Health Data Hub

Le Health Data Hub est une plateforme de données de santé française créée en décembre 2019 sous la forme d'un groupement d'intérêt public, il remplace l'Institut national des données de santé.

Histoire

En décembre 2019, l'État français lance le Health Data Hub, ou « plateforme des données de santé », sous la forme d'un groupement d'intérêt public remplaçant l'Institut national des données de santé^[1]. Cette plateforme française a pour objectif de regrouper les données de santé existantes à des fins d'intérêt général^[2] comme pour faciliter la recherches médicales et améliorer la qualité des soins^{[réf. nécessaire]}.

Il fait l'objet de plusieurs procédures qui remettent en cause le niveau de sécurité des données de santé hébergées du fait que l'hébergeur est soumis à l'extraterritorialité du droit des États-Unis^[3].

Procédures concernant la protection des données de santé

L'hébergement des données pose le problème de la souveraineté et de la confidentialité des données sensibles que sont les données médicales^[4].

Pourtant, dès sa création en 2019, le projet prévoit que les données chiffrées soient entreposées sur les serveurs de l'entreprise Microsoft soumise au droit des États-Unis^[5]^,^{[Note 1]}. Le contrat avec Microsoft est passé via l'Union des groupements d'achats publics (UGAP), la centrale d'achat de l'État, sans passer par un appel d'offres européen, ce qui lui est rapidement reproché^[6]. Le choix du cloud Azure est contesté en mars 2020 par un collectif d'entreprises et d'associations qui accusent l’État de favoritisme au profit de Microsoft^[7], et l'avocat Jean-Baptiste Soufron saisit le Conseil d'État au nom du collectif Santenathon.org^[6]^,^[8] selon une procédure de référé liberté. Il avance pour cela d'« une atteinte grave et sûrement irréversible aux droits de 67 millions d’habitants de disposer de la protection (...) de leurs données parmi les plus intimes, protégées de façon absolue par le secret médical ». En effet, la loi FISA soumet l'entreprise Microsoft à l'extraterritorialité du droit des États-Unis, et fait donc courir le risque aux données hébergées par le Health Data Hub d'être envoyées aux États-Unis^[9].

Par ailleurs, le contrat est signé a posteriori le 12 juin 2020 alors que des données de santé ont été transférées dès le 10 avril 2020^[6]. Devant le Conseil d'État, les représentants du Health Data Hub affirment utiliser 40 services spécifiques de Microsoft Azure via le logiciel libre Terraform, dont le collectif Santénathon rappelle qu'il « ne garantit en rien la portabilité des services entre fournisseurs distincts » et qu'il « sera pratiquement impossible de suivre les recommandations de la CNIL »^[10].

Dans un avis du 8 octobre 2020, la Commission nationale de l'informatique et des libertés (CNIL) demande de cesser de confier l’hébergement des données à Microsoft et à toute société soumise au droit des États-Unis^[11]^,^[12]. Le même jour, le secrétaire d’État au numérique, Cédric O, indique que le gouvernement travaille pour rapatrier le Health Data Hub sur des plateformes françaises ou européennes^[13], tandis que le ministère de la Santé s'engage à le faire dans un délai compris entre 12 et 18 mois et qui ne dépassera pas 2 ans^[12].

En janvier 2022, l’État retire sa demande d'autorisation auprès de la CNIL concernant « la centralisation, au sein de la Plateforme des données de santé (HDH), des données du Système national des données de santé (SNDS) » et s'apprêterait à repenser complètement le projet pour « repartir sur de bonnes bases »^[14].

À la suite des interrogations de la CNIL, une mission d'expertise est mise en place, pilotée par la délégation du numérique en santé (DNS), la direction interministérielle du numérique (DINUM) et l’Agence du numérique en santé. En novembre 2023, elle sollicite les entreprises OVHcloud, NumSpot et Cloud Temple pour savoir si elles pouvaient répondre au cahier des charges du projet EMC2. Ce cahier des charges évolue néanmoins 6 fois au cours d'une consultation rapide, passant de 165 exigences à 262, et de 200 cas d'utilisations à 466 et demandant à remplir l'ensemble des fonctionnalités d'Azure et AWS en 6 mois. Les entreprises répondent qu'elles ne peuvent remplir l'ensemble des exigences remplies par les services Microsoft Azure et AWS au moment de la consultation, mais présentent un plan permettant de les atteindre par étapes en 6, 12, et 18 mois. Elles sont toutefois écartées car leurs solutions ne sont pas intégralement certifiée SecNumCloud, et la mission retient une solution d'hébergement sur Microsoft Azure, non certifiée SecNumCloud. Philippe Latombe, député MoDem et commissaire à la CNIL, et Catherine Morin-Desailly, sénatrice, dénoncent à la première ministre la partialité du rapport de la mission^[9].

