|
|
| (15 versions intermédiaires par le même utilisateur non affichées) |
| Ligne 1 : |
Ligne 1 : |
| | [[Catégorie:Transcriptions]] | | [[Catégorie:Transcriptions]] |
| | | | |
| − | '''Titre :''' Nos données de santé, c'est de l'or pour ceux qui peuvent y accéder
| + | Publié [https://www.librealire.org/nos-donnees-de-sante-c-est-de-l-or-pour-ceux-qui-peuvent-y-acceder ici] - Février 2024 |
| − | | |
| − | '''Intervenant·e·s :''' Arnaud Coustillière - Philippe Latombe - Tariq Krim - Guilhem Lettron - Delphine Sabattier
| |
| − | | |
| − | '''Lieu :''' Podcast <em>Politiques Numériques</em>, alias POL/N
| |
| − | | |
| − | '''Date :''' 9 février 2024
| |
| − | | |
| − | '''Durée :''' 46 min
| |
| − | | |
| − | '''[https://audio.ausha.co/aKDGZHwvk5QO.mp3 Podcast]'''
| |
| − | | |
| − | '''[https://podcast.ausha.co/politiques-numeriques/nouvel-episode-du-09-02-15-32 Présentation du podcast]'''
| |
| − | | |
| − | '''Licence de la transcription :''' [http://www.gnu.org/licenses/licenses.html#VerbatimCopying Verbatim]
| |
| − | | |
| − | '''Illustration :''' À prévoir
| |
| − | | |
| − | '''NB :''' <em>transcription réalisée par nos soins, fidèle aux propos des intervenant·e·s mais rendant le discours fluide.<br/>
| |
| − | Les positions exprimées sont celles des personnes qui interviennent et ne rejoignent pas nécessairement celles de l'April, qui ne sera en aucun cas tenue responsable de leurs propos.</em>
| |
| − | | |
| − | ==Transcription==
| |
| − | | |
| − | <b>Delphine Sabattier : </b>Bonjour à tous. Un épisode qui est consacré à une décision politique, touchant un choix technologique, en fait un choix technologique très politique, on va le comprendre, je veux parler de cette délibération de la CNIL, qui ne passe pas, donnant son feu vert à la création d'un entrepôt de données de santé qui sera hébergé chez Microsoft. Une autorisation qui pose à nouveau cette question de notre totale dépendance aux acteurs américains du numérique.<br/>
| |
| − | Je suis Delphine Sabattier, je vais vous présenter tout de suite mes invités autour de la table.<br/>
| |
| − | Un politique engagé d'abord, le député Modem de Vendée, commissaire de la Commission nationale de l'informatique et des libertés, la CNIL, Philippe Latombe, qui n'en reste pas moins en colère face à cette décision, n'est-ce pas ?<br/>
| |
| − | L'amiral Arnaud Coustillière nous a rejoints également, président du Pôle d'excellence cyber.<br/>
| |
| − | Autour de la table, aussi, le défenseur de la souveraineté numérique depuis une vingtaine d'années, Tariq Krim, dont on peut suivre des analyses sur cybernetica.fr. Bonjour Tariq. Bonjour Amiral.<br/>
| |
| − | Et puis l'ingénieur français, expert du <em>cloud</em>, indépendant, Guilhem Lettron, qui nous fait le plaisir d'être ici. Je suis très contente parce que vous avez participé à la conception de l'infrastructure technique du Health Data Hub dont on va beaucoup parler, cette plateforme des données de santé hébergée chez Microsoft.<br/>
| |
| − | Et puis il n’est pas autour de la table, mais il n'en est pas moins remonté sur le sujet. Je propose qu'on écoute tout de suite le plaidoyer de maître Haas.
| |
| − | | |
| − | <b> Maitre Gérard Haas, voix off : </b>La CNIL, gendarme des données personnelles, vient de donner son feu vert au fait que Microsoft puisse héberger nos données de santé et celles des Européens. Autrement dit, l'autorité française, valide le choix d'un fournisseur américain de <em>cloud</em>, en l'espèce Microsoft, dans le cadre du projet d'entrepôt européen de données de santé appelé EMC2. C'est pathétique ! Dans cette décision, qui s'appuie sur l'évaluation faite par l'administration française, qu’aucun clouder français ou européen n'arrivait au niveau de Microsoft, car aucune des trois sociétés clouder en balance, OVHcloud, NumSpot, Cloud Temple, n'offrait des solutions de <em>cloud</em> suffisamment avancées pour remplacer Microsoft.<br/>
| |
| − | Cette décision pèse sur trois risques qu'elle ne neutralise pas, mais, au contraire qu'elle augmente.<br/>
| |
| − | Le risque de dégradation de notre indépendance numérique. Adieu souveraineté !<br/>
| |
| − | Le risque extraterritorial de sécurité du fait de la divulgation, sans garde-fou, de nos données de santé.<br/>
| |
| − | Et puis un risque économique de réversibilité de migration des données dans trois ans, nous rendant otages d'une plateforme qui contrôle et définit les prix du <em>cloud</em>.
