Faites-vous partie de ceux qui se demandent ce que signifie « Health Data Hub » à chaque fois que vous tombez sur ces trois mots ? Ce projet, dont l’ambition était de centraliser des données de santé des Français à des fins de recherche, s’est littéralement pris les pieds dans des polémiques sur fonds de souveraineté et d’indépendance face aux États-Unis. Alors que nous vous racontions, une semaine plus tôt, comment des fournisseurs de cloud français se positionnent pour prendre la suite de Microsoft Azure, son hébergeur actuel, et qu’un rapport gouvernemental sur la plateforme vient d’être publié, voici ce que vous devez savoir de ce méga espace de données de santé des Français.
1 – Au commencement du Health Data Hub : le rapport Villani
À l’origine, le Health Data Hub (HDH), plateforme de données de santé en français, provient du rapport sur l’intelligence artificielle de Cédric Villani, publié en 2018. Le mathématicien, qui était alors député LREM, préconisait la mise en place d’un tel outil. Car si « la France est dotée du système national des données de santé (SNDS) » qui « couvre 99 % de la population française », et qui regroupe les données des parcours des soins (ordonnances, hôpitaux, causes médicales des décès), ce « système unique au monde » avait été conçu en 2016… à des fins administratives.
Il était donc peu adapté au développement de l’IA. Si c’était le cas, expliquait le lauréat de la médaille Fields de 2010, les chercheurs pourraient quasi en temps réel étudier le traitement médical de certaines populations, mettre en place des essais thérapeutiques virtuels, voire détecter « des signaux faibles » dans la population. Outre l’objectif de faire progresser la science, l’intérêt était aussi, en arrière-plan, économique. La France est l’un des rares pays à disposer, en plus du SNDS, d’importantes bases de données de santé, jusqu’alors très éparpillées, comme celles de l’INSERM, des Maisons départementales des personnes handicapées, de la Caisse nationale de solidarité pour l’autonomie, d’établissements de santé ou encore des bases épidémiologiques. Mieux exploiter cette masse de data, parfois décrites comme une mine d’or, donnerait un avantage compétitif indéniable au pays, soutenait-on.
2 – L’accélération avec le Covid-19
Avec le coronavirus, l’intérêt de disposer d’un tel système devient pressant. La crise sanitaire va littéralement venir accélérer le lancement de la plateforme. « La décision qui a été prise a été de mettre en production une version (du HDH, NDLR) qui n’était pas complètement finalisée, parce que c’était vraiment urgent, parce qu’on n’avait pas le temps d’attendre que la version finalisée soit opérationnelle », confiait à l’époque Bernard Ourghanlian, le directeur technique de Microsoft France, à nos confrères de Radio France. La plateforme est officiellement lancée en décembre 2019, avec certaines données issues de la crise sanitaire.
Mais dès son lancement, une polémique enfle. Après les décisions de la CNIL, le gardien des libertés, et du Conseil d’État, la plus haute juridiction administrative, l’ambitieux projet accouche finalement d’une souris : la plateforme existe bien aujourd’hui, mais elle fonctionne au ralenti.
3 – Le temps de la polémique
Un élément va en effet venir enrayer la machine du HDH, pourtant lancée à plein gaz. Une telle plateforme nécessite, pour fonctionner, de faire appel à un hébergeur, un fournisseur de cloud, sur lequel les données de santé, des data particulièrement sensibles, seront stockées. L’administration veut aller vite. Plutôt que de passer par un appel d’offres, elle va faire évaluer les hébergeurs du marché, largement dominé par les hyperscalers américains. Son choix finit par se porter sur Microsoft Azure, une société américaine, au grand dam des clouders français et européens – et des associations de défense des droits. L’administration, qui est passée par une centrale d’achat de l’État pour commander ces prestations, estime qu’aucune société française n’est à même d’arriver à la cheville de l’offre de Microsoft. Somme toute, entend-on à l’époque : soit on opte pour Azure, soit on renonce au HDH.
La décision suscite « un déferlement », se remémore Cédric Villani, interrogé chez TrenchTech en septembre dernier. Une vive polémique que Cédric O, alors secrétaire d’État au numérique, ne cessera de tenter d’éteindre pendant toute la durée de son mandat. Comme ce jour de mai 2020 où, interrogé par la sénatrice Catherine Morin-Desailly à l’Assemblée nationale, il plaide un « choix cornélien » entre une « efficacité sanitaire » et une souveraineté. Il se trouve qu’aucune « solution française ne nous permettait de faire les recherches scientifiques sur les données de santé des Français, étant donné les retards dans le cloud européen. Nous n’avions pas la possibilité de faire tourner les algorithmes d’IA sur infrastructure française », estimait-il.
