Données de santé des Français : le choix contesté de Microsoft

C’est la première fois qu’une plateforme d’une telle envergure est envisagée. L’idée d’une base nationale des données de santé – baptisée Health Data Hub (HDH) – est née dans la foulée du rapport du député Cédric Villani sur l’intelligence artificielle au profit de la recherche médicale. Le projet, porté ensuite par Emmanuel Macron, consiste à regrouper dans un même endroit l’ensemble des données de santé des Français, jusqu’ici éparpillées.

Des milliards de données sensibles

Chaque grand hôpital abrite son propre entrepôt d’informations concernant ses patients. Il existe aussi une multitude de bases nationales. Celle de la Caisse nationale de l’assurance maladie fait partie des plus grandes au monde : un milliard et demi de feuilles de soin y sont stockées chaque année, ce qui représente près de 100 téraoctets de données !

Lancé officiellement en décembre 2019, dans le cadre de la loi relative à la transformation du système de santé, le HDH a pris la forme d’un groupement d’intérêt public, doté d’un budget confortable de 80 millions d’euros. Il est chargé de sélectionner des projets émanant de chercheurs du secteur public, mais aussi d’acteurs du privé (laboratoires pharmaceutiques, fabricants de dispositifs médicaux, start-up, etc.) qui, une fois validés, pourront accéder aux données de santé des Français.

Regroupée dans un même endroit, cette montagne de données sera plus facile à traiter, estiment les défenseurs du projet. Grâce à des algorithmes, on pourra "faire des études permettant d'anticiper les cancers du sein ou de la prostate, ou interpréter les accidents de la route au travers de toutes les informations qui remontent par les urgences", prédit Guy Mamou-Mani, co-dirigeant de la société Open, l’un des maîtres d’œuvre du HDH. Selon lui, on aurait même pu anticiper l’épidémie de Covid-19 "si le Health Data Hub avait été prêt il y a quelques années".

Microsoft, un choix dans la discrétion

Mais à l’heure où les dirigeants français ne jurent plus que par un retour à la "souveraineté", que ce soit dans le domaine du numérique ou de la santé, c’est dans une grande discrétion que l’État a fait le choix d’héberger les données de santé des 67 millions de Français chez le géant américain Microsoft.

La directrice du HDH assume ce choix : "Il nous faut des outils très performants sur le plan technologique. Nous avons rencontré un certain nombre d’acteurs fin 2018 et début 2019, notamment des acteurs français, raconte Stéphanie Combes. Il s’est avéré que la plupart n’avait pas la capacité de répondre à nos besoins." Encore aujourd’hui, selon Guy Mamou-Mani, aucun hébergeur français ne pourrait rivaliser avec le géant américain du numérique. "Vous vouliez le HDH, c’est très simple, tranche-t-il : c’était soit le HDH avec Microsoft, soit pas de HDH du tout !"

Cette présentation des choses est cependant loin de convaincre les détracteurs du contrat passé avec Microsoft. Si en 2018, peu d’opérateurs européens bénéficiaient de la certification nécessaire pour héberger des données de santé, ce n’est plus le cas aujourd’hui. Plusieurs acteurs français ont obtenu une telle certification. Par ailleurs, des alternatives aux géants du numérique existent, explique le médecin et informaticien Adrien Parrot, porte-parole du collectif Interhop. "À l’AP-HP [Assistance publique - Hôpitaux de Paris], c’est un logiciel libre qui est utilisé pour gérer les données de près de 11 millions de patients."

"Un parfum de suspicion"

Au-delà du choix d’un hébergeur américain, c'est la procédure utilisée qui interpelle de nombreux professionnels de la santé et du numérique. Le ministère de la Santé n’a pas procédé à un appel d’offres classique, au niveau européen, pour passer le marché avec son hébergeur. Il s’est appuyé sur une centrale d’achat de l’État pour commander des prestations à Microsoft.

Une procédure tout à fait légale selon le patron de la société Open. "Lancer un appel d'offres européen est un processus très lourd, il faut rédiger un cahier des charges, consulter, etc. Ça prend entre six mois et un an pour faire un appel d'offres de ce type, explique Guy Mamou-Mani. Alors que vous avez une alternative, tout aussi transparente, légitime, qui est la centrale d'achat Ugap, qui a déjà procédé à une sélection de prestataires. Lorsque vous êtes une administration et que vous voulez aller plus vite, être plus agile, vous avez le choix de passer par cet outil !"