| |
| − | | |
| − | Pourtant, j'observe que la doctrine de l'État français, de la CNIL, imposait le choix d'un fournisseur de <em>cloud</em> non soumis aux lois extraterritoriales pour des données de santé, données, rappelons-le, classées comme sensibles et qui ont un caractère stratégique.<br/>
| |
| − | Alors c'est c'est la douche froide ! Pour tous ceux qui défendent la souveraineté numérique, c'est-à-dire notre indépendance.<br/>
| |
| − | En effet Microsoft, en tant que société américaine, est soumise aux lois extraterritoriales des États-Unis, d'où le risque que nos données de santé puissent être accessibles aux services de renseignement américains, en vertu du <em>CLOUD Act</em> ou de la FISA, que cette validation soit limitée à trois ans.<br/>
| |
| − | Comment, désormais, se détacher à court terme, voire à moyen terme, des offres des acteurs américains ? Le coût d'une migration sera le prix à payer de notre souveraineté. Est-ce vraiment acceptable ?
| |
| − | | |
| − | La CNIL a beau jeu de regretter cette situation, on dira même que dans la balance des intérêts innovation/protection elle a été pragmatique parce qu’il n'y avait pas d'autre solution en face. Mais je pense que l'occasion de faire monter en gamme l'offre française ou européenne d'un <em>cloud</em> souverain via la commande publique, vient tout simplement d'être manquée.
| |
| − | | |
| − | <b>Delphine Sabattier : </b>Occasion manquée. Est-ce que vous trouvez cette décision de la CNIL pragmatique ou pathétique ? Qui veut commencer. Monsieur le Député.
| |
| − | | |
| − | <b>Philippe Latombe : </b>Je vais peut-être commencer, avec deux avec deux garde-fous préalables.<br/>
| |
| − | Le premier, c'est que je n'ai pas participé à la décision de la CNIL puisque je me suis déporté au moment de cette décision, d'abord parce que je voulais pouvoir la critiquer et puis, surtout, parce qu’il y a du transfert de données et, depuis que j'ai attaqué le DPF devant le tribunal de l'Union, chaque fois qu'il y a une décision qui parle de cela, je me déporte.
| |
| − | | |
| − | <b>Delphine Sabattier : </b>Le DPF, c’est ce bouclier qui permet de garantir qu’on est protégé par un accord juridique dans le cadre des transferts de données entre les États-Unis et l’Europe.
| |
| − | | |
| − | <b>Philippe Latombe : </b>C'est un accord d'adéquation disant que les données personnelles sont traitées de la même façon et au même niveau de sécurité et de protection juridique des deux côtés de l'Atlantique, qu’on peut donc les envoyer d'un côté à l'autre.<br/>
| |
| − | La CNIL a pris une décision qui est une décision juridique. C'est là où je ne suis pas tout à fait d'accord avec l'intervenant précédent : la CNIL n'a pas le choix. Elle dit qu’elle regrette la situation parce qu'elle est obligée de la prendre. Elle est obligée de la prendre parce qu'il y a le DPF, donc qu’on ne peut pas s'opposer et la CNIL n'a pas le pouvoir de s'opposer au DPF.
| |
| − | | |
| − | <b>Delphine Sabattier : </b>Elle le regrette parce que, en fait, il était plutôt prévu, à l'origine, que l'on confie nos données de santé à un acteur qui serait certifié SecNumCloud, donc, qui serait immunisé contre toute loi extraterritoriale ?
| |
| − | | |
| − | <b>Philippe Latombe : </b>On va revenir sur l'historique. Mais oui la CNIL regrette parce qu’il a toujours été dit que le HDH serait hébergé en souverain, depuis le début, depuis sa conception.
| |
| − | | |
| − | <b>Delphine Sabattier : </b>Et, depuis le début, ce n'est pas le cas quand même !
| |
| − | | |
| − | <b>Philippe Latombe : </b>Et, depuis début ce n'est pas le cas. D'ailleurs, il y a eu une contestation au Conseil d'État et le Gouvernement, à plusieurs reprises, a promis aux parlementaires, à l'Assemblée et au Sénat, avec deux ministres différents, puis au Conseil d’État, puis à la CNIL, qu’il y aurait une réversibilité, disant « à partir de 2020, d'ici 18 mois, il y aura une réversibilité ». 2022 est passée, pas de réversibilité, 2024, il n’y a toujours rien et là on nous dit « acceptez que ça soit chez Microsoft parce qu'on n'a surtout pas envie que ça soit ailleurs, parce que ce n'est pas facile, pour nous, de le gérer de cette façon-là — parce que ça revient à ça quand même — et on envisagera une réversibilité dans trois ans ». La CNIL a pris la seule marge de manœuvre qu'elle avait : la demande d'autorisation était une demande d'autorisation pour dix ans et la CNIL s'est appuyée sur le rapport qu'elle n'a pas le droit de contester de la mission qui dit qu’il n'y a pas d'hébergeur possible du niveau de Microsoft ou de AWS et elle dit « vous nous dites, dans le rapport, que dans trois ans ça sera le cas, donc on limite l'autorisation à trois ans. » Elle a utilisé, juridiquement, la seule marge de manœuvre qu'elle avait.<br/>
| |
| − | Maintenant, quand on lit la décision du début jusqu'à la fin, il y a des clés, il y a des serrures pour pouvoir attaquer cette décision.<br/>
| |
| − | Elle regrette le choix, elle dit que jamais au grand jamais il n'avait été prévu d'aller sur ce type de support, qu’on lui avait promis, un certain nombre de fois, que ça ne serait pas le cas. Et elle dit même, et c'est très important, c'est une clé pour le Conseil d'État et éventuellement pour ceux qui voudraient y aller, que le DPF n'empêche pas les services américains de pouvoir récupérer les données et les utiliser. Ce qui est vrai, d'ailleurs, dans le nouvel <em>executive order</em> de Biden. Il y a un nouveau motif, qui est le motif de pandémie, qui permet de faire de la récolte en masse d'informations. Qu'est-ce que la pandémie quand on a des données de santé ? C'est une concordance assez bizarre.
