La pandémie du Covid-19 est venue éclairer d’un jour nouveau le danger d’une perte de souveraineté dans l’hébergement des données de santé, alors que des acteurs européens sont en capacité de réaliser l’hébergement que le gouvernement français vient de céder à Microsoft.

La crise du covid19 est l’occasion, pour les entreprises américaines, de s’emparer des données de santé, et du formidable pactole qui demain y sera associé.

L’Europe a su démontrer son indépendance en imposant un règlement de protection des données personnelles RGPD, qui reste à appliquer plus rigoureusement, elle doit s’emparer du sujet essentiel de la santé, et protéger le formidable marché de 500 millions de personnes, enjeu essentiel pour construire souverainement les outils sanitaires grâce à la puissance que constitue cette masse de données par les traitements en intelligence artificielle.


La cible des GAFAs : les données de santé

Le marché de la santé est prospère : il représente 12% environ du PIB des pays européens qui nous entourent. Avec l’épisode que nous vivons, il est certainement promis à un développement qui ne peut qu’attirer les investisseurs vers un nouvel eldorado. Ceux qui ont déjà des bases de données gigantesques sur les individus sont en position de force, y compris en maitrise technologique (dont l’IA) pour étendre leur activité à ces secteurs rémunérateurs. Les GAFAs ne peuvent que lorgner dessus, des signes sont dès à présent visibles, sauf à ne pas vouloir les observer :

  1. Google étudie les propagations géographiques des épidémies, par analyse des questions posées en croisant les mots clés et la géo localisation des internautes.
  2. Google s’est proposé pour « aider » le service de santé anglais (en piteux état) à améliorer son « efficacité ». Le nouveau gouvernement semble disposé à donner suite …
  3. Google et Apple se sont unis ( !) pour proposer une solution au problème de la maitrise de la propagation du virus quand les mesures de dé-confinement vont, à nouveau, augmenter le risque. Le développement de l’application StopCovid qui devait être l’occasion d’une collaboration européenne se solde, une nouvelle fois, par un fiasco : la France rejette la proposition tandis que l’Allemagne s’appuierait dessus, laissant de fait entrer le loup dans la bergerie et ouvrant, sous couvert de santé publique, une brèche majeure dans le RGPD.
  4. La Société Palantir, fortement liée à la CIA et à la NSA, déjà introduite chez Airbus et au Ministère de l’Intérieur a été candidate au traitement des données de l’AP HP. Les réactions vigoureuses de nombreux citoyens et experts ont, semble-t-il, fait avorter ce projet.

Urgence ou précipitation ?

Les craintes exprimées quant à la centralisation des données et à la procédure de choix du contractant sont multiples.

  1. Il n’y a pas eu de marché public, car Microsoft « était le seul capable de répondre à nos demandes (dixit Stéphanie Combes, la directrice du Health Data Hub), s’il y avait eu une alternative, nous aurions dû passer par un marché public et la procédure aurait été beaucoup plus longue ».

Health Data Hub a fait état de son choix en faveur de Microsoft Azure en dehors de tout appel d’offres. La légitimité de la procédure est soumise à la justice.

Notons que l’urgence invoquée n’est pas liée à la crise du Covid 19, le choix du prestataire étant antérieur.

  1. Les données sont pseudonymisées et chiffrées

Peut-on compter sur la pseudonymisation quand les attributs de chaque individu se comptent par milliers ? Peut-on compter sur la robustesse des mots de passe quand les utilisateurs se comptent par milliers ? Peut-on compter sur un chiffrement dont l’obsolescence a été signifiée par la CNIL ? (Espérons que la mise en conformité prévue pour janvier 2019 a été effective). Peut-on compter sur le sérieux de Microsoft quand des erreurs grossières exposent des bases de données sur Internet ? (exemple sur 2020 : https://msrc-blog.microsoft.com/2020/01/22/access-misconfiguration-for-customer-support-database/)

  1. La certification HDS obtenue par Microsoft en France n’empêchera pas l’application du Cloud Act et le transfert des données de santé des citoyens français vers les Etats-Unis .

