Divers

Le Monde.fr : Données de santé : la plate-forme de la discorde

il y a 2 jours, par infosecusanté

Le Monde.fr : Données de santé : la plate-forme de la discorde

Cette plate-forme de recherche sur les données de santé des Français, vantée par le gouvernement, n’a pas convaincu tous les acteurs concernés.

Par Martin Untersinger et Alexandre Piquard •
Publié le 3 décembre 2019

Lancé officiellement dimanche 1er décembre, le Health Data Hub préfigure « la médecine de demain », selon Emmanuel Macron, qui a annoncé, en mars 2018, la création de cette plate-forme de recherche sur les données de santé. Mais les modalités du projet suscitent des inquiétudes sur la protection de ces informations sensibles et posent des questions de souveraineté, au moment où les géants américains du numérique s’intéressent au secteur de la santé.

« L’ambition, c’est de mettre rapidement au service du plus grand nombre notre patrimoine de données de santé sous une forme anonymisée, dans le respect de l’éthique et des droits fondamentaux », estime la ministre de la santé, Agnès Buzyn. La plate-forme servira de porte d’accès centralisée vers les bases de données de l’Assurance-maladie, mais aussi des hôpitaux, de la médecine de ville, etc. Et le Hub autorisera les recherches d’entités publiques et d’entreprises privées. Dix-neuf projets ont déjà été sélectionnés, par exemple sur « les parcours de soin après un infarctus » ou « la proportion de patients touchés par un effet indésirable ».

Mais plusieurs cadres d’hôpitaux émettent des mises en garde. « Le stockage de ces données personnelles dans des clouds détenus par des sociétés extra-européennes serait un risque de nature à compromettre la confiance des patients », et le Hub pourrait fragiliser « l’expertise des centres hospitaliers sur leurs données », s’inquiète ainsi Martin Hirsch, le directeur de l’AP-HP, dans une note adressée au ministère de la santé et citée par Mediapart.

Des données « pseudonymisées »

En effet, la première phase du projet repose sur le service d’hébergement de données, le cloud, de Microsoft. Une décision justifiée par la facilité juridique et la volonté de rapidité : fin 2018, l’entreprise américaine disposait de la certification « hébergeur de données de santé », ce qui n’était pas le cas des concurrents français comme OVH. Mais ce choix a fait grincer des dents.

« Je conseille de confier le stockage de ces données à des entreprises françaises ou européennes »

« Le concept du Health Data Hub est bon (…). Mais tant qu’on n’a pas de réponse sur le Cloud Act, je conseille de confier le stockage de ces données à des entreprises françaises ou européennes », explique le député LRM Pierre-Alain Raphan. Comme M. Hirsch, l’élu estime qu’il y a un conflit juridique entre le règlement européen des données personnelles (RGPD) et le Cloud Act, une loi américaine qui permet à la justice des Etats-Unis de perquisitionner des données partout dans le monde lorsqu’elles sont hébergées par une entreprise américaine. « On ne saura jamais comment le Cloud Act s’applique et on va filer toutes les recherches en santé à cette plate-forme », désespère le responsable de la sécurité informatique d’un hôpital français.

Pour Stéphanie Combes, la directrice du Hub, les demandes du Cloud Act ne pourraient pas s’appliquer car les données de la plate-forme sont « pseudonymisées », c’est-à-dire qu’elles contiennent des informations médicales personnelles, mais pas le nom des patients. « De plus, les données seront chiffrées » et la clé de déchiffrement n’est pas détenue par Microsoft, ajoute-t-elle. Les opposants rétorquent, eux, que l’anonymisation totale n’existe pas, et qu’un chiffrement peut être cassé.

Microsoft dénonce les « fantasmes » sur le Cloud Act et assure n’avoir reçu « dans le monde, au cours du semestre dernier, qu’une seule demande de données liées à une entreprise – et pas en France ». « La certification hébergeur de données de santé – qui impose notamment des serveurs en France – répond à la problématique de souveraineté », estime l’entreprise.

La centralisation et la taille du projet soulèvent aussi des inquiétudes. L’Agence nationale de sécurité des systèmes d’information (ANSSI) a été chargée d’un audit. Selon Mme Combes, « il n’a pas révélé de failles majeures » mais a débouché sur des « conseils d’amélioration ». Elle rappelle, à juste titre, que le niveau de sécurité n’est pas toujours satisfaisant dans les hôpitaux et les structures locales. Certains critiques soulignent, eux, qu’en informatique, les intrusions proviennent parfois d’employés et qu’avoir un point d’accès unique augmente les dégâts potentiels.

Un hébergement « réversible »

« L’idée de centralisation et de facilitation d’accès de l’ensemble des données de santé à des acteurs privés, réalisée sur l’autel de l’intelligence artificielle, ne peut qu’alerter », estime La Quadrature du Net, association de défense des libertés numériques. Quid du consentement des patients ? Le RGPD prévoit un « droit d’opposition » qui permet au citoyen de demander le retrait de ses données d’une base, explique Mme Combes. « A nous de rassurer en faisant de la pédagogie et en expliquant aux gens leurs droits », pense-t-elle. La CNIL, l’autorité de protection de la vie privée, doit aussi rendre un avis sur le projet.

Les crispations suscitées par le projet sont aussi liées au sentiment de dépossession des structures de santé – hôpitaux en tête – qui vont devoir mettre à disposition leurs précieuses bases de données, souvent constituées au prix d’années investissement humain et financier. Pour tenter d’apaiser la fronde, Mme Combes envisage de partager avec les producteurs de données les revenus tirés par le Hub de la facturation de services, dans le cadre de recherches menées par des entreprises privées. « Ils seront plus convaincus quand cela sera effectif », selon elle.

Du côté du gouvernement, on assure que l’hébergement est « réversible », c’est-à-dire transférable à un autre acteur du cloud. L’offre d’OVH, qui a depuis obtenu les certifications nécessaires, est vue avec bienveillance. L’entreprise affirme « être en discussion pour participer à la phase 2 du projet ». Mais cette dernière dépendra d’un appel d’offres pour le cloud souverain et ne sera pas lancée avant au moins un an.

Pourquoi ne pas avoir pris le temps de régler toutes les questions ? « Attendre, c’est une perte de chance pour les patients, assume Stéphanie Combes. Beaucoup de projets sont actuellement bloqués faute d’outils ou de bonnes procédures de sécurité. On a un virage à prendre. Ce n’est pas de la précipitation. Le fait que nos entreprises françaises puissent développer les applications de demain, c’est aussi de la souveraineté. »

Une allusion aux ambitions dans la santé des américains Google, Amazon, Apple, voire Facebook mais aussi des Chinois. En Chine, Tencent propose une plate-forme qui met en relation les patients et les médecins mais offre aussi des services. Aux Etats-Unis, la révélation d’un accord entre Google et 150 hôpitaux vient de créer la polémique. En France, ces développements servent d’arguments à ceux qui prônent d’avancer vite mais nourrissent aussi les inquiétudes. Microsoft en fait d’ailleurs un argument : « Contrairement à d’autres entreprises du cloud, nous ne développons pas en parallèle des services à partir de données de santé. » Une référence à peine voilée à Google et Amazon.