Données de santé : pourquoi (et comment) vont-elles être hébergées sur des serveurs de Microsoft ?

L'hébergement des données de santé est un enjeu stratégique et politique autant que médical.
Santé

À LA LOUPE – Le gouvernement accélère actuellement la mise en place du "Health Data Hub", un outil rassemblant des données de santé et qui suscite de vives inquiétudes. Parmi les problèmes majeurs : le choix de Microsoft pour les héberger…

Médecin généraliste à Marseille, Karim Khelfaoui a diffusé une vidéo dans laquelle il met en garde contre ce qu'il juge comme des dérives graves. Il dénonce ainsi un "un flicage éhonté de vos informations de santé", expliquant par exemple que nos données médicales font l'objet d'un projet de loi actuellement à l'étude, et que celui-ci prévoit que les patients perdent la main sur la destination de ces données. "Ils peuvent en faire ce qu'ils veulent", fulmine-t-il.

Cette séquence, visionnée des centaines de milliers de fois, a interpellé les internautes, et pose des questions sur ce sujet très sensible. Le généraliste, dans la séquence qu'il a tournée, fait ainsi référence à un projet intitulé "Health Data Hub", soit littéralement le carrefour des données de santé. Un dispositif pour le moins contesté.

Un hébergement assuré par Microsoft

Annoncé en mars 2018, le Health Data Hub est on outil central aux yeux du gouvernement pour améliorer l'efficacité des systèmes de santé. "L'analyse des données de santé est essentielle pour faire avancer la recherche, éclairer le décideur ou le citoyen. Pour de multiples raisons, celles-ci sont aujourd'hui sous utilisées", indique le site du projet. Pour autant, peut-on lire également, "les freins ne sont toutefois pas d'ordre technique, mais plutôt organisationnel et culturels".

Des freins en passe de changer puisqu'un arrêté pris fin avril a accéléré la mise en place de ce "hub", afin selon l'arrêté publié au Journal officiel, de "faciliter l’utilisation des données de santé pour les besoins de la gestion de l’urgence sanitaire et de l’amélioration des connaissances sur le virus Covid-19". Une récolte d'informations alors même que la plateforme, entérinée l'an passé, n'était pas encore totalement déployée.

De quoi susciter des crispations, d'autant que les données récoltées sont hébergées par un géant du numérique…américain. Microsoft a en effet été désigné pour les accueillir sur sa plateforme de cloud, sans passer par les habituelles procédures d'appels d'offres. Une manière de gagner du temps, pour les défenseurs du projet, et un procédé légal puisque les autorités indiquent qu'aucun autre prestataire ne s'est montré en mesure de répondre aux exigences d'un tel dispositif. 

Lire aussi

Les défenseurs du logiciel libre ont réagi, dénonçant une procédure dangereuse et injustifiée, tandis que la directrice du hub, Stéphanie Combes, reconnaissait que le recours à Microsoft s'avérait discutable. "Nous étions conscients que ce n'est pas un choix idéal et potentiellement polémique. On aurait préféré un acteur français", expliquait-elle il y a quelques mois.

Des données qui filent aux Etats-Unis ?

Outre le respect du secret médical et des aspects techniques concernant la durée de conservation de ces données, se pose la question du lieu de leur stockage et de leur utilisation. En effet, si la direction de la plateforme assure que les informations récoltées ne seront pas conservées sur des serveurs hors de France, la Commission nationale de l'informatique et des libertés a émis un avis très critique. Après avoir examiné le contrat noué avec Microsoft, elle remarque en effet que celui-ci "mentionne l’existence de transferts de données en dehors de l’Union européenne".

Mediapart, dans un récent article, met en avant un point "peut-être encore plus inquiétant". En effet, "la Cnil affirme que, même si les données stockées seront bien chiffrées 'avec des algorithmes à l’état de l’art à partir de clés générées par les responsables de la plateforme sur un boîtier chiffrant maîtrisé par la plateforme des données de santé', les clefs de déchiffrement seront envoyées à Microsoft". Problème, "Elles seront conservées par l’hébergeur au sein d’un boîtier chiffrant, ce qui a pour conséquence de permettre techniquement à ce dernier d’accéder aux données", comme l'indique l’avis de la commission.

Tout est sécurisé, répond en substance la direction du Hub, qui souligne que les clés de chiffrement, permettant d'accéder aux données, seront utilisées "sans intervention humaine". L'action des administrateurs, quant à elle, sera rigoureusement contrôlée. " Nous sommes engagés à refuser toute demande qui ne serait pas légitime. Nous avons totalement sécurisé cet aspect-là", a indiqué Stéphanie Combes.

En résumé, l'affirmation selon laquelle des données de santé vont être hébergées par des serveurs gérés par Microsoft est vraie. L'entreprise a en effet été retenue pour le déploiement de la plateforme Health Data Hub. Un déploiement accéléré ces dernières semaines en pleine épidémie, ce qui a fait grincer des dents, notamment du côté de la Cnil. L'institution a émis une série de réserves quant à la sécurisation des données, et a mis en avant une accélération du calendrier discutable. Un passage en force que nient les responsables de la plateforme, qui indiquent avoir pris les dispositions nécessaires en matière de sécurité et qui jugent essentiel le développement d'un dispositif comme celui-ci pour faire progresser les politiques de santé.

Toute l'info sur

Coronavirus : la pandémie qui bouleverse la planète

Vous souhaitez réagir à cet article, nous poser des questions ou nous soumettre une information qui ne vous paraît pas fiable ? N'hésitez pas à nous écrire à l'adresse alaloupe@tf1.fr

Sur le même sujet

Et aussi

Lire et commenter

Alertes

Recevez les alertes infos pour les sujets qui vous intéressent