La cause de la polémique est en partie juridique. Bien que les centres de données d’Azure soient situés aux Pays-Bas, donc en Europe, Microsoft, en tant que société américaine, est soumise aux lois extraterritoriales des États-Unis – dont le Cloud Act et la loi FISA, qui vient d’être prolongée jusqu’en avril 2024. En conséquence, les données de santé des Français pourraient être accessibles aux services de renseignements américains, sans que les principaux intéressés n’en soient jamais informés. Il existe aussi des raisons économiques et symboliques : pour certains, il s’agit d’une occasion manquée de faire monter en puissance les clouders français et européens, à coups de commande publique – comme l’État américain l’a fait pour ses entreprises avant qu’elles ne deviennent des géants du numérique.
A lire aussi : « C’est une bombinette » : notre souveraineté numérique en danger avec la loi sur le renseignement US, selon ce député
Des recours sont formés, politiques et associations montent au créneau, jusqu’à ce que le couperet tombe, en juin et en octobre 2020. La CNIL, suivie par le Conseil d’État, exige que le clouder du HDH relève exclusivement des juridictions de l’Union européenne — exit donc, en théorie, Microsoft Azure. Cedric O, le secrétaire d’État au numérique, fait machine arrière. Il promet de migrer la plateforme vers une solution européenne, un engagement repris par Olivier Véran. Le ministre de la Santé d’alors avance, dans un courrier adressé à la CNIL de novembre 2020 dont TicPharma se fait l’écho, « un délai de 12 à 18 mois, et en tout état de cause dans un délai ne dépassant pas deux ans ».
Car entre-temps, la question de la souveraineté numérique française et européenne gagne du terrain. Le Gouvernement commence, en 2021, par publier sa doctrine du « cloud de confiance », un ensemble de règles à adopter pour tout nouveau projet informatique public qui implique des données régaliennes ou sensibles. L’objectif, explique alors Bruno Le Maire, le ministre de l’Économie, est de s’assurer d’un certain niveau de sécurité tout en donnant la possibilité aux administrations et aux services publics de bénéficier « des meilleures solutions de cloud ». On ouvre la porte aux hyperscalers américains comme AWS (Amazon Web Services), Microsoft Azure, et Google Cloud : leurs technologies pourraient être utilisées sous licence par des fournisseurs européens ou français de cloud, mais sur leurs propres serveurs, et avec des garanties pour les données.
Cette doctrine, devenue « cloud au centre », s’est ensuite durcie en mai 2023 : les futurs projets qui impliquent des données sensibles (dont les données couvertes par le secret médical ou relative à la protection de la santé) devront désormais opter pour des hébergeurs estampillés SecNumCloud, le plus haut label de cybersécurité. La version 3.2 de ce référentiel prévoit une immunité aux lois extraterritoriales – ce qui exclut cette fois les hyperscalers américains.
Problème : ces règles, qui devraient favoriser les solutions européennes, ne s’appliquent qu’aux futurs projets. Pas au HDH, déjà lancé, et dont le délai pour une possible migration vers un hébergeur européen ne cesse de reculer. En septembre 2022, Stéphanie Combes, l’actuelle directrice du HDH évoque, auprès de nos confrères de TicPharma, « des travaux pour une mise en œuvre à l’horizon 2025 », le temps pour les clouders français et européens de combler « l’écart » entre leurs solutions et celles d’Azure. Et si plusieurs fournisseurs français de cloud comme OVHCloud contestent cette vision des choses, estimant que l’absence d’alternative européenne ou française est un mythe, l’appel d’offres tant attendu pour prendre la suite de Microsoft Azure n’a toujours pas été publié, ce 20 janvier 2024.
Cela n’a toutefois pas empêché nombre d’entre eux de se positionner comme candidats pour prendre la suite de Microsoft Azure. Sur le marché du cloud aujourd’hui, on trouve OVHCloud, Cloud Temple, Numspot (avec 3DS Outscale, filiale de Dassault Systèmes), Worldline, ainsi que les solutions hybrides (franco-américaines) comme Bleu (Capgemini, Orange et Microsoft) et S3NS (Thalès et Google). Cette question de l’hébergement souverain, un véritable « caillou » dans la chaussure du HDH, va avoir des conséquences sur le fonctionnement de la plateforme.
