Une fuite gigantesque. Alors que 33 millions de numéros de Sécurité sociale et d’informations d’état civil ont été piratés chez les gestionnaires du tiers payant, suscitant l’inquiétude dans la population, quelques semaines auparavant, une nouvelle pourtant cruciale pour nos données de santé n’a pas rencontré le même écho.
Le 21 décembre 2023, la Commission nationale de l’informatique et des libertés (Cnil) a rendu une délibération (parue le 31 janvier au Journal officiel) autorisant la création d’un entrepôt de données de santé baptisé EMC2 pour trois ans. Mis à disposition de l’Agence européenne des médicaments pour un projet de recherche visant à mesurer, notamment, les effets secondaires des traitements, il sera hébergé par le Health Data Hub, la plateforme de centralisation des données de santé françaises.
Cet entrepôt sera alimenté par les dossiers médicaux des patients hospitalisés en médecine, chirurgie ou obstétrique à partir de 2022 aux Hospices civils de Lyon et au centre Léon-Bérard, au centre hospitalier universitaire de Nancy et à la fondation hôpital Saint-Joseph à Paris, mais aussi par leurs données de remboursements et de soins, issues du Système national des données de santé (SNDS).
Des données soumises à la législation extraterritoriale américaine
Ce transfert doit permettre d’expérimenter le traitement massif des datas de l’Assurance-Maladie par des chercheurs. Mais, depuis cette décision de la Cnil, des inquiétudes planent sur leur sécurité. Car ces données, sensibles et hautement convoitables, seront hébergées sur des serveurs Microsoft Azure.
Ces données pseudonymisées – c’est-à-dire traitées pour éviter la reconnaissance mais dont la technique n’est pas infaillible à 100 % si on les croise – seront entreposées sur des data centers en France. En revanche, elles seront soumises à la législation extraterritoriale américaine.
Dans sa délibération, la Cnil estime que la loi d’adéquation du droit européen avec celui états-unien, le Data Privacy Framework, assure un niveau de protection adéquat. Mais le régulateur pointe également que « les données stockées par un hébergeur soumis à un droit extra-européen peuvent être exposées à un risque de communication à des puissances étrangères ».
Depuis 2008, la section 702 de la loi américaine Fisa (Foreign Intelligence Surveillance Act) permet notamment aux agences de renseignements (CIA, FBI, NSA) d’accéder aux données personnelles des étrangers. Dans un communiqué, la CGT souligne qu’elle « approuve la recherche médicale au bénéfice des populations à travers, en l’occurrence, ici, de l’intelligence artificielle (IA), mais rejette totalement la manipulation des données par des puissances extérieures ».
Bernard Benhamou, secrétaire général de l’Institut de souveraineté numérique, pointe que « 30 000 demandes d’interceptions de données ont déjà été adressées au Fisa dans le secret le plus absolu. Seules 11 ont été refusées. Or, les données de santé sont un enjeu économique majeur pour l’intelligence économique, mais aussi le renseignement. C’est un outil de surveillance sans précédent car elles analysent une personne avec un degré de précision infini ».
Selon lui, « si Microsoft n’a pas le droit d’y accéder, il détient en revanche une des clés de chiffrement pour des questions de maintenance ». Pour Adrien Parrot, président de InterHop, association qui promeut l’utilisation de logiciels libres pour la santé, la décision de la Cnil est d’autant plus alarmante que « celle-ci signale elle-même ce risque de divulgation non souhaitée ! Le secret médical peut s’en retrouver affaibli. Une de nos libertés fondamentales ne serait plus garantie ».
En 2019, Microsoft Azure déjà considéré comme problématique
Visiblement poussé à autoriser ce projet au plus vite, le régulateur déplore au passage « qu’aucun prestataire susceptible de répondre actuellement aux besoins exprimés (…) ne protège les données contre l’application de lois extraterritoriales de pays tiers » et « regrette que la stratégie mise en place pour favoriser l’accès des chercheurs aux données de santé n’ait pas fourni l’occasion de stimuler une offre européenne à même de répondre à ce besoin ».
