C’est une autorisation qui fait grand bruit. La Cnil a donné un feu vert à la création d’un entrepôt de données de santé de citoyens français et européens qui sera hébergé sur les infrastructures cloud de l’américain Microsoft. Rendue publique le 31 janvier, cette décision répondait à une demande d’autorisation - obligatoire - qui lui avait été faite en août dernier par le Health Data Hub (HDH).

Cet acteur public, chargé de centraliser les bases de données de santé les plus importantes en France à des fins de recherche, assure également le développement d’une plateforme européenne destinée à la recherche, baptisée EMC2, pour le compte de l’Agence européenne des médicaments. Dans cet entrepôt figureront les données - pseudonymisées - de patients français de quatre hôpitaux et de composantes des principales bases de données de santé publiques existantes (assurance-maladie, etc..).

Or, comme le rappelle la Cnil elle-même, le choix de Microsoft fait par le Health Data Hub pour l’hébergement de données aussi sensibles ne les protège pas « contre tout risque de communication des données à des États étrangers ». En clair, Microsoft étant une entreprise américaine, elle est soumise aux lois extraterritoriales de surveillance type Cloud Act, même si les données en question sont hébergées dans des centres de données en France.

Accepter l’hébergement, à regret

Pour éviter d’avoir à autoriser cet état de fait, la Cnil avait demandé aux pouvoirs publics d’évaluer les solutions de prestataires soumis uniquement aux lois de l’Union européenne afin de voir si elles pouvaient répondre aux exigences du HDH. « Nous n’avions aucun moyen juridique d’empêcher l’hébergement par un prestataire américain, et l’obligation de répondre sous quatre mois », précise Thomas Dautieu, directeur de l’accompagnement juridique de la Cnil. Or, en décembre 2023, la mission d’expertise chargée de cette évaluation, pilotée par la délégation du numérique en santé, la direction interministérielle du numérique et l’agence du numérique en santé, a conclu qu’aucun prestataire européen « n’est susceptible de répondre actuellement aux besoins exprimés par le Health Data Hub ».

Une conclusion qui a suscité un vif émoi chez les fournisseurs de cloud évalués et, au-delà, au sein de l’écosystème des acteurs de la confiance numérique. « En six semaines, on nous a changé les règles du jeu six fois et nous sommes passés de 120 critères d’exigence à plus de 400. La procédure a été pour le moins complexe! » déplore Michel Paulin, le directeur général d’OVH, qui développe par ailleurs des briques technologiques pour l’entrepôt de données de santé de l’AP-HP .

«Ce n’était pas un appel d’offres classique, c’était biaisé dès le départ.»

« Le rapport de la mission d’expertise est très spécieux, ajoute Philippe Latombe, député MoDem très engagé sur les questions de souveraineté numérique. Les demandes aux prestataires français ont été faites en urgence, les exigences ont été crescendo au fil des semaines et avec l’obligation de répondre en certification SecNumCloud pour tous les services (le référentiel de sécurité le plus élevé imposé par l’Anssi, NDLR) alors que Microsoft n’est certifié qu’en hébergement de données de santé.». « Les exigences n’ont pas bougé et l’audit a été mené sur la base d’une version détaillée permettant de mieux évaluer la réponse des différentes offres aux besoins de la plateforme et des projets»,répond Stéphanie Combes, la directrice du Health Data Hub.

« Nous comprenons l’émoi et les interrogations que l’autorisation suscite chez ces acteurs. Pour les entrepôts de données de santé en particulier, nous faisons tout pour pousser les porteurs de projets, publics comme privés, vers des offres souveraines. C’est la première fois que la Cnil a dû, à regret, accepter l’hébergement par un prestataire américain pour un entrepôt de cette nature» précise Thomas Dautieu.

«Une nouvelle solution», en 2025

Cette décision est le dernier épisode d’une saga qui remonte à 2019, juste après la création du Health Data Hub. Proposé par le rapport Villani pour une stratégie nationale de l’intelligence artificielle, son objectif est de mieux exploiter le patrimoine national des données de santé pour la recherche médicale. À cette date, le groupement d’intérêts public du Health Data Hub choisit Microsoft comme prestataire d’hébergement, sans passer par un appel d’offres. Suite à une première polémique, le gouvernement avait promis, par la voix du ministre du Numérique Cédric O et par celle du ministre de la Santé Olivier Véran de transférer d’ici fin 2022 le HDH chez un autre hébergeur.

Repoussée une première fois, la promesse d’un appel d’offres n’est pas prévue avant 2025. Or pour pouvoir répondre à ses engagements par rapport à l’agence du médicament européenne, le HDH a besoin d’utiliser sa plateforme actuelle, hébergée donc chez Microsoft. « Le choix initial du HDH dès sa fondation de recourir au cloud a conduit à privilégier des offres d’acteurs états-uniens dont il apparaît désormais difficile de se détacher », regrette d’ailleurs la Cnil dans sa délibération.

« Ce projet du Health Data Hub est surtout un dossier symbolique, ajoute Sébastien Lescop, directeur général de Cloud Temple, un fournisseur lui aussi évalué. Nous sommes désormais concentrés sur l’avenir afin de nous assurer qu’il y aura bien un appel d’offres en 2025 pour une migration vers une nouvelle solution d’hébergement. »

«Il faut aussi un courage politique»

Pour beaucoup d'acteurs, les enjeux vont bien au-delà. « Si on considère que la bataille du cloud est perdue en Europe, cela veut dire qu'on perd aussi celle de l'intelligence artificielle, avertit Guillaume Poupard, directeur général adjoint de Docaposte et membre du conseil d'administration de Numspot. Si nous ne sommes pas en mesure d'avoir la maîtrise de la souveraineté sur le substrat de l'IA qu'est le cloud, on aura constamment un problème. Il faut aussi un courage politique. Le HDH n'est qu'un projet, il y en aura beaucoup d'autres après. »

Guillaume Poupard veut cependant retenir le côté positif de ce qui vient de se passer. « Le cahier des charges du HDH n'avait jamais été partagé. Tout le monde sait maintenant ce qui lui reste à faire pour être bon. » Et en ne délivrant son autorisation que pour une durée de trois ans, la Cnil entend simplement laisser le temps à la migration promise d'être faite.

« La France a besoin d'être exemplaire sur les enjeux de données sensibles liés à l'intelligence artificielle, qui ne concernent pas uniquement les données de santé des Français », insiste Michel Paulin, de chez OVH.

L'affaire pourrait cependant ne pas en rester là. Outre des pétitions lancées, un recours pourrait être porté devant le conseil d'État. Philippe Latombe; lui, va interpeller le Premier ministre Gabriel Attal sur le sujet à l'Assemblée nationale. « En 2020, on nous avait juré la main sur le cœur qu'un appel d'offres aurait lieu pour un basculement sous 18 mois, on est en 2024 et toujours rien. S'ils ne veulent pas s'y mettre, il va falloir les forcer!» tonne-t-il. « Le HDH a dans sa feuille de route pluriannuelle l’objectif de migration dès que les offres du marché le permettront, il le fera bien évidemment en respectant le droit de la commande publique auquel il est soumis comme tout organisme public » assure Stéphanie Combes.