L’émotion provoquée par le projet du Health Data Hub a culminé lors du choix de Microsoft pour héberger les données de santé et la forte mobilisation qui comptait Forum ATENA dans ses rangs  a porté ses fruits : Olivier Véran annonce un appel d’offres pour trouver un nouvel hébergeur avant deux ans. Nos feuilles de soins rejoindront le giron européen.

Notre souveraineté est-elle pour autant retrouvée ?

Deux nuages ternissent cette belle perspective de cloud. L’un est technique, changer de prestataire dans l’hébergement n’est pas anodin. L’autre est indépendant du choix de l’hébergeur : les données de santé sont largement ouvertes à quasiment toute requête.

Le non recours à un appel d’offres lors du choix initial de Microsoft Azure est justifié par l’absence constatée de prestataires en mesure de répondre. Microsoft annonce par ailleurs cantonner son rôle à celui de de fournisseur de technologies de cloud, d’intelligence artificielle et de maniement des données qu’il n’a pas besoin de connaître.

Au delà des risques liés à toute externalisation dont la perte de la gouvernance sur les incidents de sécurité, le changement de prestataire dans deux ans pourrait se révéler plus délicat que  prévu. Si on peut imaginer que la page blanche d’un projet tout neuf s’accorde avec un nouvel hébergeur, on peine à concevoir que les travaux initiés sur les outils et les applications de traitement de données et d’IA de Microsoft Azure puissent être portés spontanément sur une autre plateforme. L’expérience de migrations laborieuses pour des applications pourtant plus classiques ne pousse pas à l’optimisme.

Aura-t-on écarté la menace du Cloud Act dans deux ans ? C’est souhaitable mais ce n’est pas gagné.

Côté accès aux données, la difficulté est de marier ouverture à un maximum de projets avec un contrôle sur la dissémination des données.

Les choix affichés dans le « Starter kit » du site du Health Data Hub penchent clairement pour l’ouverture. Les postulants doivent « poursuivre une finalité d’intérêt public », qui n’est pas « a priori incompatible avec l’intérêt commercial ». Si l’usage pour « modification de cotisations ou de primes d’assurance pour un individu ou un groupe d’individus » est explicitement exclu, les compagnies d’assurances restent les bienvenues. Ceci est d’autant moins rassurant que le projet peut éventuellement bénéficier de « procédures dérogatoires ou simplifiées » et que l’anonymisation tout comme la pseudonymisation ont une efficacité réduite à bien peu face aux milliers de paramètres caractérisant chaque individu.

Techniquement, il n’y a aucune protection contre un usage détourné de nos données de santé. Des procédures minutieuses et exigeantes lors de l’approbation d’un projet semblent un minimum pour tenter de contenir ce risque.

D’une manière générale, je reste toujours mitigé sur la pertinence d’un grand lac de données où chacun est libre de piocher. Le risque de tomber dans des biais (corrélations fallacieuses, paradoxe de Simpson ou de Rogers, biais de confusion …) est alors bien plus fort qu’avec des données générées spécifiquement pour une étude par des professionnels du sujet étudié. Constater que la majorité des accidents a lieu sur des trajets courts n’a aucune signification sans un rapprochement avec le nombre de trajets courts, constater un coefficient de corrélation de 0,992558 entre la consommation de margarine et le nombre de divorces dans le Maine (véridique) interroge mais demande quand même un complément d’enquête avant de porter conclusion. L’accumulation d’informations est certes un atout pour cerner chaque individu dans une optique commerciale mais n’est en aucun cas garante de la qualité des études médicales.

En allant plus loin, on peut s’interroger sur le bien-fondé de l’externalisation en général. Voilà un sujet pour un prochain billet.

Restons toutefois optimistes et gageons que le HDH générera de précieux éléments pour lutter efficacement contre les pandémies.

Jacques Baudron  –  Secrétaire Forum ATENA  –  jacques.baudron@ixtel.fr  –  décembre 2020