À ce propos, en 2019, la création du Health Data Hub, dont la mise en route a été accélérée par le Covid, était censée centraliser les données de santé françaises. S’il fonctionne aujourd’hui au ralenti, c’est que la Cnil n’a pas donné l’autorisation du transfert de l’intégralité des données, et pour cause : l’hébergeur choisi à l’époque, Microsoft Azure, le même que pour l’actuel projet EMC2, était déjà considéré comme problématique. Face à ce risque, fin 2020, Olivier Véran, alors ministre de la Santé, s’était engagé à faire migrer cette plateforme vers une solution française ou européenne d’ici deux ans. Finalement, cela ne sera pas avant l’horizon 2025.
« Les grands acteurs du cloud, Amazon, Google et Microsoft, ont pour objectif de créer des services captifs, c’est-à-dire qu’ils proposent toute une série de services qu’il sera difficile de reproduire ailleurs. »
Bernard Benhamou, secrétaire général de l’Institut de souveraineté numérique
« Nous ne sommes pas hostiles au Health Data Hub mais il faut avoir toutes les assurances possibles en matière de sécurité ! tranche Bernard Benhamou. Le gouvernement a choisi Microsoft car c’était la solution de facilité alors qu’il existe d’autres acteurs comme OVH, Dassault, ou qu’on pourrait envisager une plateforme publique française ou européenne. » Adrien Parrot, d’InterHop, lui, ne comprend pas « l’acharnement d’Emmanuel Macron à poursuivre dans cette voie. Aucun système n’est infaillible. Cette centralisation des données est dangereuse. Nous sommes favorables au fait de mener des recherches délocalisées dans les hôpitaux, et de les mettre en commun. Mais pour cela, il faudrait revoir à la hausse les crédits alloués aux structures de santé ».
L’enjeu est de taille car ces outils (EMC2 et Health Data Hub) préfigurent le futur espace européen des données de santé. « Les grands acteurs du cloud, Amazon, Google et Microsoft, ont pour objectif de créer des services captifs, précise Bernard Benhamou, c’est-à-dire qu’ils proposent toute une série de services qu’il sera difficile de reproduire ailleurs. Or, une fois Microsoft Azure adopté dans une Europe à 27, il sera encore plus difficile de rétropédaler. »
La vigilance est d’autant plus de mise que, depuis la pandémie, les Big Tech se sont jetées à corps perdu dans le soin et, surtout, la prévention. Selon le décompte du site d’information Mind Health, en 2022, les Gafam ont lancé ou se sont associés à 131 initiatives dans le domaine de la santé.
Infiltré dans tous les pores du secteur
En 2021, Microsoft avait ainsi racheté Nuance, entreprise d’intelligence artificielle et de reconnaissance vocale, qui a depuis lancé une application pour transcrire automatiquement les notes lors des consultations médicales. Dans les faits, les Big Five se sont déjà infiltrés dans tous les pores du secteur. « L’Institut Curie fait notamment la publicité de Microsoft Teams, explique Adrien Parrot. Ils s’en servent pour les réunions de concertation pluridisciplinaires, en visioconférence, durant lesquelles ils échangent sur les patients. »
Dans ce contexte, les données de santé constituent donc une mine d’or. « Contrairement aux Américains, qui ont différents régimes sociaux en fonction des régions et des assurances privées, nous avons la Sécurité sociale, une des bases parmi les plus précises au monde et qui compte 67 millions de personnes », déroule Bernard Benhamou.
Ces datas, entreposées dans des clouds, sont potentiellement un puits d’informations pour la recherche. Mais aussi des terrains de jeux indispensables pour le développement et l’entraînement des intelligences artificielles dont les Gafam ont besoin pour nourrir leur croissance. En 2021, la Tribune rappelait que la santé était une industrie qui pesait 3 700 milliards de dollars rien qu’aux États-Unis.
Cette question de la sûreté et de la confidentialité s’avère d’autant plus centrale que ces données sont désormais partout : dans les objets connectés, comme la montre d’Apple qui produit des électrocardiogrammes ou encore sur Facebook, lorsqu’une personne « like » une page pouvant laisser des traces numériques sur une éventuelle pathologie. Face aux dangers qui se profilent, l’Internet Society France, organisation de protection des utilisateurs d’Internet, a contesté la décision de la Cnil en déposant un recours devant le Conseil d’État.