samedi 6 mars 2021

Partie 3 : Health Data Hub et hébergement de données personnelles, vers de nouvelles solutions européennes.

Manifesto : pour une Europe innovante en santé
©Leem.org, 2019

 

Le Health Data Hub (HDH), la plateforme des données de santé française, connaît des aléas depuis sa mise en service en décembre 2019.  Le HDH est critiqué par la CNIL et le Conseil National de l'Ordre des Médecins (CNOM) dès son lancement pour les risques d'accès et d'identification des données personnelles. Un an plus tard, en juillet 2020, le CLOUD Act signe la possibilité de transfert des données vers les États-Unis ce qui porte un nouveau coup au projet français. Mais le Health Data Hub est un outil novateur pour la recherche. En janvier 2021, il  s'exporte à l'échelle européenne avec le TEHDaS, un projet de plateforme de données pour lequel le HDH coopère avec 26 États membres de l'UE. Le succès du HDH en fait un modèle qui justifie son maintient face aux challenges. Pour remédier aux nécessaires questions de sécurité, il faut donc envisager une migration des données vers une entreprise française ou européenne. 

La controverse autour du Health Data Hub et du choix de Microsoft comme hébergeur de ses données date du moment où l'entreprise américaine a été désignée pour tenir ce rôle[1]. Le problème tient notamment à ce que l'entreprise a été sélectionnée sans qu'un appel d'offres ne soit ouvert[2]. Signe que la question était anticipée, Cédric O, le secrétaire d'Etat au numérique lançait en juillet 2020 une réflexion sur l'ouverture à la concurrence et au remplacement de Microsoft[3]. Une réflexion qui a été précipitée le 16 juillet dernier par la décision de la Cour de Justice de l'Union Européenne (CJUE) d'invalider le Privacy-Shield. En supprimant le "bouclier de protection des données" la CJUE répondait au CLOUD Act américain. Mais en voulant légiférer sur l'intégrité du territoire européen, elle a également donné raison à ceux qui s'inquiétaient du choix de l'entreprise américaine pour héberger les données de 67 millions d'assurés sociaux.

Le Health Data Hub met en action le projet de "Recourir au numérique pour mieux soigner". Pour cela, on a misé sur l'intelligence artificielle dès 2019. L'alliance entre la recherche sur les données massives et la recherche médicale a donné naissance à de nouvelles pratiques catalysées par l'usage du Health Data Hub. Et c'est aussi ce qui explique historiquement, le choix de Microsoft. Pour Guillaume Poupart, le directeur général de l'Agence nationale de la sécurité des systèmes d'information (ANSSI ) : "dans une phase de prototypage, le choix d'une solution facile d'emploi a été privilégiée".[4] Pour la directrice du Health Data Hub, Stéphanie Combes, aucun d'OVH, d'Atos, ou de Thales ne s'était montré satisfaisants au moment où il fallait choisir, car trop limités du point de vue technologique[5]

 

Mais la concurrence à l'entreprise américaine n'a pas attendu pour s'organiser. OVH a d'abord reçu la certification SecNumCLOUD délivrée par l'Anssi pour sa solution de "Hosted Private Cloud" le 12 janvier 2021[6]. Cette longueur d'avance a permis à OVH de se positionner avantageusement. Le 5 juin 2020, OVH à donc pu annoncer la création d'un projet d'hébergement européen GAIA-X. Officiellement lancé en septembre 2020, cette collaboration a deux objectifs. Celui de restaurer la souveraineté des pays de l'UE dans la gestion de leurs données, en autonomie technologique des géants américains et chinois d'une part. De l'autre, la création d'un "méta-cloud" européen qui regroupera toutes les données ouvertes des pays membres de l'UE [7]. 


Anticipant ainsi les besoins de sécurité de la France pour sa propre plateforme d'hébergement de données de santé, OVH s'est positionnée, du même coup, de manière stratégique sur ce nouveau marché européen de la donnée[8]. Le TEHDaS, le cloud de données de santé européennes sera guidé dans sa mise en place par Health Data Hub. La France semble ainsi bien positionnée dans son leadership technologique et l'agenda fixé par le président de la République Emmanuel Macron est respecté à seulement deux ans de l'initialisation de ce projet d’innovation technologique, 

Références :

[1] Le Monde. Collectif. "L'exploitation de données de santé sur un plate-forme de Microsoft expose à des risques multiples" lemonde.fr Publié le 10/12/2019 [En ligne]. Disponible à l'adresse :<https://www.lemonde.fr/idees/article/2019/12/10/l-exploitation-de-donnees-de-sante-sur-une-plate-forme-de-microsoft-expose-a-des-risques-multiples_6022274_3232.html>

[2]GUEGEN,Elodie Cellule investigation de Radio France. Le choix de Microsoft pour héberger les données de santé des Français fait polémique. franceculture.fr Publié le 02/10/2020 [En ligne] Disponible à l'adresse :<https://www.franceculture.fr/societe/le-choix-de-microsoft-pour-heberger-les-donnees-de-sante-des-francais-fait-polemique>

[3]VITARD, Alice Health Data Hub : Face aux critiques liées à Microsoft, le gouvernement annonce un appel d'offres usine-digitale.fr Publié le 23/06/2020 [En ligne] Disponible à l'adresse : <https://www.usine-digitale.fr/article/health-data-hub-face-aux-critiques-le-gouvernement-va-mettre-microsoft-en-concurrence.N978681>

[4]CARAVAGNA, Léo. Microsoft prestataire du Health Data Hub : Un choix "d'opportunité" pour aller vite. ticsante.com Publié le 27/12/2019 [En ligne] Disponible à l'adresse : <https://www.ticsante.com/story/4937/microsoft-prestataire-du-health-data-hub-un-choix-d-opportunite-pour-aller-vite.html>

[5]LOUBIERE, Paul Capgemini et OVH pour proposer un cloud souverain challenges.fr Publié le 16/02/2021 [En ligne]  Disponible à l'adresse:<https://www.challenges.fr/high-tech/capgemini-et-ovh-s-allient-pour-proposer-un-cloud-souverain_751278>

[6] LECHELLE, Yann. The cloud is dead, long live the multicloud! medium.com Publié le 04/06/2020 [En ligne] Disponible à l'adresse: <https://medium.com/scaleway-cloud/the-cloud-is-dead-long-live-the-multicloud-4ab55421f150>

[7] ENISA. Cybersécurity to the Rescue : Pseudonymisation for Personal Data Protection. enisa.europa.eu Publié le 28/02/2021 [En ligne] Disponible à l'adresse : <https://www.enisa.europa.eu/news/enisa-news/cybersecurity-to-the-rescue-pseudonymisation-for-personal-data-protection?fbclid=IwAR2eSDIStfyb45F8pBocBD2-bFGCBp_SJtVDVp-eWsmk7nErhholhfxOSEo>

[8] Article L. 1462-1 du Code de la santé publique - version en vigueur au 1 juin 2019. [Modifié par l'ordonnance n°2018-1125 du 12 décembre 2018- art.21 - al.1-5] legifrance.gouv.fr [En ligne]. Consulté le 16/10/2020. Disponible à l'adresse : <https://www.legifrance.gouv.fr/codes/article_lc/LEGIARTI000038886833/>

 

Aucun commentaire: