HDH : Le Health Data Hub est, assez simplement, une plateforme d’accès aux données de santé en France et en Europe
L’aide aux patients et aux chercheurs est une avancĂ©e technique importante pour un suivit mĂ©dical efficace, chaque mĂ©decin peut avoir accès Ă votre dossier, sans perte de donnĂ©es et vous prodiguer le meilleur traitement. mais voilĂ le tout est gĂ©rĂ© par des entreprises connues pour leurs non respect de la vie privĂ©e.
Notre santé dans les méandre de l'informatique
Notre histoire dĂ©bute rĂ©ellement en 2016 lorsque l’État dĂ©cide de mettre Ă disposition des citoyens et des chercheurs les donnĂ©es du Système National des DonnĂ©es de SantĂ© (SNDS). Puis, c’est le 30 novembre 2019 que le projet bĂ©nĂ©ficie d’un second Ă©lan grâce au projet de loi « Organisation et Transformation du système de santĂ© » ; il a pour but de permettre au secteur des soins et autres acteurs d’exploiter le potentiel de l’intelligence artificielle, en mettant Ă disposition les immenses volumes de donnĂ©es de santĂ© nĂ©cessaires au dĂ©veloppement de modèles IA. De plus, le HDH se veut un moyen d’informer les patients et ainsi, de faciliter la comprĂ©hension et l’exercice de leurs droits.
Modalités d’utilisation
Toute donnĂ©e est assurĂ©e « pseudonymisĂ©e », la recherche est transparente et toute personne peut s’opposer Ă l’utilisation de ses donnĂ©es. C’est bien !Â
De plus, un comité spécial sera chargé de vérifier l’intérêt public et un avis favorable de la Commission Nationale de l’Informatique et des Libertés (CNIL) devra être émis pour chaque projet. C’est carrément bien !
Pour finir, les donnĂ©es ne transitent jamais Ă l’extĂ©rieur des serveurs du HDH. En effet, les chercheurs ne peuvent ni les copier ni les extraire, ils doivent les traiter en interne et ne peuvent repartir qu’avec les « conclusions » auxquelles ils arrivent grâce aux donnĂ©es.Â
C’est juste génial ! Oui mais… héhé, vous me voyez venir ?
Dans les faits
Bien que la CNIL recommande l’hébergement chez un fournisseur européen, l’ensemble de la structure serveur est hébergée chez Microsoft Azure.
- Oui, mais les serveurs sont physiquement présents sur le sol européen alors c’est bon!
- Ben, non parce que la loi américaine du Cloud Act autorise le gouvernement des États-Unis à forcer les hébergeurs américains (cas de Microsoft Azure) à fournir les données dans le cadre d’une enquête pénale.
- Non mais oui ; l’article 48 du RGPD interdit le transfert de données de pays européens vers des pays extérieurs.
Bref, les juristes du domaine ont de beaux jours devant eux.
Microsoft, Terraform et Monsieur VĂ©ran
Microsoft Azure et Amazone
Ce qui est certain c’est que le 11 juin 2020, le HDH a déclaré au Conseil d’état français, que la plate-forme s’appuyait désormais sur 40 services de Microsoft Azure, dont la portabilité est censée être assurée grâce au logiciel libre Terraform. Ce truc est un outil qui doit pouvoir faire tourner un projet débuté sur un serveur Azure/Amazon mais devant être porté par la suite sur une technologie open-source par exemple.
Qu'est-ce que Terraform?
Sur la page WikipĂ©dia de Terraform on nous informe que : Les scripts Terraform sont dĂ©pendants du fournisseur : un fichier Terraform dĂ©fini pour une topologie Amazon ne peut pas ĂŞtre rĂ©utilisĂ© tel quel pour une topologie OpenStack par exemple. Ça coince dĂ©jĂ .Â
Le secret de Monsieur VĂ©ran
Ce que l’on sait c’est que les données de santé des français sont détenues légalement par une personne morale œuvrant pour ses propres intérêts et son profit.
Cette certitude a poussé un collectif d’entreprises et d’associations, œuvrant dans le monde des logiciels libres de l’open source et des données ouvertes, à s’adresser à Olivier Véran, ministre des Solidarités et de la Santé, pour exprimer leur inquiétude sur la légalité de l’attribution du marché public d’hébergement des données de santé publique à Microsoft Azure.
Mais tout va bien, M. VĂ©ran assure que seule cette solution prĂ©sente actuellement le niveau de maturitĂ© suffisant pour assurer la mise en place d’un environnement de recherche sĂ©curisĂ©, mais rĂ©pondant aussi aux besoins fonctionnels des utilisateurs cibles.
