Différences entre les versions de « Nos données de santé, c'est de l'or pour ceux qui peuvent y accéder »
(Page créée avec « Catégorie:Transcriptions '''Titre :''' Nos données de santé, c'est de l'or pour ceux qui peuvent y accéder '''Intervenant·e·s :''' Arnaud Coustillière - P... ») |
|||
| Ligne 23 : | Ligne 23 : | ||
==Transcription== | ==Transcription== | ||
| + | |||
| + | <b>Delphine Sabattier : </b>Bonjour à tous. Un épisode qui est consacré à une décision politique, touchant un choix technologique, en fait un choix technologique très politique, on va le comprendre, je veux parler de cette délibération de la CNIL, qui ne passe pas, donnant son feu vert à la création d'un entrepôt de données de santé qui sera hébergé chez Microsoft. Une autorisation qui pose à nouveau cette question de notre totale dépendance aux acteurs américains du numérique.<br/> | ||
| + | Je suis Delphine Sabattier, je vais vous présenter tout de suite mes invités autour de la table.<br/> | ||
| + | Un politique engagé d'abord, le député Modem de Vendée, commissaire de la Commission nationale de l'informatique et des libertés, la CNIL, Philippe Latombe, qui n'en reste pas moins en colère face à cette décision, n'est-ce pas ?<br/> | ||
| + | L'amiral Arnaud Coustillière nous a rejoints également, président du Pôle d'excellence cyber.<br/> | ||
| + | Autour de la table, aussi, le défenseur de la souveraineté numérique depuis une vingtaine d'années, Tariq Krim, dont on peut suivre des analyses sur cybernetica.fr. Bonjour Tariq. Bonjour Amiral.<br/> | ||
| + | Et puis l'ingénieur français, expert du <em>cloud</em>, indépendant, Guilhem Lettron, qui nous fait le plaisir d'être ici. Je suis très contente parce que vous avez participé à la conception de l'infrastructure technique du Health Data Hub dont on va beaucoup parler, cette plateforme des données de santé hébergée chez Microsoft.<br/> | ||
| + | Et puis il n’est pas autour de la table, mais il n'en est pas moins remonté sur le sujet. Je propose qu'on écoute tout de suite le plaidoyer de maître Haas. | ||
| + | |||
| + | <b> Maitre Gérard Haas, voix off : </b>La CNIL, gendarme des données personnelles, vient de donner son feu vert au fait que Microsoft puisse héberger nos données de santé et celles des Européens. Autrement dit, l'autorité française, valide le choix d'un fournisseur américain de <em>cloud</em>, en l'espèce Microsoft, dans le cadre du projet d'entrepôt européen de données de santé appelé EMC2. C'est pathétique ! Dans cette décision, qui s'appuie sur l'évaluation faite par l'administration française, qu’aucun clouder français ou européen n'arrivait au niveau de Microsoft, car aucune des trois sociétés clouder en balance, OVHcloud, NumSpot, Cloud Temple, n'offrait des solutions de <em>cloud</em> suffisamment avancées pour remplacer Microsoft.<br/> | ||
| + | Cette décision pèse sur trois risques qu'elle ne neutralise pas, mais, au contraire qu'elle augmente.<br/> | ||
| + | Le risque de dégradation de notre indépendance numérique. Adieu souveraineté !<br/> | ||
| + | Le risque extraterritorial de sécurité du fait de la divulgation, sans garde-fou, de nos données de santé.<br/> | ||
| + | Et puis un risque économique de réversibilité de migration des données dans trois ans, nous rendant otages d'une plateforme qui contrôle et définit les prix du <em>cloud</em>. | ||
| + | |||
| + | Pourtant, j'observe que la doctrine de l'État français, de la CNIL, imposait le choix d'un fournisseur de <em>cloud</em> non soumis aux lois extraterritoriales pour des données de santé, données, rappelons-le, classées comme sensibles et qui ont un caractère stratégique.<br/> | ||