| |
| − | | |
| − | <b>Delphine Sabattier : </b>Vous, vous êtes opposé à ce DPF, à cet accord, mais la CNIL non.
| |
| − | | |
| − | <b>Philippe Latombe : </b>Elle ne peut pas, elle n'a pas loi le droit. Le DPF s'impose à la CNIL. Le DPF est un accord qui a été signé entre la Commission européenne et les États-Unis, c’est du domaine réglementaire de la Commission, donc, en droit français, il est de niveau supérieur à la loi.
| |
| − | | |
| − | <b>Delphine Sabattier : </b>Il faudrait qu'il ait une mobilisation des CNIL européennes pour imposer le RGPD. La question c'est : est-ce que c'est compatible avec le RGPD ?
| |
| − | | |
| − | <b>Philippe Latombe : </b>Non, ce n'est même pas possible ! La seule façon de pouvoir le prouver dorénavant, sauf à ce que le tribunal de l'Union me donne raison et accepte qu'on puisse en discuter devant le tribunal, c'est d'aller devant la Cour de justice de l'Union pour faire une invalidation de ce DPF, comme on a une invalidation du <em>Safe Harbor</em> et du <em>Privacy Shield</em>. C'est la seule possibilité juridique. Les CNIL, contrairement à ce que tout le monde dit, n'ont pas la possibilité de faire une question préjudicielle à la Cour de justice de l'Union, on doit passer par l'ordre juridictionnel le plus élevé dans chacun des pays et, en France, c’est le Conseil d'État ou la cour de cassation, mais ça ne concerne pas la la CNIL. Donc, la seule solution d'invalider le DPF c'est de demander au Conseil d'État de statuer sur la décision de la CNIL. Je ne doute pas une seule seconde qu'il y aura, dans les deux mois qui viennent, des dépôts de référé-suspension devant le Conseil d'État.
| |
| − | | |
| − | <b>Delphine Sabattier : </b>Je voulais quand même qu'on revienne sur le projet, au départ, puisque c'est important de situer le contexte : de quoi parle-t-on, pourquoi cette polémique autour de l'entrepôt de données de santé, qui est important, qui est un projet, à l'origine, de l'Agence européenne du médicament qui souhaite travailler sur une nouvelle façon de surveiller la prise en charge des patients, pour cela elle a besoin de davantage de données. On est dans le cas d’un contexte européen et une partie de ce projet va s'appuyer sur des données françaises, détenues notamment par la Cnam, et nécessite la création d'un entrepôt de données de santé qui sera hébergé sur ce qu'on appelait le Health Data Hub.<br/>
| |
| − | Expliquez-nous, Guilhem. Vous vous êtes engagé sur ce Health Data Hub au tout début du projet.
| |
| − | | |
| − | <b>Guilhem Lettron : </b>Pas exactement au tout début. Je suis arrivé juste après la pandémie. Je vais déjà dire d'où je pars : je suis indépendant, je n'ai aucun lien, aujourd'hui, ni avec le HDH ni avec Azure ni avec aucun autre acteur.
| |
| − | | |
| − | <b>Delphine Sabattier : </b>Parce que votre contrat a pris fin il y a plus de deux ans.
| |
| − | | |
| − | <b>Guilhem Lettron : </b>Exactement, c’est ça, il y a plus de deux ans, je suis arrivé après la pandémie.
| |
| − | | |
| − | <b>Delphine Sabattier : </b>C'est bien, il n’y a plus de liens directs
| |
| − | | |
| − | <b>Guilhem Lettron : </b>Voilà ! Je ne vais pas donner des secrets industriels qui pourraient mettre en danger le HDH, mais on va pouvoir revenir, justement, sur cette partie sécurité.<br/>
| |
| − | Le HDH – et je parle vraiment de mon point de vue technique d'infra, de ce que j'en ai compris, donc il peut y avoir des incertitudes et des approximations – a comme but de mettre à disposition aux entreprises et aux chercheurs de la donnée pour pouvoir créer des modèles et, également, pouvoir analyser les données. En fait, il y a, derrière, un enjeu industriel pour l'État et pour toute l'économie française qui vient avec ça. On n'héberge pas les données des Français, la Cnam ne va pas utiliser le HDH directement, la Cnam continue d'avoir son entrepôt de données.<br/>
| |
| − | Le HDH est un hub, il y a les données de la Cnam et il y a également les données de plein d'autres centres de données, le but étant, pour les chercheurs, de recouper les données pour pouvoir analyser et trouver de nouveaux traitements à l'avenir ou des données statistiques.<br/>
| |
| − | Donc le projet c’est 2019, à peu près, on n'est pas encore dans le boom des IA. Aujourd’hui, on le voit avec ChatGPT depuis un an, la question des modèles est une question centrale. Si, demain, on enlève le HDH, si jamais demain on demande de repartir sur autre chose, ça veut dire repartir de zéro, ça veut dire des entreprises qui, aujourd'hui, sont sans données sur des patients français pour pouvoir créer des modèles qui vont permettre, demain, de soigner les Français.<br/>
| |
| − | En fait, le problème c'est qu'on est face à deux enjeux de souveraineté : la souveraineté industrielle des industries françaises du médicament et des chercheurs et cette souveraineté pseudo-numérique qui vient derrière.