Le 21 décembre 2023, la CNIL valide la solution EMC2 proposée par le Health Data Hub autorisant l'hébergement des données de santé sur Microsoft Azure en la limitant à 3 ans sur les 10 ans initialement demandés^[9]. La CNIL juge le risque « acceptable »^[9]^,^[15] tout en appelant le Health Data Hub à ce que « les services liés à sa gestion puissent être réservés à des entités relevant exclusivement des juridictions de l’Union européenne »^[12]. Philippe Latombe estime que la CNIL n'avait pas le choix, puisque le Data Privacy Framework européen autorise les données à être enregistrées aux États-Unis, mais accuse la mission de n'avoir pas d'intérêt pour la souveraineté du système puisque son référentiel n'y inclut pas ce critère^[16].

En janvier 2024, l'Inspection générale des affaires sociales (IGAS) publie un rapport sur les données de santé, dont la recommandation préalable est d'« arbitrer la question de l’hébergement de la plateforme des données de santé (dite « Health data hub ») » suivie de celle de « refonder le positionnement du Health data hub et renforcer le pilotage stratégique interministériel »^[17]^,^[18].

En mars 2024, le Conseil d'État se voit présenter une demande de référé pour l'annulation de la décision de la CNIL d'autoriser l'hébergement des données de santé sur Microsoft Azure, ou au moins la transmission d'une question préjudicielle à la Cour de justice de l'Union européenne^[19]. Le Conseil détat rejette le référé, considérant que cette décision n'aura qu'un faible impact sur l'activité des entreprises plaignantes et qu'elles n'auraient pas eu le temps de se préparer pour répondre aux besoins exprimés.

En novembre 2024, le Conseil d'État juge sur le fond que la décision de la CNIL « n'a pas, contrairement à ce qui est soutenu, entaché sa délibération d'irrégularité » et que les serveurs qui hébergent les données de santé étant situés en France, le projet EMC2 ne peut autoriser le transfert de données hors du territoire français. Il note que Microsoft n'est pas certifiée SecNumCloud mais est certifiée HDS (hébergeur de données de santé) et que le projet garantit entre autres la pseudonymisation des données. Philippe Latombe estime néanmoins que les arguments donnés sont inadaptés, car la certification HDS n'entraîne aucune qualification ni audit de Microsoft et que la pseudonymisation permet par définition de désanonymiser les données et qu'aucun chiffrement n'est fait durant le transport des données. Il indique enfin qu'il existerait « d’autres saisines du Conseil d’État dans d’autres chambres »^[3].

Notes & références

Cet article est partiellement ou en totalité issu de l'article intitulé « Dossier médical partagé » (voir la liste des auteurs).

Notes

↑ Données stockées en particulier aux Pays-Bas

Références

↑ LOI n^o 2019-774 du 24 juillet 2019 relative à l'organisation et à la transformation du système de santé (1), 24 juillet 2019 (lire en ligne).
↑ « Données numériques de santé : le "Health Data Hub" français crée la polémique », sur TV5 Monde, 2 décembre 2019 (consulté le 22 décembre 2019).
↑ ^{a et b} Vincent Hermann, « HDH : le Conseil d’État valide l’hébergement des données de santé d’EMC2 chez Microsoft », Next Impact,‎ 22 novembre 2024 (lire en ligne )
↑ « Données numériques de santé : le "Health Data Hub" français crée la polémique », sur TV5MONDE, 2 décembre 2019 (consulté le 22 décembre 2019).
↑ « Le Health Data Hub : atout français ou dispositif dangereux ? », Journal international de médecine,‎ 14 décembre 2019 (lire en ligne, consulté le 22 décembre 2019).
↑ ^{a b et c} « Données de santé des Français : faut-il avoir peur du géant Microsoft ? », sur franceinter.fr, 2 octobre 2020 (consulté le 9 octobre 2020).
↑ Jérôme Hourdeaux, « Données de santé: l’Etat accusé de favoritisme au profit de Microsoft », sur Mediapart (consulté le 13 juin 2020).
↑ Jérôme Hourdeaux, « Le Health Data Hub attaqué devant le Conseil d’État », sur Mediapart (consulté le 13 juin 2020).
↑ ^{a b c et d} Vincent Hermann, « « Ça va être sanglant » : la CNIL autorise les données de santé chez Microsoft », Next Impact,‎ 1^er février 2024 (lire en ligne )
↑ « Le HDH : une plate-forme non portable, contrairement aux recommandations de la CNIL », sur SantéNathon, 13 juin 2020 (consulté le 13 juin 2020).
↑ Jérôme Hourdeaux, « La Cnil demande l’arrêt du stockage de nos données de santé par Microsoft », sur Mediapart (consulté le 9 octobre 2020).
↑ ^{a b et c} Commission nationale informatique et liberté, « La Plateforme des données de santé (Health Data Hub) », sur cnil.fr (consulté le 16 mai 2021).
↑ « Données de santé : le gouvernement veut rapatrier le Health Data Hub, hébergé chez Microsoft », Le Monde.fr,‎ 9 octobre 2020 (lire en ligne, consulté le 11 octobre 2020).
↑ Sylvain Rolland, « Coup d'arrêt pour le Health Data Hub, la plateforme controversée qui centralise les données de santé des Français », sur La Tribune, 7 janvier 2022 (consulté le 8 janvier 2022).
↑ Stéphanie Bascou, « Health Data Hub : le cloud français est passé sur le grill… pour mieux faire gagner Microsoft ? », 01 Informatique,‎ 13 janvier 2024 (lire en ligne )
↑ Vincent Hermann, « « Ça va être sanglant » : la CNIL autorise les données de santé chez Microsoft », Next Impact,‎ 1^er février 2024 (lire en ligne )
↑ « Données de santé : "Malgré le Health data hub, l’écosystème est marqué par un déficit de coopération" (rapport Igas) », AEF info,‎ 19 janvier 2024 (lire en ligne )
↑ « Fédérer les acteurs de l’écosystème pour libérer l’utilisation secondaire des données de santé » , sur igas.gouv.fr, 18 janvier 2024 (consulté le 26 novembre 2024)
↑ Vincent Hermann, « Health Data Hub : Clever Cloud et d’autres acteurs saisissent le Conseil d’État », Next Impact,‎ 18 mars 2024 (lire en ligne )