>>> Lire les explications de l'Ugap sur son rôle de centrale d'achat

Contestant la procédure choisie, un collectif d’entreprises et d’associations a saisi le Conseil d’État, en référé, puis sur le fond. Il dénonce l’absence de transparence autour du marché passé avec Microsoft, et évoque des soupçons de favoritisme, comme l’a déjà raconté Mediapart (lecture sur abonnement). "Rien n'est clair, lance l’avocat du collectif, Jean-Baptiste Soufron. Ni les factures, ni les appels d'offres n’ont été présentés. D'abord, on nous a dit qu'on avait sélectionné Microsoft parce que c’était le seul à pouvoir assurer cette prestation. Ensuite, on nous a dit qu'on l’avait sélectionné parce qu'il était référencé dans la centrale d’achat de l’État et que ça allait plus vite. Mais c'est soit l'un, soit l'autre, estime Me Soufron. Tout cela ne fait que laisser un parfum de suspicion !"

Des contrats signés a posteriori

Un épisode survenu à l’audience du 11 juin devant le Conseil d’État viendrait illustrer cette absence de transparence autour de la création du Health Data Hub. "On avait demandé à consulter plusieurs documents, notamment des contrats, raconte Jean-Baptiste Soufron. Il a été répondu devant la présidente de séance que ces contrats étaient prêts, qu’ils existaient. Mais quand les contrats ont été fournis, on s'est aperçu qu'ils avaient été signés postérieurement à l'audience ! Ce n’est pas normal !" Une anecdote corroborée par des documents que nous avons pu consulter, notamment par le contrat portant sur les transferts de données du vaste fichier des urgences (la base Oscour®, gérée par Santé publique France) au Health Data Hub.

Ce contrat a donc été signé en juin, après l’audience en référé devant le Conseil d’État, alors que, selon les informations de la cellule investigation de Radio France, les données des urgences avaient commencé à être transférées depuis le 10 avril. Dans un mail qu’elle nous a adressé le 30 septembre 2020, la directrice du HDH s’explique sur ce contrat de transfert signé "a posteriori" : "C’est le temps qu’il nous a fallu pour aboutir à une signature formelle mais les termes de notre collaboration étaient clairs dès le mois d'avril et l'urgence à transférer les données était justifiée par une étude du ministère de la Santé", nous a écrit Stéphanie Combes (lire sa réponse complète ici).

De son côté, Santé publique France reconnaît avoir transmis quotidiennement dès avril les données des urgences au HDH, dans le cadre de la gestion de la crise de la Covid-19 (lire les réponses de Santé publique France aux questions de la cellule investigation de Radio France).

Accélération avec la crise sanitaire

Cette affaire est révélatrice de la précipitation avec laquelle les autorités ont agi pour lancer le HDH. Le directeur technique de Microsoft France ne dit d’ailleurs pas autre chose : le lancement de la plateforme a été accéléré en raison de la crise de la Covid-19. "La décision qui a été prise a été de mettre en production une version qui n'était pas complètement finalisée, parce que c'était vraiment urgent, parce qu’on n'avait pas le temps d'attendre que la version finalisée soit opérationnelle", raconte Bernard Ourghanlian.

Mais l’urgence sanitaire l'a-t-elle emportée sur la protection de nos données personnelles ? Dans un document que nous nous sommes procuré (voir ci-dessous), daté du 23 avril, le directeur général de la Santé, Jérôme Salomon, demande aux patrons d’établissements hospitaliers de faire remonter au HDH l’ensemble des données des patients hospitalisés. Et pas seulement les patients atteints par le coronavirus. "Ces données seront traitées sans attendre la validation préalable des agences régionales de santé", précise alors Jérôme Salomon.

Cette précipitation à faire "remonter" les données aux HDH avait, à l’époque, suscité les craintes de la Cnil, le gendarme des libertés informatiques. Dans une lettre adressée à la directrice du HDH le 10 juin, la présidente de la Cnil avait aussi émis des réserves sur le choix d’un hébergeur américain.

Menaces sur la souveraineté

Le choix de confier les données de santé des Français à Microsoft pose-t-il aussi des questions de sécurité et de souveraineté ? Faut-il avoir peur du géant du numérique américain ? Le contrat du HDH avec l’entreprise américaine prévoit que Microsoft stocke les données de santé des Français sur le territoire de l’Union européenne. Actuellement, elles sont stockées dans un entrepôt que la firme possède à Amsterdam, aux Pays-Bas. Pour les dirigeants du HDH, il est donc exclu que les États-Unis puissent y accéder.

Il n’en reste pas moins que la société Microsoft est soumise à la législation américaine, et notamment au Cloud Act (acronyme de Clarifying Lawful Overseas Use of Data Act, loi sur la clarification de l'utilisation légale des données à l'étranger). Promulguée en 2018, cette loi oblige toute entreprise de droit américain à fournir les données de ses clients, si la justice les réclame dans le cadre d’une enquête pénale. "C’est le problème de l’extraterritorialité du droit américain, remarque Adrien Parrot, et cela concerne toutes les machines des sociétés américaines, même celles qui se trouvent en Europe."