| |
| − | | |
| − | <b>Delphine Sabattier : </b>Pseudo-numérique ! La souveraineté autour du <em>cloud</em> et de l'hébergement des données !
| |
| − | | |
| − | <b>Guilhem Lettron : </b>Exactement. Il faut voir que le HDH, c'est fait par des Français, des ingénieurs qui sont compétents et tout à fait à même de connaître tous ces sujets-là. Les données ne sont pas données de manière transparente aux acteurs, il y a bien sûr des garde-fous. En plus, on est dans la bonne journée pour ça, on a 30 millions de comptes, aujourd'hui, qui ont fuité depuis des mutuelles. Il faut voir que le milieu de la santé n'est pas un milieu, aujourd'hui, qui est très sécurisé, sécurisant, pour les données des patients.<br/>
| |
| − | Le but du HDH c'était justement de pouvoir garantir de la sécurité par rapport à ces hackers et par rapport à ça. Ça veut dire se protéger et de l'extérieur et de l'intérieur, et même se protéger des chercheurs. En fait, on donne des données à traiter à des chercheurs et ces chercheurs n'ont pas le droit de faire sortir les données. Il y a donc tout un travail qui est très compliqué. Je garantis à n'importe qui, qui fait de l’informatique, de mettre à disposition des données sans que ces données puissent sortir, c'est extrêmement compliqué, il y a énormément de procédures sécurisées, et je pense que c'est ça le problème qu'on a aujourd'hui, c'est que personne ne prend la mesure exacte du but du HDH : ce n'est pas d'héberger, c'est de traiter de la donnée.
| |
| − | | |
| − | <b>Delphine Sabattier : </b>Vous nous dites c'est qu’avec ce souci de souveraineté numérique, technologique, finalement on pénalise un projet bien plus grand, bien plus vaste. Je voudrais avoir une réaction. Amiral. L’argument de la cybersécurité ne peut pas vous échapper.
| |
| − | | |
| − | <b>Arnaud Coustillière : </b>Non. L'argument de la cybersécurité n'est pas un argument. Les vrais arguments sont ceux qui ont été exposés par Monsieur le Député Latombe, c’est l'extraterritorialité, ce sont les rapports. Les données de santé ont une valeur, ce bien pour cela qu’il y a des attaques contre elles dans tous les coins. Il ne faut pas se leurrer : ces données de santé c'est de l'or pour ceux qui peuvent y accéder. On est clairement dans de la compétition économique. On parle de souveraineté. On a déjà nos paysans qui sont dans la rue, c'est le même genre de choses, on a les affaires actuelles. J'étais hier avec Frédéric Pierucci qui a montré comment la machine administrative américaine, aussi, se déclenche dès qu'il y a des intérêts, qui montre aussi comment tous les services de renseignement américains, aujourd'hui, font de plus en plus d'efforts sur la guerre économique qui n’est pas nouvelle. Vous prenez les déclarations de monsieur François Mitterrand hier en 2014 : une guerre à mort, une guerre sans morts. À un moment donné, il faut que l'État français acte et puis assume un certain nombre de responsabilités. Vous prenez le rapport de 76 de Giscard d'Estaing sur l'informatisation de la société, relisez-le, tout est écrit, tout !, y compris les entrepôts de données. Vous prenez Cloudwatt, 2014, une bonne intention qui a été un échec.
| |
| − | | |
| − | <b>Delphine Sabattier : </b>Guilem a aussi travaillé sur Cloudwatt.
| |
| − | | |
| − | ==14’ 52==
| |
| − | | |
| − | <b>Guilhem Lettron : </b>J'ai aussi cette casquette-là, du <em>cloud</em> français souverain. On pourra justement discuter de cette partie du sujet.
| |
| − | | |
| − | <b>Arnaud Coustillière : </b>Tout à fait. Ça veut dire que l'État a lancé un certain nombre de choses, mais n'y est pas allé jusqu'au bout et finalement, aujourd'hui, on se retrouve dans une situation qui n’est pas meilleure que celle de 2010 ou 2012 quand on lançait les choses.
| |
| − | | |
| − | <b>Delphine Sabattier : </b>Donc, le plus gros danger c'est cette souveraineté technologique sur nos données de santé aussi. C’est ce que vous pensez Tariq ?
| |
| − | | |
| − | <b>Tariq Krim : </b>Pas nécessairement. Je pense que c'est un des sujets. Je voulais un peu revenir au cœur des enjeux.
| |
| − | | |
| − | <b>Delphine Sabattier : </b>Là c’est la question qu'on se pose : finalement ne privilégie-t-on pas, en attaquant cette décision, la question de la souveraineté technologique plutôt que la question de la sécurité ? C’est ce que nous dit Guilhem.
