Lors de la dernière étape du Tour de France de la e-santé à Lyon 1, les responsables de l’Agence du Numérique en Santé (ANS) 2 ont été questionnés par la salle sur l’hébergement des données de santé en France au niverau du Health Data Hub (HDH).
Le HDH a été lancé par le gouvernement par un arrêté ministériel 3 publié le 30 novembre 2019 qui s’appuyait sur les recommandations du rapport VILLANI de 2018 sur l’intelligence artificielle (IA), et dont l’objectif était de mettre à disposition des chercheurs les data de santé nécessaires au développement en Europe de l’IA, du machine learning (apprentissage machine) et du deep learning (apprentissage profond).
Le HDH ets le « toit de la maison de la e santé » en France telle qu’elle a été pensée par l’ANS.
Le HDH va donc héberger les données du Dossier Médical Partagé (DMP), mais aussi toutes les data de santé issues des centres hospitaliers (CH), de l’assurance maladie, des pharmacies, de la recherche, issues du Système National des Données de Santé (SNDS), mais aussi la gestion des logs, des annuaires… et les responsables de l’ANS ont confirmé que cette organisation avait été confiée à Microsoft Azure.
S’agissant d’une entreprise américaine cela n’est pas sans soulever nombre d’objections au delà de la simple préférence nationale ou européenne.
La législation américaine est beaucoup plus permissive voire intrusive quant à la protection des données numériques personnelles en général et de santé en particulier que la législation européenne. Ainsi le Patriot Act avait été promulgué 26 octobre 2001 à la suite des attentats terroristes De New York, puis le Cloud Act (Clarifying Lawful Overseas Use of Data Act) le 23 mars 2018, et ces textes octroient des pouvoirs exorbitants à la justice américaine.
Le Cloud Act est une loi fédérale à l’usage des autorités américaines, sur mandat, concernant les enquêtes judiciaires de droit pénal. La loi est applicable aux ressortissants américains et même étrangers, et les données numériques les concernant placées sous le contrôle d’un fournisseur de services les hébergeant aux USA ou à l’étranger, s’agissant d’entreprises américaines et de leurs filiales à l’étranger.
En clair, la loi fédérale américaine peut exiger d’une entreprise US comme Microsoft ou toute autre société américaine, un accès aux données numériques qu’elles hébergent dans leurs data centers, que ceux-ci se situent aux USA ou à l’étranger !
La présidente de la Commission nationale de l’informatique et des libertés (CNIL) a d’ailleurs affirmé en septembre à l’Assemblée nationale, que le Cloud Act était contraire au Règlement Général sur la Protection des Données (RGPD), qui protège les citoyens européens : en effet, l’article 48 du RGPD interdit le transfert de données de pays européens vers des pays extérieurs.
Le RGPD impose l’hébergement en Europe mais n’impose pas un hébergeur européen. Et il parait surprenant qu’il n’y ait pas eu un seul hébergeur européen parmi les Ste OVH, ORANGE, THALES, ATOS, … qui réponde au cahier des charges du HDH ?
Stéphanie COMBES, chef de projet du HDH, affirme que non, et que parmi les « géants » du GAFAM rencontrés (Google, Apple, Facebook, Amazone, Microsoft), seul Microsoft était en mesure d’y répondre rapidement et qu’en l’absence d’une autre offre, il n’y avait pas nécessité de mise en concurrence dans un marché public !
Ce leadership a été confirmé par Jean-Renaud Roy, directeur de Microsoft France lors de son audition par la Mission d’Évaluation et de Contrôle des lois de financement de la Sécurité Sociale (MECSS) ce qui laisse interrogatif, l’avis de la commission sur ces spécificités techniques paraissant éloigné du champ de compétence des parlementaires.
En fait, l’impression est que des alternatives n’ont pas vraiment été recherchées dans la précipitation et le but d’éviter de passer par un marché public.
C’est donc Microsoft Azure qui va fournir le stockage des data, des logs et de leur gestion, des annuaires… au sein de Data Centers sur notre sol. Un site miroir de sécurité dans un lieu différent est-il prévu ? Est-il également situé en Europe ?
Les données seront pseudonymisées (processus moins fort que l’anonymisation) et chiffrées, mais l’anonymat complet est difficile à obtenir, car il suffit de croiser un nombre limité de données pour réidentifier un patient, en violation du secret médical qui leur est dû. De surcroit, la base de données médico-administrative du Système National des Données de Santé (SNDS) intégrée dans le HDH, a aussi été critiquée par la CNIL pour la faiblesse de son chiffrement au moyen d’algorithmes aujourd’hui dépassés.
Interrogés par la Mecss, les responsables de Microsoft ont déclaré qu’ils ne pourraient pas déchiffrer les données ne disposant pas de la clé de chiffrement. L’architecture du HDH et sa résistance ont également été testées positivement par l’Agence Nationale de Sécurité des Systèmes d’Information (ANSSI) pour un scénario de type cyber attaque.
Cette satisfaction de façade ne saurait faire oublier le Cloud Act et l’administration américaine qui pourrait ordonner la saisie les données ! Le chiffrement serait-il alors suffisamment robuste pour résister à la puissance de calcul des services de renseignement d’un état en pointe dans ce domaine comme les USA ?
Microsoft et ses dirigeants prétendent que des données de santé ne sauraient intéresser l’administration américaine pour des affaires de terrorisme et/ou de criminalité, mais cet argument parait peu convaincant, sachant que les services de renseignements de cette administration (NSA, CIA…) ont pu capter et espionner l’ensemble des flux de messagerie internet, des téléphones et des SMS par exemple !
Autre critique, la centralisation des données en un seul lieu, est susceptible de concentrer les attaques. La région AuRA a choisi un système réparti ou « éclaté », les données restent sur les différents serveurs et sont indexées par un serveur spécifique : c’est le principe du DPPR (Dossier Patient Partagé Réparti).
La France et l’Europe ont pris un peu de retard dans les domaines de l’IA et de ses applications par rapport aux USA ou la Chine en raison de notre législation garante de la protection des citoyens et de leurs données notamment de santé. Il est indispensable de conserver un équilibre entre la liberté de la recherche et le respect de la personne humaine au travers de l’éthique de nos chercheurs. C’est bien l’une des missions des Comités de Protection des Personnes (CPP) qui analysent les protocoles d’expérimentations mettant en jeu la personne humaine dans notre pays.
La Commission Européenne vient d’ailleurs de publier un livre blanc (19/02/2020) (https://ec.europa.eu/info/files/white-paper-artificial-intelligence-european-approach-excellence-and-trust_fr) sur le sujet de l’IA appelant à « une IA responsable et sous contrôle » d’une réglementation qui « met les gens au premier plan » et favorise une « technologie digne de confiance », autant de propos qui vont à l’encontre du choix de la France pour son HDH.
Dr Marcel GARRIGOU-GRANDCHAMP, Lyon 3è, CELLULE JURIDIQUE FMF
1 :
https://esante.gouv.fr/tour-de-france-de-la-e-sante-lyon
3 :
https://www.legifrance.gouv.fr/affichTexte.do?cidTexte=JORFTEXT000039433105&categorieLien=id