L’École Hexagone prend note de la délibération rendue par la Commission Nationale de l’Informatique et des Libertés (CNIL), du 21 décembre 2023, d’autoriser l’hébergement du projet EMC2 du groupement d’intérêt public « Plateforme des données de santé » (GIP PDS) sur la plateforme Azure (Microsoft) pour les trois prochaines années. Le GIP PDS a également la charge du Health Data Hub (HDH), la plateforme de traitement des données de santé françaises, elle aussi hébergée par Microsoft.

Pour mémoire, EMC2 est un projet d’entrepôt de données de santé à l’échelle européenne. Cette future plateforme hébergera des données de santé issues de l’Assurance Maladie (parcours de soins, prescriptions médicales, etc.), mais aussi des dossiers médicaux complets issus des Hospices civils de Lyon, du centre Léon Bérard, du CHU de Nancy et de la Fondation hôpital Saint-Joseph. L’objectif final est d’exploiter ces données dans le cadre de recherche pharmaco-épidémiologique sur les résultats observés liés aux traitements médicaux.

Dans son argumentaire détaillé, la CNIL évoque le rapport de la mission d’expertise pilotée par la délégation du numérique en santé (DNS), la direction interministérielle du numérique (DINUM) et l’Agence du numérique en santé. Cette mission d’expertise avait pour objectif de déterminer si le projet EMC2 pouvait, sans compromettre le projet vis-à-vis des conditions fixées par l’Agence européenne des médicaments (EMA), être mis en œuvre via un prestataire soumis uniquement aux lois de l’Union Européenne.
La conclusion de cette mission d’expertise évoque entre autres « qu’aucun prestataire potentiel ne propose d’offres d’hébergement répondant aux exigences techniques et fonctionnelles du GIP PDS pour la mise en œuvre du projet EMC2 dans un délai compatible avec les impératifs ce dernier ».
Ainsi, la CNIL déplore la conséquence « qu’aucun prestataire susceptible de répondre actuellement aux besoins exprimés par le GIP PDS ne protège les données contre l’application de lois extraterritoriales de pays tiers ».

L’École Hexagone rejoint la CNIL sur ce point ; le problème n’est pas tant la solution technique retenue, que l’exposition des données hébergées par cette future plateforme aux lois extraterritoriales américaines (Cloud Act, FISA) en faisant le choix de Microsoft Azure. Les données seront hébergées dans des centres de données situés en France. Pour autant, l’emplacement géographique de l’hébergement n’exonère pas Microsoft Azure de s’astreindre à répondre favorablement aux éventuelles injonctions des autorités états-uniennes, donc la communication des données hébergées.

L’École Hexagone, actrice de la souveraineté numérique franco-européenne s’interroge naturellement sur la manière dont a été pensé ce dossier et les conséquences à long terme du choix opéré par le GIP PDS.

La France, avec l’Agence nationale de la sécurité des systèmes d’information (ANSSI), est considérée comme pionnière dans la normalisation des cadres règlementaires en ce qui concerne la sécurité des Systèmes d’Information.

En 2016, avant la définition du projet EMC2 et du HDH, l’ANSSI a élaboré et publié le référentiel SecNumCloud, pour permettre de qualifier des prestataires de services Cloud. Il s’agit pour l’heure de la certification la plus élevée en termes de cybersécurité.
À date, sont qualifiées les solutions techniques de Cloud Temple, Oodrive, Outscale, OVH et Worldline. Microsoft, puisque société de droit américain, ne peut pas prétendre à la certification SecNumCloud. La France avait donc à sa disposition l’outil normatif pour disqualifier les acteurs non-européen et favoriser par les commandes publiques française et européenne les acteurs continentaux.

La mission d’expertise, citée ci-avant, a bien entendue trois acteurs du Cloud français ; OVHcloud, NumSpot et Cloud Temple. Ces trois acteurs ont eu l’occasion de s’exprimer à la suite de la consultation dans la presse spécialisée. Michel PAULIN, CEO d’OVHcloud, précise d’ailleurs que le « référentiel a changé à six reprises, passant de 165 exigences et critères à 262 ». Devons-nous y voir une manière délibérée d’écarter les acteurs français ?
L’École Hexagone déplore elle aussi l’absence d’un appel d’offre impartial, qui aurait dû être un préalable obligatoire au regard du type de données qui seront traitées, du risque juridique lié aux lois extraterritoriales américaines et des enjeux économiques.

À ce titre, l’École Hexagone est parfaitement en phase avec la position de Clever Cloud « concernant la nécessaire évolution du HDH et le refus d’un hébergement des données de santé des français par des acteurs non européens, nous ne pouvons que constater un décalage entre le discours qui vante une France forte de ses champions technologiques, qui soutient sa filière numérique et les décisions prises sur le terrain. ».

Désormais Secrétaire d’État chargée du Numérique, Madame Marina FERRARI, doit impérativement prendre la mesure des enjeux sociaux, politiques et économiques, entourant le traitement des données de santé des concitoyens français. Et de travailler de concert avec les parlementaires qui s’investissent depuis longtemps sur ces questions, à l’instar de la Sénatrice Catherine MORIN-DESAILLY, du Député Philippe LATOMBE et du Député Aurélien LOPEZ-LIGUORI, également Président du groupe d’étude Cybersécurité et Souveraineté Numérique à l’Assemblée Nationale.

Une hypothèse dystopique pour terminer :

Nous constatons une arrivée des GAFAM sur le marché de la santé, tels Amazon et Apple. Il s’agit d’un mouvement de fond amorcé il y a plusieurs années. Par exemple, Amazon a lancé sa propre assurance maladie en faveur de ses collaborateurs. C’est une manière de prendre ses marques sur ce secteur à peu de frais. De même, le géant américain du commerce en ligne a racheté en 2018 la société PillPack, un service de pharmacie en ligne.

Imaginez désormais une mutuelle qui pourrait avoir accès à l’intégralité de votre dossier de santé, avant même de vous assurer, et qui pourrait donc définir votre profil médical exact afin de vous proposer une tarification spécifique, ou tout simplement prendre la décision de ne pas vous assurer si vous êtes considéré comme trop à risques.

Voyez-vous, vous aussi, l’intérêt à défendre âprement et sans concession notre souveraineté numérique ?

Sébastien DHÉRINES,
Président de l’École Hexagone.