| |
| − | | |
| − | <b>Tariq Krim : </b>Je ne pens pas. Je vais rembobiner un tout petit peu.<br/>
| |
| − | Ce qui est très intéressant avec le Health Data Hub, puisque nous avons été nombreux, ici, à l'avoir suivi depuis le départ, c’est que, soyons clairs, au départ c'est une décision politique et une volonté d'utiliser une plateforme plutôt que d'autres. Pourquoi ? Et c'est une question très intéressante parce qu'on est quand même aussi à l'ère de la <em>Start-up Nation</em>, c'est-à-dire une ère où on a dépensé 25 milliards d'euros, mais on n’a absolument pas les briques nécessaires pour construire les éléments dont on parle.
| |
| − | | |
| − | <b>Guilhem Lettron : </b>25 milliards, ce n’est pas sur le HDH ! C’est en général. J’aurais aimé !
| |
| − | | |
| − | <b>Tariq Krim : </b>Oui, c’est 25 milliards sur les start-ups.
| |
| − | | |
| − | <b>Delphine Sabattier : </b>On va dire que c’est le financement de la French Tech.
| |
| − | | |
| − | <b>Tariq Krim : </b>C’est pour permettre à des jeunes sortis d'écoles de commerce de pouvoir faire leur première start-up et aussi, il faut le dire, d'avoir voulu transformer des services publics en services qui sont désormais automatisés, privatisés.<br/>
| |
| − | Il y a une vraie question qui me taraude avec le HDH. Vous vous rappelez les grandes privatisations qu'on a eues dans les années 80/90, aujourd'hui on ne privatise plus les entreprises, de toute façon la valeur n'est plus forcément là, mais on a des <em>assets</em> importants que sont nos données, qui ont une valeur très importante, l’Amiral vient de le rappeler, ça vaut de l'or. Elles sont bien structurées, elles sont mieux structurées que celles des États-Unis, tout simplement parce qu'on a une administration centrale qui a centralisé les sources là où, aux États-Unis il y a plusieurs acteurs. Quand on me dit que des entreprises vont avoir accès à ces données pour faire des choses, découvrir de nouveaux médicaments, ça a l'air super, la question que je me pose, c'est d’ailleurs une question que j'avais posée à l'époque à la directrice du HDS : en cas de découverte, est-ce que ces entreprises qui vont se créer, demain, seront rachetées par les boîtes américaines ? C’est-à-dire qu’on a mis à disposition, gratuitement, nos données pour permettre à une industrie de fonctionner.<br/>
| |
| − | Derrière la question de la souveraineté, je voudrais juste revenir sur un point dont on ne parle jamais.
| |
| − | On a eu deux sujets de loi on va dire très controversés, la loi sur les retraites et la loi sur l'immigration.<br/>
| |
| − | Je vais prendre la première, la loi sur les retraites. Aux États-Unis, on a un système qui est différent du système français. En gros, son argent de retraite est placé, ce qu’on appelle un <em<401</em>, à la bourse. Aujourd'hui, la croissance de la bourse c'est quoi ? Ce sont les Big Tech, ce qu'on appelle maintenant les <em>magnificent seven</em>. Ça veut dire qu'à chaque fois que les entreprises américaines gagnent de l'argent et augmentent, les retraites des Américains sont garanties. Trump a touché à plein de choses, mais il n'a jamais touché à ça. Nous avons un modèle qui est différent, nous avons un modèle par répartition. Je ne suis pas là pour parler du fond ou de la forme, je pense que c'est un modèle qui ne fonctionne que quand la nouvelle génération de gens qui arrivent sur le marché du travail a ce qu'Obama appelait les <em>good jobs</em>, des jobs bien payés, en général des jobs d'ingénieur, de développeur. La question qui se pose c'est qu'à chaque fois qu'on investit de l'argent dans ces boîtes, d'une certaine manière on garantit les retraites des Américains, alors que quand on investit dans des boîtes françaises, avec des ingénieurs français, qui sont payés en France, qui paient leurs impôts, donc qui cotisent à des retraites, on a un modèle qui préserve notre modèle de retraite.<br/>
| |
| − | On parlait des agriculteurs, on a exactement le même problème.<br/>
| |
| − | Que ce soit des terres labourées ou que ce soit des terres numériques, la question qui se pose c'est, une fois qu'on a créé de la valeur, où va cette valeur ? Et aujourd’hui on a dépensé énormément d’argent.
| |
| − | | |
| − | <b>Delphine Sabattier : </b>Cette valeur peut aller dans la recherche publique française, elle peut se retrouver entre les mains d'entreprises françaises dans le médicament, dans la santé.
| |
| − | | |
| − | <b>Tariq Krim : </b>Oui, mais dans la pratique, aujourd'hui, on a un modèle où tout doit être une start-up : l’État doit être une start-up, les entreprises doivent être des start-ups. Alors qu’on est en train de découvrir, dix ans après, avec le crash d'une grande partie de la <em>Start-up Nation</em> qui est en train de se passer, que tout ne peut pas être une start-up. Les start-ups sont des entreprises rares, j'en ai monté deux, qui ont un potentiel de croissance incroyable, avec des équipes techniques de qualité, qu'on est capable d'assembler, vous l'avez vu dans l'IA, tous les bons ingénieurs sont Français, on le voit avec Mistral et avec toutes les entreprises qui se créent, et on a voulu généraliser ce modèle. Je pense que c'est une erreur parce que, aujourd'hui, une des questions que je me pose c'est pourquoi cet argent n'a pas été utilisé pour développer les briques en France. Ça fait maintenant cinq ans, on nous dit à chaque fois « on n'a pas le temps, on a pas le temps », mais depuis maintenant cinq/dix ans on aurait pu développer des choses. Pour cela, il faut une vision technologique, une vision que, malheureusement, nous n'avons pas toujours au sein de l’État.