Et il ajoute : «Le risque liĂ© Ă l’irrĂ©versibilitĂ© de la solution est moins sur l’utilisation de licences payantes (les logiciels open source en proposent aussi) que le recours Ă des formats propriĂ©taires, ce qui ne sera pas le cas sur la plateforme technologique du Health Data Hub».
L’infrastructure repose sur des « formats portables et classiquement utilisés par la communauté » (sans que ces formats soient détaillés).
Sur le mĂŞme sujet
Mysterious dark data
Cybersécurité et petites entreprises.
Valeur de nos données personnelles
10 Conseils pour protéger vos données
Sécurité : Comment protéger mon site
Voler des données qui ne vous appartiennent pas
Ce qui pourrait se passer c’est que Microsoft change d’avis et décide de rendre l’ensemble du code source accessible, ou encore qu’il mette à disposition des experts qui pourraient former les citoyens à l’utilisation de ses données.
Ce qui pourrait arriver aussi c’est que Microsoft augmente le tarif du trafic sur ses serveurs, ou le bloque.
Ou encore, qu’il mette à disposition d’autres entités, ses fameuses données qui ne sont rien d’autre que sa propriété.
- Et si des personnes avaient été formées, et une infrastructure logique, cohérente et nécessaire avaient été mises en place ?
- Et si M. Véran avait cherché à mutualiser plutôt que sous-traiter ?
- La France aurait-elle pu avoir une plate-forme nationale et souveraine ?
Malgré tout, la fête est au rendez-vous, la sécurité est assurée, vous ne pouvez pas vous faire voler des données qui ne vous appartiennent pas,
CQFD!
Nouveau chapitre
La fin de la collaboration entre HDH et Microsoft semble proche. On nous assure dans un premier temps que les donnĂ©es Ă©tant stockĂ©es sur des serveurs appartenant Ă Microsoft, prĂ©sents au Pays-Bas, ne peuvent pas remonter jusqu’aux USA, puisque le serveur n’y est pas. Et pourtant; Monsieur Ourghanlian, directeur technique chez Microsoft France, a indiquĂ© dernièrement sur France Inter que:
Les données de santé françaises pouvaient néanmoins remonter aux Etats-Unis pour des questions de maintenance.
Voici les faits: il existe entre les USA et l’Europe le Privacy Shield, qui pose un cadre autour des transferts de donnĂ©es. Or, en juillet 2020, la Cour de justice europĂ©enne l’invalide via l’arrĂŞt Schrem II… Et lĂ c’est le drame! La principale consĂ©quence de cet arrĂŞt est de forcer les plateformes comme le HDH a trouvĂ© des hĂ©bergements europĂ©ens. En Europe, le secrĂ©taire d’État au numĂ©rique, CĂ©dric O, a annoncĂ© qu’il travaillait avec le ministre de la SantĂ© Olivier VĂ©ran, Ă rapatrier cette plateforme sur des infrastructures françaises ou europĂ©ennes sans proposer un calendrier ou une date butoir…
La situation: l’arrĂŞt Schrem II rend inopĂ©rant l’accord sur le HDH, donc il faut en modifier les modalitĂ©s, mais on va se laisser le temps de voir… En attendant, Microsoft, qui dĂ©tient les clĂ©s de chiffrement des donnĂ©es stockĂ©es en Europe, est susceptible de rĂ©aliser certains transferts aux États-Unis pour des opĂ©rations d’administration, explique la CNIL. Surtout, Microsoft est soumis <<Ă des injonctions des services de renseignement (amĂ©ricains) l’obligeant Ă leur transfĂ©rer des donnĂ©es stockĂ©es et traitĂ©es sur le territoire de l’Union europĂ©enne.>>
les conséquences
Consciente du dĂ©fi technique d’un changement d’hĂ©bergement, la CNIL envisage une «pĂ©riode de transition» dont la durĂ©e sera «limitĂ©e au strict nĂ©cessaire», et «recommandĂ© aux autoritĂ©s publiques d’Ă©valuer en urgence l’existence de fournisseurs alternatifs». ContactĂ© par l’AFP, Microsoft a dĂ©clarĂ© qu’il «ne commentait pas les dĂ©cisions stratĂ©giques du gouvernement français et restait dans l’attente de l’arrĂŞt du Conseil d’État», prĂ©vu pour mi-octobre 2020.
