La demande d’autorisation formulée par le gouvernement auprès de la Cnil pour le Health Data Hub a été retirée. Un coup d’arrêt pour ce projet de centralisation des données de santé des Françaises et Français.

La nouvelle a été annoncée avec fracas par le compte Twitter du collectif InterHop ce vendredi 7 janvier 2022 : le gouvernement a retiré la demande de déploiement du Health Data Hub formulée auprès de la Commission nationale de l’informatique et des libertés (Cnil). Une information confirmée à Numerama le soir même par le gendarme du numérique. Un coup de frein, mais l’existence de cet entrepôt de données de santé n’est pas remise en cause.

Un projet de centralisation des données de santé françaises

Le Health Data Hub est un projet titanesque de centralisation des données de santé françaises au sein d’un seul et unique entrepôt de données. Lancé au début du quinquennat d’Emmanuel Macron, son objectif est de pouvoir, à terme, croiser différentes bases de données à des fins de recherches. Des données médico-administratives d’abord, puis génomiques, cliniques, hospitalières, etc.

L’idée d’un Health Data Hub est d’abord formulée dans le rapport sur l’intelligence artificielle du député ex-LREM Cédric Villani publié en 2018. Le déploiement du projet commence ensuite en 2019, avec pour horizon une mise en place en 2022. Avec la pandémie de Covid-19, des mesures dans la loi d’état d’urgence sanitaire permettent aussi une accélération du Health Data Hub et une incorporation des données de l’épidémie dans ce dernier.

Un fonctionnement pour l’instant marginal

Le projet est donc déjà partiellement en route. Comme l’expliquait le Health Data Hub sur son site dans un communiqué publié le 23 décembre 2021, pour les deux ans de son lancement, le « Health Data Hub accompagne aujourd’hui 55 projets et une dizaine accèdent, ou sont sur le point d’accéder, à la plateforme technologique. Si les premiers projets n’ont pas encore la maturité suffisante pour apporter à ce jour un bénéfice concret dans la prise en charge des patients, de premières étapes significatives ont été franchies« .

Derrière les éléments de langage, le Health Data Hub n’est pas encore l’entrepôt de données qu’il projette de devenir. C’est cette demande à la Cnil — précisément celle qui a été retirée — qui devait lui permettre d’avoir les moyens de ses ambitions : la centralisation du plus de données de santés possibles.

D’abord les données du système national des données de santé (SNDS). Une base qui comprend les données de l’Assurance Maladie, les données des hôpitaux, les causes médicales de décès avec les données de l’Inserm et enfin les données relatives au handicap en provenance des Maisons départementales des personnes handicapées (MDPH) et des données de la Caisse nationale de solidarité pour l’autonomie (CNSA). Rien que ça.

Également d’autres bases de données, aujourd’hui moins accessibles, que le Health Data Hub englobe sous l’appellation de « catalogue » . D’après les informations du média spécialisé TICpharma, 43 autres bases étaient pressenties pour êtes ajoutées à l’entrepôt selon une liste encore non définitives. Comme le précise le site du Health Data Hub, la liste définitive doit être fixée par un arrêtée, encore à paraître.

Mais pour le dire simplement, le Health Data Hub n’est pour l’instant qu’une base d’échange pour certaines bases de données, auxquelles seulement une dizaine de projets (toujours selon le site du Health Data Hub) plus ou moins aboutis accèdent. Il y a, par exemple, seulement 3 bases de données dans le « catalogue », qui projette donc d’en contenir 40 de plus. Le fait que la demande Cnil ait été retirée marque donc un frein dans l’évolution du projet, que sa directrice qualifie néanmoins sur Twitter de « parfaitement vivant ».

Craintes et critiques sur l’hébergement des données

Comme l’a confirmé la Cnil au média spécialisé Mind Health, la demande a même été retirée plus tôt par le ministère de la Santé, le 20 décembre 2021. Comment comprendre ce choix du gouvernement? Adrien Parrot est médecin anesthésiste réanimateur et informaticien, membre fondateur d’InterHop. Un collectif qui rassemble différents acteurs du monde de l’informatique dans le secteur hospitalier, et qui milite depuis plusieurs années contre certaines modalités de mises en place du Health Data Hub.

Adrien Parrot interprète ce retrait comme « lié, à priori, au contexte politique. Les élections se rapprochent et le sujet monte, on parle beaucoup de la protection des données. […] Mais aussi parce que risquer un refus d’autorisation de la Cnil du projet en l’état est un vrai risque politique ».

Un risque de rejet qui était loin d’être un fantasme car un point technique du Health Data Hub est critiqué depuis le début du projet : le choix d’un hébergeur américain, Microsoft Azure, pour le stockage de ces données de santé. Même si les serveurs doivent être en Europe, aux Pays Bas, le risque d’exports de données que pose le droit américain, notamment à l’égard du transfert d’informations sur le sol US que permettent le Foreign Intelligence Surveillance Act (Fisa) et l’Executive Order 12 333, inquiète jusqu’à la Cnil dans ses observations fournies au conseil d’État.

Dans un avis publié le 9 février 2021, le gendarme du numérique explicite « son souhait que son hébergement et les services liés à sa gestion puissent être réservés à des entités relevant exclusivement des juridictions de l’Union européenne », en s’appuyant notamment sur les risques que pose l’hébergement de données de santé par une société américaine comme Microsoft Azure.

Cédric O a confirmé ce jeudi 20 janvier 2022 que le choix d’un hébergeur pour le Health Data Hub qui n’est pas soumis au droit américain ne se fera « pas avant la présidentielle ». La décision est donc renvoyée la seconde moitié de 2022. Ce qui ne laisse que peu de marge pour tenir l’engagement pris (dans un courrier adressé à la Cnil) par le ministre de la Santé Olivier Veran en novembre 2020 de mettre un terme à l’hébergement du projet par Microsoft d’ici deux ans.

Mise à jour 13 janvier 2022 : correction des lois US sur le transfert d’information sur le sol US

Mise à jour 13 janvier 2022 16h25 : ajout de précisions concernant les bases du « catalogue » avec les informations de TICpharma

Mise à jour du 20 janvier 2022 : ajout des déclarations de Cédric O