| |
| − | | |
| − | <b>Delphine Sabattier : </b>Justement. On a évoqué Cloudwatt, Synergy. On a quand même essayé de les créer ces briques !
| |
| − | | |
| − | <b>Tariq Krim : </b>C'est le contre-exemple intéressant. Je me permets d'intervenir rapidement. Au lieu de donner ça à des entreprises, à des entrepreneurs, à des petites entreprises, des gens qui ont la capacité technique, on a dit le <em>cloud</em> c'est de l'infrastructure, on va donner ça à Orange et SFR, alors que le <em>cloud</em> c'est du logiciel, et le logiciel ça veut dire du talent, donc il faut investir dans les gens qui ont le talent pour créer ce logiciel.
| |
| − | | |
| − | <b>Delphine Sabattier : </b>Il y avait du talent, il y avait Guilhem. Il y avait des ingénieurs autour es projets.
| |
| − | | |
| − | <b>Guilhem Lettron : </b>En fait, il va falloir écouter un peu, un jour, les ingénieurs qui peuvent en parler et qui ont été dedans.
| |
| − | | |
| − | <b>Delphine Sabattier : </b>Je vous voyais bouillir.
| |
| − | | |
| − | <b>Tariq Krim : </b>Il faut rappeler que tout a été vendu aux Chinois, c'est Huawei qui a récupéré une partie.
| |
| − | | |
| − | <b>Guilhem Lettron : </b>On peut revenir sur l'histoire de Cloudwatt, je peux vous la faire. Cloudwatt est un projet qui vient du projet Andromède, qui est donc la création d’un <em>cloud</em> souverain, justement pour ne pas mettre tous ses œufs dans le même panier – comme font les Américains notamment sur leur navette pour rejoindre l’ISS, le CCDF – prendre deux acteurs, SFR d'un côté, Orange/Thales de l'autre, donc on a deux acteurs qui partent.<br/>
| |
| − | Il faut voir que le projet Cloudwatt est le projet qui, techniquement, était sans doute le meilleur européen qui existait et l'est encore aujourd'hui si jamais il ressortait, c'est-à-dire en termes de sécurité, en termes de logiciels et en termes de fiabilité, en tout cas sur la fin.<br/>
| |
| − | On parlait tout à l’heure de dépense publique, sur mes souvenirs, à la fin, on avait une dépense publique d'à peu près 1000 euros, c'était en tout et pour tout la dépense publique qu’il y a eue. Donc Orange, à un moment, a décidé d'arrêter les frais, tout simplement d'un point de vue industriel. Huawei est arrivé en mettant de l'argent sur le tapis et Orange s’est dit, en effet, « on va prendre Huawei, OK, on part chez eux. » C'est un échec industriel. En fait, on aurait dû le soutenir comme on a soutenu d'autres projets qui étaient pourtant extrêmement décriés. Je parle souvent du Rafale, pour les gens qui étaient là au début des années 2000, c'était une risée partout disant « c'est un avion qui ne se vend pas, qui ne marchera jamais ! ». On est bien contents, aujourd'hui, de l’avoir et on voit à quel point c'était une logique intéressante à avoir.<br/>
| |
| − | Ce qui a été fait pour Cloudwatt peut être refait. Cloudwatt a fonctionné. Est-ce que la start-up fonctionne ? Comme je le rappelle, le HDH aujourd’hui fonctionne.
| |
| − | | |
| − | <b>Tariq Krim : </b>Cloudwatt n'a jamais eu de clients majeurs.
| |
| − | | |
| − | <b>Guilhem Lettron : </b>FranceConnect, par exemple, si jamais vous l'utilisez, était sur Cloudwatt watt. Si vous voulez, je peux vous raconter aussi – c’est l’avantage d’être indépendant, on connaît beaucoup de choses à la fin –, comment ça s'est passé pour eux de décider de migrer de Cloudwatt pour essayer d'aller dans les <em>clouds</em> publics existants, c'est-à-dire ceux du ministère de l'Intérieur, ceux de Bercy, etc., toutes les instances sont connues. À la fin, ils ont fini par faire eux-mêmes, en allant chercher des serveurs et en faisant le week-end sur leur temps libre.<br/>
| |
| − | Aujourd'hui HDH est une réussite, c'est-à-dire qu'il fonctionne. On parle beaucoup de projets publics qui ne finissent pas et qui n'y arrivent jamais, aujourd'hui le drame du HDH est qu'il fonctionne et qu’il y a des ingénieurs.
| |
| − | | |
| − | <b>Delphine Sabattier : </b>Techniquement.