Voir aussi

Articles connexes

Rapports

Jérôme Marchand-Arvier, Stéphanie Allassonnière, Aymeril Hoang et Anne-Sophie Jannot, « Fédérer les acteurs de l’écosystème pour libérer l’utilisation secondaire des données de santé » , sur Inspection générale des affaires sociales, 18 janvier 2024 (consulté le 27 novembre 2024)

[6] Données stockées en particulier aux Pays-Bas

[1] LOI n^o 2019-774 du 24 juillet 2019 relative à l'organisation et à la transformation du système de santé (1), 24 juillet 2019 (lire en ligne).

[2] « Données numériques de santé : le "Health Data Hub" français crée la polémique », sur TV5 Monde, 2 décembre 2019 (consulté le 22 décembre 2019).

[:1-3] {a et b} Vincent Hermann, « HDH : le Conseil d’État valide l’hébergement des données de santé d’EMC2 chez Microsoft », Next Impact,‎ 22 novembre 2024 (lire en ligne )

[4] « Données numériques de santé : le "Health Data Hub" français crée la polémique », sur TV5MONDE, 2 décembre 2019 (consulté le 22 décembre 2019).

[5] « Le Health Data Hub : atout français ou dispositif dangereux ? », Journal international de médecine,‎ 14 décembre 2019 (lire en ligne, consulté le 22 décembre 2019).

[:03-7] {a b et c} « Données de santé des Français : faut-il avoir peur du géant Microsoft ? », sur franceinter.fr, 2 octobre 2020 (consulté le 9 octobre 2020).

[8] Jérôme Hourdeaux, « Données de santé: l’Etat accusé de favoritisme au profit de Microsoft », sur Mediapart (consulté le 13 juin 2020).

[9] Jérôme Hourdeaux, « Le Health Data Hub attaqué devant le Conseil d’État », sur Mediapart (consulté le 13 juin 2020).

[:0-10] {a b c et d} Vincent Hermann, « « Ça va être sanglant » : la CNIL autorise les données de santé chez Microsoft », Next Impact,‎ 1^er février 2024 (lire en ligne )

[11] « Le HDH : une plate-forme non portable, contrairement aux recommandations de la CNIL », sur SantéNathon, 13 juin 2020 (consulté le 13 juin 2020).

[12] Jérôme Hourdeaux, « La Cnil demande l’arrêt du stockage de nos données de santé par Microsoft », sur Mediapart (consulté le 9 octobre 2020).

[cnil-13] {a b et c} Commission nationale informatique et liberté, « La Plateforme des données de santé (Health Data Hub) », sur cnil.fr (consulté le 16 mai 2021).

[14] « Données de santé : le gouvernement veut rapatrier le Health Data Hub, hébergé chez Microsoft », Le Monde.fr,‎ 9 octobre 2020 (lire en ligne, consulté le 11 octobre 2020).

[15] Sylvain Rolland, « Coup d'arrêt pour le Health Data Hub, la plateforme controversée qui centralise les données de santé des Français », sur La Tribune, 7 janvier 2022 (consulté le 8 janvier 2022).

[16] Stéphanie Bascou, « Health Data Hub : le cloud français est passé sur le grill… pour mieux faire gagner Microsoft ? », 01 Informatique,‎ 13 janvier 2024 (lire en ligne )

[17] Vincent Hermann, « « Ça va être sanglant » : la CNIL autorise les données de santé chez Microsoft », Next Impact,‎ 1^er février 2024 (lire en ligne )

[18] « Données de santé : "Malgré le Health data hub, l’écosystème est marqué par un déficit de coopération" (rapport Igas) », AEF info,‎ 19 janvier 2024 (lire en ligne )

[19] « Fédérer les acteurs de l’écosystème pour libérer l’utilisation secondaire des données de santé » , sur igas.gouv.fr, 18 janvier 2024 (consulté le 26 novembre 2024)

[20] Vincent Hermann, « Health Data Hub : Clever Cloud et d’autres acteurs saisissent le Conseil d’État », Next Impact,‎ 18 mars 2024 (lire en ligne )

[1]