HDH : Le Health Data Hub est, assez simplement, une plateforme d’accès aux données de santé en France et en Europe
L’aide aux patients et aux chercheurs est une avancée technique importante pour un suivit médical efficace, chaque médecin peut avoir accès à votre dossier, sans perte de données et vous prodiguer le meilleur traitement. mais voilà le tout est géré par des entreprises connues pour leurs non respect de la vie privée.
Notre santé dans les méandre de l'informatique
Notre histoire débute réellement en 2016 lorsque l’État décide de mettre à disposition des citoyens et des chercheurs les données du Système National des Données de Santé (SNDS). Puis, c’est le 30 novembre 2019 que le projet bénéficie d’un second élan grâce au projet de loi « Organisation et Transformation du système de santé » ; il a pour but de permettre au secteur des soins et autres acteurs d’exploiter le potentiel de l’intelligence artificielle, en mettant à disposition les immenses volumes de données de santé nécessaires au développement de modèles IA. De plus, le HDH se veut un moyen d’informer les patients et ainsi, de faciliter la compréhension et l’exercice de leurs droits.
Modalités d’utilisation
Toute donnée est assurée « pseudonymisée », la recherche est transparente et toute personne peut s’opposer à l’utilisation de ses données. C’est bien !
De plus, un comité spécial sera chargé de vérifier l’intérêt public et un avis favorable de la Commission Nationale de l’Informatique et des Libertés (CNIL) devra être émis pour chaque projet. C’est carrément bien !
Pour finir, les données ne transitent jamais à l’extérieur des serveurs du HDH. En effet, les chercheurs ne peuvent ni les copier ni les extraire, ils doivent les traiter en interne et ne peuvent repartir qu’avec les « conclusions » auxquelles ils arrivent grâce aux données.
C’est juste génial ! Oui mais… héhé, vous me voyez venir ?
Dans les faits
Bien que la CNIL recommande l’hébergement chez un fournisseur européen, l’ensemble de la structure serveur est hébergée chez Microsoft Azure.
- Oui, mais les serveurs sont physiquement présents sur le sol européen alors c’est bon!
- Ben, non parce que la loi américaine du Cloud Act autorise le gouvernement des États-Unis à forcer les hébergeurs américains (cas de Microsoft Azure) à fournir les données dans le cadre d’une enquête pénale.
- Non mais oui ; l’article 48 du RGPD interdit le transfert de données de pays européens vers des pays extérieurs.
Bref, les juristes du domaine ont de beaux jours devant eux.
Microsoft, Terraform et Monsieur Véran
Microsoft Azure et Amazone
Ce qui est certain c’est que le 11 juin 2020, le HDH a déclaré au Conseil d’état français, que la plate-forme s’appuyait désormais sur 40 services de Microsoft Azure, dont la portabilité est censée être assurée grâce au logiciel libre Terraform. Ce truc est un outil qui doit pouvoir faire tourner un projet débuté sur un serveur Azure/Amazon mais devant être porté par la suite sur une technologie open-source par exemple.
Qu'est-ce que Terraform?
Sur la page Wikipédia de Terraform on nous informe que : Les scripts Terraform sont dépendants du fournisseur : un fichier Terraform défini pour une topologie Amazon ne peut pas être réutilisé tel quel pour une topologie OpenStack par exemple. Ça coince déjà.
Le secret de Monsieur Véran
Ce que l’on sait c’est que les données de santé des français sont détenues légalement par une personne morale œuvrant pour ses propres intérêts et son profit.
Cette certitude a poussé un collectif d’entreprises et d’associations, œuvrant dans le monde des logiciels libres de l’open source et des données ouvertes, à s’adresser à Olivier Véran, ministre des Solidarités et de la Santé, pour exprimer leur inquiétude sur la légalité de l’attribution du marché public d’hébergement des données de santé publique à Microsoft Azure.