| |
| − | | |
| − | <b>Guilhem Lettron : </b>Techniquement, bien sûr, mais il y a déjà des données, il y a déjà des chercheurs qui l'utilisent. On a aujourd'hui des projets qui utilisent HDH. Dans la décision de la CNIL, on ne parle que des données de la Cnam. Il y a déjà d'autres données qui sont traitées, utilisées, et on a des chercheurs français qui arrivent à faire des découvertes avec. Il faut le rappeler, c'est vraiment, aujourd’hui, une réussite.<br/>
| |
| − | Je veux bien qu'on aille sur d'autres <em>clouds</em> européens ou <em>clouds</em> français. Aujourd'hui, j'attends juste qu'on me prouve que ces opérateurs-là feront une plateforme et je suis sûr – là je parle en mon nom et pas du tout au nom du HDH –, que le HDH sera bien content de passer, parce que quand on parle d'investissement, etc., le HDH, c'est très peu d'ingénieurs, c'est vraiment très peu. Quand on parle de gros investissements, on en parle énormément, mais ça n'a rien à voir avec le niveau d'investissement qu'on a dans d'autres acteurs. Je rappellerai juste que toute la recherche d'AWS est équivalente à toute la recherche française en termes d'investissement. C'est important de voir les différences d'échelles.
| |
| − | | |
| − | <b>Tariq Krim : </b>Je me permets juste de préciser : des ingénieurs des Mines ont fait un rapport, qui n'est d'ailleurs, malheureusement, pas sorti, qui prouvait que dans la R & D d’Amazon on mettait également les immobilisations comme les immeubles, des choses comme ça. En fait, quand on revenait à l'investissement réel, il était beaucoup plus modeste et assez proche de ce qu'on fait en Europe.
| |
| − | | |
| − | <b>Delphine Sabattier : </b>C’est compliqué de comparer. Ce qui est intéressant quand même, Monsieur le Député, on parle d’un rendez-vous politique qui a été manqué, maintenant, il ne faut pas qu'on rate celui-ci !
| |
| − | | |
| − | <b>Philippe Latombe : </b>En fait, dans l'histoire du HDH, tout est un choix politique. Il faut un HDH, il nous faut, aujourd'hui, une capacité pour faire de la recherche. Je ne reviens pas là-dessus et personne ne revient sur l'existence même du HDH.<br/>
| |
| − | Là où je ne suis pas d'accord avec vous c’est quand vous dites qu'il y a pas de données hébergées au HDH. Si, il y a une copie du SNDS, il y a une copie d’un certain nombre de données issues d'entrepôts de données de santé des CHU, il y a donc ce risque d'extraterritorialité, il faut qu'on intègre.<br/>
| |
| − | Ensuite, il y a deux choses. La première c'est que nous avons un vrai problème de gouvernance du HDH qui n'a jamais su s'imposer dans l'écosystème médical, y compris vis-à-vis de la Cnam, des universités, des centres hospitaliers universitaires. Et il existe des contre-exemples du HDH qui fonctionnent bien. Le Ouest DataHub fonctionne bien, fait de la recherche et en volume, et c'est là où je suis pas d'accord avec vous. Vous dites que le HDH fonctionne très bien et que c'est son drame ; il ne fonctionne pas du tout en volume par rapport à ce qu'il devrait être. Le Ouest DataHub produit plus de résultats de recherche que le HDH, parce que la gouvernance a toujours été un peu à la Panzer : on avance, je me fiche de savoir comment ça fonctionne, vous êtes obligé de me donner vos données. La Cpam l'a bien dit à plusieurs reprises « nous ne voulons pas vous transférer les données parce qu'il y a Microsoft, mais aussi parce qu'il y a un problème de gouvernance » Tout cela est donc un choix politique.<br/>
| |
| − | Il faut donc, là, aujourd'hui, que politiquement nous puissions remettre l'église au milieu du village : qu’est-ce que nous voulons ? Nous avons une mine d'or, des données extraordinairement bien raffinées qui pourraient nous servir à développer notre recherche hospitalière d'abord, universitaire et hospitalière. Que parfois on puisse l’utiliser pour aider des entreprises qui ont envie de développer de nouveaux produits, très bien !, mais il faudrait aussi qu'on ait ce retour sur investissement, comme le disait Tariq. On met à disposition des données d'une profondeur extraordinaire. On a les données de santé de nos concitoyens sur plus de 40 ans et sur la totalité de leur vie. On a tout ce qu'il nous faut pour pouvoir le faire.
| |
| − | | |
| − | <b>Delphine Sabattier : </b>On a un trésor national.<br/>
| |
| − | J'avais une question quand même sur la sécurité. D’ailleurs, on en a parlé souvent ensemble, Philippe Latombe : faut-il davantage de mesures de sécurité autour de nos données ? Est-ce que le statut d'hébergeur de données de santé est suffisant ? Est-ce qu'on ne devrait pas davantage se tourner vers une certification SecNumCloud ? Finalement, est-ce qu'on ne se tire une balle dans le pied en voulant toujours ajouter des surcouches de sécurité qu'on est pas capables, aujourd'hui, de proposer, ce que nous dit Guillaume Poupard : on manque d'offres françaises pour faire un choix.
| |
| − | | |
| − | <b>Philippe Latombe : </b>On manque d'offres parce que là, en l'occurrence sur le HDH, les entreprises françaises ont été interrogées uniquement sur les briques SecNumCloud. Elles ne les ont pas développées.