Contestations au sein de la majorité

Dans la classe politique aussi, cette soumission de Microsoft aux lois américaines inquiète. Des sénateurs centristes, comme la sénatrice UDI Catherine Morin-Desailly, demandent la création d’une commission d’enquête parlementaire. Elle s’exprime ci-dessous face au secrétaire d’État au numérique, Cédric O. 

Même dans les rangs de la majorité, des voix s'élèvent. "Il faut rappeler que le Cloud Act a été voté pour des raisons de sécurité nationale et aussi pour des raisons de sécurité économique, il ne faut pas être naïf sur le sujet !, lance le député LREM de l’Essonne, Pierre-Alain Raphan. Et ici, nous avons une sorte de zone grise : nous n’avons pas l’assurance, en confiant nos données à des entreprises américaines, de répondre aux exigences du RGPD [règlement européen sur la protection des données]. Et tant qu’on n’a pas cette assurance, poursuit le député de la majorité, la meilleure sécurité serait de faire héberger nos données par des acteurs européens."

Pour les responsables du projet Health Data Hub, si un risque existe, il est extrêmement faible. "Ce Cloud Act, tout le monde en discute mais le simplifie souvent, estime Guy Mamou-Mani, dirigeant d’Open. On ne va pas voir Monsieur Trump se réveiller un matin et dire : 'Tiens, je voudrais les données de santé de Monsieur Mamou-Mani !' Ce n’est pas comme ça que ça se passe ! Le risque que le Health Data Hub devienne un outil à la disposition du gouvernement ou des entreprises américaines est absolument négligeable."

Fin du "bouclier de protection"

Reste qu’un autre fait majeur est venu ébranler un peu plus, l’été dernier, les défenseurs du choix de Microsoft. Le 16 juillet 2020, la Cour de justice de l’Union européenne a invalidé le Privacy Shield ("bouclier de protection"). C'est un traité conclu entre l’Europe et les USA qui était censé offrir aux Européens une protection maximale de leurs données personnelles, comparable au RGPD européen. Mais la justice européenne a estimé que dans les faits, les États-Unis n’étaient pas en mesure d’assurer cette protection.

Un coup dur pour les Gafam, et une victoire pour les défenseurs des libertés individuelles. "Aujourd'hui, on a un vrai problème avec le Health Data Hub, estime l’avocat Jean-Baptiste Soufron. La justice européenne a considéré qu’on ne pouvait plus transférer de données des États-Unis vers l’Europe. Comment fait-on donc dorénavant ?, s’interroge-t-il. Ni Microsoft ni personne ne nous offre de réponse claire sur la base légale qui permettrait un transfert de données aux États-Unis."

La direction du HDH le martèle : les données de santé des Français ne sortiront pas de l’Union européenne. Ce serait écrit noir sur blanc, dans un avenant au contrat avec le géant américain. Bernard Ourghanlian, le directeur technique et sécurité de Microsoft France, admet cependant que des opérations de maintenance sur les serveurs peuvent être menées depuis les États-Unis : "Il peut y avoir des circonstances tout à fait exceptionnelles dans lesquelles on pourrait être amené à analyser un certain nombre de problèmes techniques liés aux données du client et qui pourrait nécessiter l'implication directe de notre engineering qui se trouve aux États-Unis. S’il y a un incident majeur qui intervient à trois heures du matin, heure des États-Unis, côte ouest, on va réveiller la personne qui a écrit la ligne de code pour qu'il la corrige. Il y a donc une obligation de lui donner tous les éléments pour qu’il puisse travailler", poursuit Bernard Ourghanlian.

Données "pseudonymisées"

Pour autant, Microsoft assure que, même si on lui demandait de fournir des données concernant des citoyens français, l’entreprise en serait "bien incapable" puisque les données du HDH qu’elle stocke dans son centre de données (data center) sont chiffrées. "Quand le gouvernement américain demande une information, elle concerne des citoyens lambda, madame Dupont ou monsieur Durand. Mais, nous, Microsoft, on ne peut pas savoir que derrière la ligne 2 857 de la base, ce serait précisément les données de madame Dupont ou de monsieur Durand, explique Bernard Ourghanlian. Microsoft ne possède pas les identifiants permettant de remonter à la personne en question."

