de cette décision pour les données de santé hébergées sur des clouds américains, comme le Health Data Hub, sont colossales ! Pour rappel, les données de santé constituent les informations les plus sensibles et intimes, protégées par le secret médical. Dans ce cadre, plusieurs associations et organisations voulaient obtenir l’arrêt immédiat du stockage et du traitement des données de plus de 67 millions de personnes au sein du Health Data Hub. Le 13 octobre, après plusieurs recours en urgence et un avis historique de la Cnil considérant cette solution comme néfaste, le Conseil d’Etat a considéré que le Health Data Hub ne protégeait pas les données de santé contre les intrusions du gouvernement américain. De façon critiquable, il a cependant admis que le projet pouvait prospérer dans le cadre de la lutte contre le Covid-19.
En réaction, le 19 novembre, le ministre de la Santé, Olivier Véran, a lui aussi reconnu ces risques, tout en promettant le retrait de Microsoft mais dans un délai de deux ans ! Deux ans. Le temps pour les données, pourtant couvertes par le secret médical, d’être bradées ou accaparées par des intérêts commerciaux ou politiques. Le temps pour des accords transnationaux de permettre une régularisation des transferts des données vers les Etats-Unis, alors que les droits opposables sont d’ores et déjà ineffectifs au Health Data Hub. Le temps d’oublier les enjeux de sécurité autour des données de santé et de perdre la confiance des patients. Le temps que la réversibilité de la solution soit techniquement impossible ou financièrement trop coûteuse. La réversibilité en informatique désigne la possibilité, pour un client ayant sous-traité son exploitation à un infogérant, de récupérer ses données à l’issue d’un contrat. Le temps de faire croire que, face à l’urgence liée au Covid-19, d’autres alternatives à Microsoft n’étaient pas possibles.
Autonomie numérique
Cela serait un affront à la recherche médicale que de penser qu’elle a attendu le Health Data Hub pour lutter contre le Covid-19. Des plateformes techniques efficaces existent. Les acteurs institutionnels de la santé développent déjà des plateformes d’analyse sécurisées répondant aux besoins des chercheurs. En leur sein, des centaines de projets de recherche sont en cours, y compris sur le Covid-19. Ils développent des approches décentralisatrices qui garantissent localement le lien de confiance avec les patients.
D’autres, comme le Centre d’accès sécurisé aux données (CASD), conçoivent des solutions matérielles (hardware) pour renforcer la sécurité de bout en bout. Ces plateformes, pour la plupart centrées sur le logiciel libre et loin des intérêts extra-européens, sont protectrices des données hébergées. Leur développement est la troisième voie européenne pour l’autonomie numérique de la prochaine décennie. Nous sommes pour le développement de la recherche, et pour garder la confiance des patients, ayons foi en notre capacité à inventer et à créer.
Deux ans. Le temps pourtant opportun et nécessaire pour repenser la gouvernance du projet du Health Data Hub avec la société civile. La gouvernance doit être séparée des problématiques d’hébergement des données. Le Health Data Hub doit se limiter à sa mission historique : être un organe de régulation de l’accès aux données. Pour l’ensemble de ces raisons, nous demandons une refonte structurelle du projet Health Data Hub ainsi que le retrait immédiat de Microsoft Azure.