| + | Alors c'est c'est la douche froide ! Pour tous ceux qui défendent la souveraineté numérique, c'est-à-dire notre indépendance.<br/> | ||
| + | En effet Microsoft, en tant que société américaine, est soumise aux lois extraterritoriales des États-Unis, d'où le risque que nos données de santé puissent être accessibles aux services de renseignement américains, en vertu du <em>CLOUD Act</em> ou de la FISA, que cette validation soit limitée à trois ans.<br/> | ||
| + | Comment, désormais, se détacher à court terme, voire à moyen terme, des offres des acteurs américains ? Le coût d'une migration sera le prix à payer de notre souveraineté. Est-ce vraiment acceptable ? | ||
| + | |||
| + | La CNIL a beau jeu de regretter cette situation, on dira même que dans la balance des intérêts innovation/protection elle a été pragmatique parce qu’il n'y avait pas d'autre solution en face. Mais je pense que l'occasion de faire monter en gamme l'offre française ou européenne d'un <em>cloud</em> souverain via la commande publique, vient tout simplement d'être manquée. | ||
| + | |||
| + | <b>Delphine Sabattier : </b>Occasion manquée. Est-ce que vous trouvez cette décision de la CNIL pragmatique ou pathétique ? Qui veut commencer. Monsieur le Député. | ||
| + | |||
| + | <b>Philippe Latombe : </b>Je vais peut-être commencer, avec deux avec deux garde-fous préalables.<br/> | ||
| + | Le premier, c'est que je n'ai pas participé à la décision de la CNIL puisque je me suis déporté au moment de cette décision, d'abord parce que je voulais pouvoir la critiquer et puis, surtout, parce qu’il y a du transfert de données et, depuis que j'ai attaqué le DPF devant le tribunal de l'Union, chaque fois qu'il y a une décision qui parle de cela, je me déporte. | ||
| + | |||
| + | <b>Delphine Sabattier : </b>Le DPF, c’est ce bouclier qui permet de garantir qu’on est protégé par un accord juridique dans le cadre des transferts de données entre les États-Unis et l’Europe. | ||
| + | |||
| + | <b>Philippe Latombe : </b>C'est un accord d'adéquation disant que les données personnelles sont traitées de la même façon et au même niveau de sécurité et de protection juridique des deux côtés de l'Atlantique, qu’on peut donc les envoyer d'un côté à l'autre.<br/> | ||
| + | La CNIL a pris une décision qui est une décision juridique. C'est là où je ne suis pas tout à fait d'accord avec l'intervenant précédent : la CNIL n'a pas le choix. Elle dit qu’elle regrette la situation parce qu'elle est obligée de la prendre. Elle est obligée de la prendre parce qu'il y a le DPF, donc qu’on ne peut pas s'opposer et la CNIL n'a pas le pouvoir de s'opposer au DPF. | ||
| + | |||
| + | <b>Delphine Sabattier : </b>Elle le regrette parce que, en fait, il était plutôt prévu, à l'origine, que l'on confie nos données de santé à un acteur qui serait certifié SecNumCloud, donc, qui serait immunisé contre toute loi extraterritoriale ? | ||
| + | |||
| + | <b>Philippe Latombe : </b>On va revenir sur l'historique. Mais oui la CNIL regrette parce qu’il a toujours été dit que le HDH serait hébergé en souverain, depuis le début, depuis sa conception. | ||
| + | |||
| + | <b>Delphine Sabattier : </b>Et, depuis le début, ce n'est pas le cas quand même ! | ||
| + | |||
