BFM Business

Health Data Hub: la Cnil demande l'arrêt de l'hébergement des données de santé par Microsoft

Microsoft sera chargé d'héberger les données de santé des Français.

Microsoft sera chargé d'héberger les données de santé des Français. - Pixabay

Le gendarme des données personnelles demande à l'ensemble des acteurs appelés à stocker des données de santé de cesser "dans un délai aussi bref que possible" de confier leur hébergement à Microsoft.

La Cnil adopte une position très ferme vis-à-vis du Health Data Hub, le très large fichier des données de santé des Français, conçu à des fins de recherche. Un aspect en particulier de ce projet suscite son lot de controverses, depuis plusieurs semaines: le fait que son hébergement ait été confié à Microsoft, faute de concurrent européen ou français à la hauteur.

D'après des informations de Mediapart, la commission a transmis au Conseil d’État un mémoire qui exhorte l'ensemble des acteurs impliqués à cesser de confier leur hébergement au géant américain, comme à toute société soumise "au droit étatsunien", et ce, "dans un délai aussi bref que possible". La Cnil saisit cette opportunité pour renouveler ses inquiétudes à propos de potentiels transferts de données vers les Etats-Unis.

Mettre le hola sur tout transfert de données

L'autorité répond en cela à un recours visant à obtenir la suspension du décrié Health Data Hub. Plus spécifiquement, ses requérants – à savoir le collectif SantéNathon, qui regroupe aussi bien des professionnels de la santé que des syndicats et acteurs du logiciel libre - demandent au Conseil d’État d’annuler un décret publié le 21 avril dernier. Ce dernier, publié à marche forcée au nom de l'état d'urgence sanitaire, constitue le coup d'envoi du Health Data Hub, et prévoit l'intégration à ce fichier des données liées à l'épidémie de Covid-19. Le HDH est pour sa part créé par la loi santé du 24 juillet 2019.

Pour rappel, le Health Data Hub brasse particulièrement large dans sa centralisation des données de santé. Il intègre non seulement les données de santé publiques de l'actuel Système national des données de santé (SNDS) mais aussi des "données de pharmacie", de "prise en charge en ville telles que des diagnostics ou des données déclaratives de symptômes issues d’applications mobiles de santé et d’outils de télésuivi, télésurveillance ou télémédecine", de services d’urgence, ou encore du système de suivi des victimes (SI-VIC) lors de catastrophes sanitaires, mis en œuvre après le 13 novembre 2015.

Un appel d'offres attendu

Les données liées à l'épidémie de Covid-19, qu'il comprend également, sont quant à elles issues de deux fichiers créés à l'occasion de la crise sanitaire, et qui viennent servir le traçage humain du coronavirus: le SIDEP, qui regroupe des données de laboratoire, et Contact Covid, l'équivalent d'un large répertoire de personnes potentiellement contaminées par le Covid-19.

La position de la Cnil va-t-elle véritablement changer la donne ? Elle rejoint en tout cas la nouvelle volonté affichée du gouvernement. Ce 8 octobre, auditionné par des sénateurs, Cédric O, le Secrétaire d'Etat au Numérique, a par un volte-face inédit indiqué vouloir "rapatrier" le large fichier de données de santé, pour confier son hébergement à un acteur européen voire français.

Cédric O avait déjà jugé "normal" en juin qu’il y ait, "dans les mois qui viennent", un appel d’offres sur l’hébergement de cette plateforme pour permettre à des acteurs européens de se positionner. La date et les modalités de cet appel d'offres n'ont pas encore été prévues. Ce dispositif avait par ailleurs été court-circuité lors du choix du géant américain.

https://twitter.com/Elsa_Trujillo_?s=09 Elsa Trujillo Journaliste BFM Tech