4 – Un fonctionnement au ralenti
Comment les choses fonctionnent-elles au sein du Health Data Hub ? Aujourd’hui, lorsque les chercheurs du secteur public ou privé veulent accéder à certaines données de santé des Français, ils doivent soumettre une demande au HDH. Chaque demande, appelée projet, doit être approuvée par la CNIL, ainsi que par un comité scientifique et éthique. En cas positif, le HDH, qui joue un rôle de guichet unique, récupère les données demandées auprès de chaque structure. C’est seulement à ce moment-là que les chercheurs lancent leurs algorithmes, et que l’analyse des données par l’IA commence.
Or, un tel processus prend du temps, trop de temps. Aujourd’hui, plus de quatre ans après son lancement, la plateforme fonctionne au ralenti. Un point que regrette Cédric Villani, qui était interviewé chez nos confrères de TrenchTech en septembre dernier. Selon le mathématicien, il faudrait « entre sept à huit mois » aux équipes de recherches pour accéder aux données de santé : avec de telles « procédures obsolètes », « les start-up ont le temps de faire faillite », estime-t-il. De nombreuses équipes jetteraient l’éponge face à la longueur des délais.
Pour les réduire, le HDH avait demandé que la structure puisse récupérer en amont les data de plusieurs bases de données, donc celles du Système national des données de santé (SNDS), ce qui permettrait au HDH de répondre plus rapidement aux différentes demandes. Mais face à la polémique, le HDH, en « accord avec le ministère des Solidarités et de la Santé » d’Olivier Véran, a finalement retiré, en janvier 2022, sa demande formulée en ce sens auprès de la CNIL. Pendant près de deux ans, le sujet est en stand-by, et la plateforme est encore et toujours en mode pilote, même si elle a mis en œuvre des dizaines de projets de recherches.
5 – Le temps des échanges techniques entre clouders et HDH
Mais en 2023, les choses avancent, en coulisse. Des débats mouvementés ont lieu pendant l’adoption du projet de loi SREN. La Dinum, la direction interministérielle du numérique, a mis en place un « démonstrateur » dans lesquels les clouders français évaluent leur capacité à répondre aux besoins des ministères, des opérateurs de l’État, mais aussi du HDH.
A lire aussi : Quel est cet article 10 Bis A qui met le bazar dans le projet de loi pour sécuriser l’espace numérique (SREN) ?
À la fin de l’année, une « consultation » a lieu, pilotée par la Délégation du Numérique en Santé (DNS), une branche du ministère de la Santé chargée des chantiers de e-santé, et impliquant le HDH, la Dinum, et l’ANS, l’Agence du numérique en Santé. Les solutions proposées par trois clouders français, OVH Cloud, Numspot et Cloud Temple, sont évaluées pour l’hébergement d’un projet équivalent au HDH, mais au niveau européen – l’espace européen des données de santé (EHDS).
Et si aucun d’entre eux ne semble avoir répondu aux attentes du HDH – l’hébergement de ce projet chez Microsoft Azure aurait été validé, ce qui n’a pas encore été confirmé officiellement – la plateforme partage avec ces trois clouders français ses exigences techniques. À l’issue de cette évaluation, le HDH se serait engagé à revenir vers les candidats français en décembre prochain, l’idée étant de dresser l’état des lieux des progrès réalisés, nous précisait au début du mois Sébastien Lescop, à la tête de Cloud Temple.
A lire aussi : Health Data Hub : le cloud français est passé sur le grill… pour mieux faire gagner Microsoft ?
Et tout récemment, le 18 janvier 2024, un rapport gouvernemental, commandé le 31 mai 2023 par les ministères de l’Economie, de la Santé et de la Recherche, a été publié. Il préconise de « programmer l’arrêt de l’hébergement sur Azure de la plateforme du HDH et (le lancement des) travaux pour l’hébergement du HDH sur un cloud qualifié SecNumCoud, à horizon de 24 mois », une échéance qualifiée « d’ambitieuse mais de crédible à ce stade ». Le texte recommande aussi que cet arrêt soit « acté publiquement, à un niveau politique ».
En d’autres termes, il faudrait désormais une réelle décision politique pour que la migration soit actée, et que le HDH cesse de fonctionner au ralenti. Cette préconisation sera-t-elle suivie, et ce nouveau délai de deux ans sera-t-il respecté ? Pour Michel Paulin, le directeur d’OVHCloud, l’enjeu est capital. « Notre conviction très forte, c’est que les données, l’accès aux données, la protection des données, c’est quelque chose d’aussi important que l’accès aux ingrédients d’alimentation ou que l’accès à l’énergie », avançait-il début janvier, interrogé par 01net. Pour le dirigeant, il est grand temps d’avoir « une vision géostratégique de ces sujets-là, pour garantir une autonomie stratégique de la France, et de l’Europe ».
🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.