En effet, les informations stockées sur la grande plateforme des données de santé ont été préalablement "pseudonymisées". Cette opération, réalisée par la Caisse nationale de l’assurance maladie (Cnam), est légèrement différente de l'anonymisation des données. Les noms, prénoms et adresses précises des patients sont remplacés par un pseudonyme qui permettra de le suivre durant son parcours de soin. Mais retrouver l’identité d’un patient reste possible. "Si on prend un individu de tel âge, qui habite dans telle commune mais se fait soigner dans telle autre, on peut se retrouver avec une seule personne qui correspond à ce croisement de variables, et on peut alors la réidentifier", admet Claude Gissot, le directeur des études, de la statistique et de la stratégie à la Cnam.

Vulnérabilités

Pour les spécialistes de la sécurité informatique, la centralisation des données de santé au sein d’une plateforme unique pose un autre problème. Nos informations personnelles seraient plus vulnérables. "Si je me mets dans la peau de celui qui veut attaquer cette nouvelle plateforme Health Data Hub, j’aurais juste besoin de trouver une seule vulnérabilité, explique Baptiste Robert, expert renommé en sécurité, souvent présenté comme un "hacker éthique". En entrant de manière illégale dans un système, je vais avoir toutes les données à ma disposition alors qu’avant, il fallait attaquer plusieurs systèmes, dans plusieurs CHU, pour avoir les mêmes données."

Le député La République en marche de l’Essonne, Pierre-Alain Raphan, s’inquiète aussi d’un risque plus grand de piratage du HDH. Une inquiétude qui, selon lui, est partagée par les professionnels de santé, réticents à faire "remonter" les informations sur leurs patients, inquiets d’une rupture possible du secret médical. "Le médecin de famille, c’est peut-être la personne en qui on a le plus confiance. Si demain, on met toutes les données de santé des Français sur de grands disques durs, et si on n’est pas sûr de les maîtriser, ça requestionne le serment d’Hippocrate."

S’il y a un risque de piratage, les Français ne voudront plus participer à cette transition numérique dans la santé.

Pierre-Alain Raphan, député LREM

à franceinfo

Ces inquiétudes gagnent même les rangs de l'exécutif. Le gouvernement s’interroge sur le maintien du marché passé avec Microsoft. Le secrétaire d’État au numérique est allé jusqu’à évoquer récemment une possible réversibilité du contrat. À ce stade, selon les informations de la cellule investigation de Radio France, Microsoft aurait reçu environ 200 000 euros pour héberger les premières données remontées au HDH. Si un appel d’offres en bonne et due forme devait être lancé, Microsoft y participera avec l’espoir de gagner légitimement le combat. "On va se battre, mais au même titre qu'on se bat pour gagner des affaires, pas parce qu'on est accroché au HDH et qu'on considère que c'est notre propriété à vie, lance Bernard Ourghanlian de Microsoft France. Il y a ensuite, j'ose espérer, des règles de concurrence qui sont claires. On essaiera d'être les meilleurs mais si on n'est pas les meilleurs, le gouvernement ou le ministère de la Santé choisira quelqu'un d'autre. C'est la vie, ça fait partie du business..."

Faire machine arrière ?

Le ministère de la Santé peut-il encore faire machine arrière ? Bien sûr, répond Pierre-Alain Raphan. "Il n’est jamais trop tard ! Prenons le temps de bien ou mieux faire les choses ! Pourquoi ne pas décaler ce projet de HDH d’un an ou un an et demi, le temps de faire monter en puissance un cloud au niveau de l’Europe ?"

Selon certains experts, il sera cependant difficile de se séparer du géant américain. "Le jour où l’on décidera d’ouvrir la clause de réversibilité, il faudra qu’on ait un nouvel opérateur qui puisse assurer les services que l’algorithmique délivrait, explique Vincent Trély, président fondateur de l’Association pour la sécurité des systèmes d'information de santé (Apssis). Quel consortium a la capacité de dire : 'Nous, non seulement on reprend les données, mais il n’y a pas de rupture de service, et toute l’algorithmique que l'opérateur Microsoft avait pu mettre en œuvre, on l’a aussi, et donc on réinstalle les données, on appuie sur le bouton et ça redémarre et ça ne change rien pour les chercheurs en cancérologie, ça ne change rien pour les centres hospitalo-universitaires' ? C’est là que le doute s’installe. Plus on aura intégré de l’intelligence, des algorithmes, autour de nos données, plus il sera difficile de faire un retour en arrière."

>>> Aller plus loin

Le règlement général sur la protection des données (RGPD) permet à tout citoyen de faire rectifier ou effacer ses données personnelles. Vous avez la possibilité de contacter le délégué à la protection des données du Health Data Hub, pour les informations de santé vous concernant, en allant sur le site de la plateforme.