Le Cloud Act, réglementation américaine, permet aux autorités d’enquêtes et de poursuite américaine d’obtenir dans le cadre d’enquête l’accès de toutes données stockées par un fournisseur Cloud présentant « un lien suffisant » avec les Etats-Unis. La certification HDS de Microsoft n’apporte ici aucune garantie de non-ingérence des Etats-Unis du sein du Health Data Hub.

  1. La plateforme fera tourner des logiciels « Open Source ».

En principe la prestation se limite à l’hébergement mais Microsoft rappelle qu’Azure propose des technologies d’Intelligence Artificielle et de maniement des données. Le risque existe que des applications les utilisant entravent un basculement vers un prestataire d’hébergement alternatif.

  1. Le Health Data Hub autorisera les recherches d’entreprises privées.

C’est un point majeur.

De quelles garanties dispose-t-on que les données de santé ne seront pas exploitées pour des études de marché ou des évaluations de risque client pour des banques et assurances ?

Le comité (CESREES) en charge de se prononcer sur le caractère d’intérêt public des projets n’exercera son filtre que sporadiquement : seule une requête du ministre de la Santé, de la CNIL ou du CESREES lui-même provoquera l’examen. La CNIL avait pourtant recommandé une étude systématique.

L’obstacle de la certification des propositions européennes est-il à ce point insurmontable ? La seconde librairie d’Intelligence Artificielle après TensorFlow de Google vient de l’INRIA avec Scikit-learn. Comment soutenir qu’il n’y a pas de compétences locales ?

A-t-on seulement besoin pour la recherche de concentrer des données ? La sensibilité aux biais statistiques semble plus forte quand on manipule des données issues d’un réservoir que lorsqu’on constitue un jeu de données dans le cadre d’une étude. La concentration des données est par contre bénéfique aux études de risques bancaires ou d’assurance, le contournement de l’anonymisation étant loin d’être exclu.


Des décisions qui creusent, encore plus, la tombe de notre souveraineté

Le Ministère de l’Education Nationale et celui de l’Intérieur ont fait le choix, pour le moins surprenant, de l’offre Microsoft qui va progressivement s’infiltrer par « facilité » et conquérir une part toujours plus grande de l’architecture du Système d’Information de ces organisations.

Des choix majeurs concernant l’hébergement de nos données de santé dans le « cloud américain» risquent de se faire sur les serveurs des majors américaines au détriment d’une offre française qui, techniquement, est comparable et assure une garantie sur l’accès à nos données par les seules sociétés soumises, sans restriction, à nos lois et règlements, ainsi que l’application rigoureuse du RGPD.

Il n’est pas inutile de rappeler que les USA ont l’habitude, déplorable, de s’arroger un droit d’extraterritorialité de leur législation. La BNP, Alstom en ont fait les frais avec des amendes de milliards de $.

En plus du contrôle qu’ils exercent sur l’Internet ; ils ont voté un dispositif, le « CLOUD Act » qui, sur réquisition des autorités américaines, contraint toutes les sociétés américaines ou leurs filiales, de communiquer, toutes données personnelles en leur possession, où qu’elles soient stockées dans le monde. Ce transfert des données des citoyens français vers les Etats-Unis se fera sans l’obtention du consentement de la personne concernée. De plus, il n’y a aucun recours prévu pour la personne concernée par la demande de communication de ses données.

Ces choix mettent en péril notre souveraineté et les parties prenantes de ces décisions doivent prendre conscience de la responsabilité qu’elles prennent vis à vis de la Société tout entière, et sur le long terme.

L’association Forum ATENA se joint à tous ceux qui, comme elle, s’alarment de la légèreté des analyses stratégiques des choix qui semblent être frappés d’incompétence ; elle appelle à un sursaut de lucidité pour décider de l’avenir de notre souveraineté numérique.

Forum ATENA
Philippe RECOUPPÉ – Vice-Président
Alexandra ITEANU, ITEANU Avocats
Frédéric PIERUCCI, auteur du livre « Le piège américain »

Télécharger le communiqué (.pdf)