Mais tout va bien, M. Véran assure que seule cette solution présente actuellement le niveau de maturité suffisant pour assurer la mise en place d’un environnement de recherche sécurisé, mais répondant aussi aux besoins fonctionnels des utilisateurs cibles.
Et il ajoute : «Le risque lié à l’irréversibilité de la solution est moins sur l’utilisation de licences payantes (les logiciels open source en proposent aussi) que le recours à des formats propriétaires, ce qui ne sera pas le cas sur la plateforme technologique du Health Data Hub».
L’infrastructure repose sur des « formats portables et classiquement utilisés par la communauté » (sans que ces formats soient détaillés).
Sur le même sujet
Mysterious dark data
Cybersécurité et petites entreprises.
Valeur de nos données personnelles
10 Conseils pour protéger vos données
Pièges du « Phishing », les reconnaître
Sécurité : Comment protéger mon site
Voler des données qui ne vous appartiennent pas
Ce qui pourrait se passer c’est que Microsoft change d’avis et décide de rendre l’ensemble du code source accessible, ou encore qu’il mette à disposition des experts qui pourraient former les citoyens à l’utilisation de ses données.
Ce qui pourrait arriver aussi c’est que Microsoft augmente le tarif du trafic sur ses serveurs, ou le bloque.
Ou encore, qu’il mette à disposition d’autres entités, ses fameuses données qui ne sont rien d’autre que sa propriété.
- Et si des personnes avaient été formées, et une infrastructure logique, cohérente et nécessaire avaient été mises en place ?
- Et si M. Véran avait cherché à mutualiser plutôt que sous-traiter ?
- La France aurait-elle pu avoir une plate-forme nationale et souveraine ?
Malgré tout, la fête est au rendez-vous, la sécurité est assurée, vous ne pouvez pas vous faire voler des données qui ne vous appartiennent pas,
CQFD!
Nouveau chapitre
La fin de la collaboration entre HDH et Microsoft semble proche. On nous assure dans un premier temps que les données étant stockées sur des serveurs appartenant à Microsoft, présents au Pays-Bas, ne peuvent pas remonter jusqu’aux USA, puisque le serveur n’y est pas. Et pourtant; Monsieur Ourghanlian, directeur technique chez Microsoft France, a indiqué dernièrement sur France Inter que:
Les données de santé françaises pouvaient néanmoins remonter aux Etats-Unis pour des questions de maintenance.
Voici les faits: il existe entre les USA et l’Europe le Privacy Shield, qui pose un cadre autour des transferts de données. Or, en juillet 2020, la Cour de justice européenne l’invalide via l’arrêt Schrem II… Et là c’est le drame! La principale conséquence de cet arrêt est de forcer les plateformes comme le HDH a trouvé des hébergements européens. En Europe, le secrétaire d’État au numérique, Cédric O, a annoncé qu’il travaillait avec le ministre de la Santé Olivier Véran, à rapatrier cette plateforme sur des infrastructures françaises ou européennes sans proposer un calendrier ou une date butoir…
La situation: l’arrêt Schrem II rend inopérant l’accord sur le HDH, donc il faut en modifier les modalités, mais on va se laisser le temps de voir… En attendant, Microsoft, qui détient les clés de chiffrement des données stockées en Europe, est susceptible de réaliser certains transferts aux États-Unis pour des opérations d’administration, explique la CNIL. Surtout, Microsoft est soumis <<à des injonctions des services de renseignement (américains) l’obligeant à leur transférer des données stockées et traitées sur le territoire de l’Union européenne.>>
les conséquences
Consciente du défi technique d’un changement d’hébergement, la CNIL envisage une «période de transition» dont la durée sera «limitée au strict nécessaire», et «recommandé aux autorités publiques d’évaluer en urgence l’existence de fournisseurs alternatifs». Contacté par l’AFP, Microsoft a déclaré qu’il «ne commentait pas les décisions stratégiques du gouvernement français et restait dans l’attente de l’arrêt du Conseil d’État», prévu pour mi-octobre 2020.