| |
| − | | |
| − | <b>Delphine Sabattier : </b>Oui mais, finalement, on a un peu réclamé ça, c’est ce que je veux dire. Je pose la question : est-ce qu'on ne se tire pas une balle dans le pied ? J'ai aussi entendu à la conférence NumSpot les responsables dire « il faut effectivement protéger nos données de santé avec cette certification SecNumCloud, sauf qu'il faut beaucoup d'argent pour y arriver et il faut deux ans, donc on n’est pas prêts. »
| |
| − | | |
| − | <b>Arnaud Coustillière : </b>Pour prendre un petit peu de recul, les données de santé c'est quand même quelque chose d'extrêmement sensible, en particulier en France. Il y a quelques années, la donnée de santé était échangée entre médecins, le patient n'avait pas son mot à dire. Aujourd'hui, elle est l'objet d'un débat public qui mériterait probablement un rapport d'information du député ou ainsi de suite pour faire le bilan de toute cette affaire. Il y a quand même quelqu'un qu'on oublie, c'est le citoyen. Quand je donne mes données de santé, comme monsieur Tout-le-monde, à un médecin, ce n'est pas pour que, ensuite, elles soient mises sous statut d'extraterritorialité ou qu'elles servent des intérêts qui ne sont pas forcément ceux de la nation et on est bien sur des problèmes de fond que le député Latombe a évoqués. Quelle est la solidarité nationale entre les différentes générations ? Qu'est-ce qui va faire que notre modèle de santé va continuer à perdurer si on est challengé par des modèles qui sont différents ?
| |
| − | | |
| − | <b>Delphine Sabattier : </b>Donc, il faut renforcer les mesures de sécurité.
| |
| − | | |
| − | <b>Arnaud Coustillière : </b>Non, ce n’est pas de la sécurité. Il y a deux choses : il y a la confiance, il y a le cadre juridique et, après, il y a la sécurité.
| |
| − | | |
| − | <b>Delphine Sabattier : </b>Oui, mais les deux ne sont pas compatibles aujourd'hui. On n'a pas d'opérateurs français SecNumCloud pour héberger cet entrepôt de données EMC2, on n’en a pas !
| |
| − | | |
| − | <b>Philippe Latombe : </b>On n’a pas cherché. Désolé de le dire mais sur le rapport de la mission, Microsoft et AWS ont été interrogés en tant qu’hébergeurs de données de santé, avec une exigence plus basse. Les <em>clouders</em> français sollicités ont dit « nous sommes capables de vous répondre tout de suite en HDS et, si vous voulez du SecNumCloud, on a 50 % possible de ce référentiel à six mois et on aura le solde à 12 et 18 mois ». La réponse a été « on ne vous demande pas de répondre en HDS, on vous demande de répondre en SecNumCloud. » Comment faire en sorte que les sociétés françaises et européennes répondent à ce genre de cahier des charges quand ils ont deux boulets aux pieds, ce n’est juste pas possible.
| |
| − | | |
| − | <b>Delphine Sabattier : </b>N’est-ce pas nous qui avions demandé cela ?
| |
| − | | |
| − | <b>Philippe Latombe : </b>C’est la mission qui l'avait défini comme ça parce qu’elle cherchait très clairement, je vais le dire et le poser, à trouver une explication à éviter la migration et elle voulait avoir EMC2 sur la même plateforme que le Health Data Hub, prévue avant, parce que c'était plus simple à gérer.<br/>
| |
| − | On a un vrai problème, en France, de volonté de simplification. On a le syndrome IBM des années 80, on veut un truc qui marche tout seul, on appuie sur le bouton ça se déploie, pas grand-chose à faire.
| |
| − | | |
| − | <b>Delphine Sabattier : </b>Si on ne veut pas prendre le risque de la migration déjà aujourd'hui, j'imagine dans trois ans, c’est impossible, c’est mort !
| |
| − | | |
| − | <b>Philippe Latombe : </b>C'est pour cela qu’on est tous vent debout. On nous a baladés depuis 2020 en nous disant « ça sera avant 2022 ». 2022 se passe, il ne se passe rien jusqu’en 2024, en 2024 on dit « on avait commencé à y penser pour le trimestre 3 de 2025, c'est dans la feuille de route du HDH », ils n’ont même pas commencé à réfléchir à comment ils allaient migrer, je ne vois pas comment on peut le faire en 18 mois et on nous dit « maintenant c'est dans trois ans ». Le politique que je suis et un certain nombre d'entre nous, je pense notamment à une sénatrice, Catherine Morin-Desailly qui mène le même combat au Sénat, avons eu deux promesses dans chacune des chambres du Parlement, par deux ministres différents, un courrier envoyé au Conseil d'État pour arrêter l'action d'InterHop vis-à-vis du HDH, le même courrier envoyé à la CNIL en promettant la main sur le cœur que fin 2022 ça aurait basculé. Bon ! Les promesses du gouvernement, Gabriel Attal nous l'a dit, il faut des preuves d'amour, il ne faut pas simplement des mots. Eh bien demandons ces preuves d’amour et c'est le rôle du parlementaire. Pour redire ce que dit l'Amiral, ce sont nos citoyens, nos concitoyens qui sont derrière, qui nous demandent, aujourd'hui, de faire quelque chose. Et on voit bien le scandale de Viamedis. Quand on voit l'émoi que ça provoque d'avoir 33 millions de données médicales, de données concernant la partie médicale de nos concitoyens qui sont dans la nature, on comprend que c'est un vrai sujet, au-delà de la partie économique et industrielle.
| |
| − | | |
| − | ==31’ 08==
| |
| − | | |
| − | <b>Guilhem Lettron : </b>Nos concitoyens
| |
