Le conseil d'administration de l'Assurance Maladie exprime aussi des réserves sur le rôle que joue Microsoft dans le Health Data Hub. Et suggère qu'il faudrait plutôt une entreprise européenne ou française pour héberger un service aussi sensible.

Le temps passe et le rôle qu’occupe Microsoft dans l’hébergement des données de santé en France semble faire de plus en plus l’unanimité contre lui. Cette fois, c’est l’Assurance Maladie qui a pris position : le 19 février, son conseil d’administration a délibéré pour juger que la présence de cette entreprise américaine — qui n’est pas directement nommée — dans le Health Data Hub constitue un problème.

« Les conditions juridiques nécessaires à la protection de ces données ne semblent pas réunies pour que l’ensemble de la base principale soit mise à disposition d’une entreprise non soumise exclusivement au droit européen […] indépendamment de garanties contractuelles qui auraient pu être apportées », écrivent les administrateurs de la Caisse nationale d’Assurance maladie.

Le conseil ajoute que « seul un dispositif souverain et uniquement soumis au Règlement général sur la protection des données permettra de gagner la confiance des assurés ». Mais, faute d’alternative immédiatement prête à prendre le relai, les données accessibles dans le cadre du Health Data Hub le seraient « au cas par cas », et seulement pour de la recherche sur le coronavirus.

Health Data Hub
L’accueil du Health Data Hub.

La séparation avec Microsoft est déjà planifiée

Le Health Data Hub est la nouvelle plateforme nationale pour les données de santé. Or les données de santé sont par essence des données sensibles. Compte tenu des projets de connexion de bases de données de santé entre elles à des fins de recherche et d’innovation sanitaire, un processus d’anonymisation est prévu, de façon à protéger les personnes dont les informations sont utilisées.

Dans les faits, il est d’ores et déjà prévu de quitter Microsoft — qui avait été sélectionné sans appel d’offres début 2019 — d’ici deux ans. C’est ce qu’a promis Olivier Véran, le ministre de la Santé, en novembre dernier. La France a précédemment pris des mesures réglementaires pour éviter tout transfert à l’étranger. Un prestataire français sera choisi à la place de Microsoft, via un appel d’offres.

Cet hébergement par une entreprise française est motivé par des enjeux de souveraineté — même si Microsoft utilise un data center aux Pays-Bas pour le Health Data Hub, afin de se conformer au plus près des exigences juridiques de l’Union européenne. Parmi les sociétés qui pourraient se positionner figure par exemple OVHCloud, qui a justement reçu en janvier une certification pour héberger des données sensibles.

Partager sur les réseaux sociaux

La suite en vidéo