| + | <b>Philippe Latombe : </b>Et, depuis début ce n'est pas le cas. D'ailleurs, il y a eu une contestation au Conseil d'État et le Gouvernement, à plusieurs reprises, a promis aux parlementaires, à l'Assemblée et au Sénat, avec deux ministres différents, puis au Conseil d’État, puis à la CNIL, qu’il y aurait une réversibilité, disant « à partir de 2020, d'ici 18 mois, il y aura une réversibilité ». 2022 est passée, pas de réversibilité, 2024, il n’y a toujours rien et là on nous dit « acceptez que ça soit chez Microsoft parce qu'on n'a surtout pas envie que ça soit ailleurs, parce que ce n'est pas facile, pour nous, de le gérer de cette façon-là — parce que ça revient à ça quand même — et on envisagera une réversibilité dans trois ans ». La CNIL a pris la seule marge de manœuvre qu'elle avait : la demande d'autorisation était une demande d'autorisation pour dix ans et la CNIL s'est appuyée sur le rapport qu'elle n'a pas le droit de contester de la mission qui dit qu’il n'y a pas d'hébergeur possible du niveau de Microsoft ou de AWS et elle dit « vous nous dites, dans le rapport, que dans trois ans ça sera le cas, donc on limite l'autorisation à trois ans. » Elle a utilisé, juridiquement, la seule marge de manœuvre qu'elle avait.<br/> | ||
| + | Maintenant, quand on lit la décision du début jusqu'à la fin, il y a des clés, il y a des serrures pour pouvoir attaquer cette décision.<br/> | ||
| + | Elle regrette le choix, elle dit que jamais au grand jamais il n'avait été prévu d'aller sur ce type de support, qu’on lui avait promis, un certain nombre de fois, que ça ne serait pas le cas. Et elle dit même, et c'est très important, c'est une clé pour le Conseil d'État et éventuellement pour ceux qui voudraient y aller, que le DPF n'empêche pas les services américains de pouvoir récupérer les données et les utiliser. Ce qui est vrai, d'ailleurs, dans le nouvel <em>executive order</em> de Biden. Il y a un nouveau motif, qui est le motif de pandémie, qui permet de faire de la récolte en masse d'informations. Qu'est-ce que la pandémie quand on a des données de santé ? C'est une concordance assez bizarre. | ||
| + | |||
| + | <b>Delphine Sabattier : </b>Vous, vous êtes opposé à ce DPF, à cet accord, mais la CNIL non. | ||
| + | |||
| + | <b>Philippe Latombe : </b>Elle ne peut pas, elle n'a pas loi le droit. Le DPF s'impose à la CNIL. Le DPF est un accord qui a été signé entre la Commission européenne et les États-Unis, c’est du domaine réglementaire de la Commission, donc, en droit français, il est de niveau supérieur à la loi. | ||
| + | |||
| + | <b>Delphine Sabattier : </b>Il faudrait qu'il ait une mobilisation des CNIL européennes pour imposer le RGPD. La question c'est : est-ce que c'est compatible avec le RGPD ? | ||
| + | |||
| + | <b>Philippe Latombe : </b>Non, ce n'est même pas possible ! La seule façon de pouvoir le prouver dorénavant, sauf à ce que le tribunal de l'Union me donne raison et accepte qu'on puisse en discuter devant le tribunal, c'est d'aller devant la Cour de justice de l'Union pour faire une invalidation de ce DPF, comme on a une invalidation du <em>Safe Harbor</em> et du <em>Privacy Shield</em>. C'est la seule possibilité juridique. Les CNIL, contrairement à ce que tout le monde dit, n'ont pas la possibilité de faire une question préjudicielle à la Cour de justice de l'Union, on doit passer par l'ordre juridictionnel le plus élevé dans chacun des pays et, en France, c’est le Conseil d'État ou la cour de cassation, mais ça ne concerne pas la la CNIL. Donc, la seule solution d'invalider le DPF c'est de demander au Conseil d'État de statuer sur la décision de la CNIL. Je ne doute pas une seule seconde qu'il y aura, dans les deux mois qui viennent, des dépôts de référé-suspension devant le Conseil d'État. | ||
| + | |||
| + | <b>Delphine Sabattier : </b>Je voulais quand même qu'on revienne sur le projet, au départ, puisque c'est important de situer le contexte : de quoi parle-t-on, pourquoi cette polémique autour de l'entrepôt de données de santé, qui est important, qui est un projet, à l'origine, de l'Agence européenne du médicament qui souhaite travailler sur une nouvelle façon de surveiller la prise en charge des patients, pour cela elle a besoin de davantage de données. On est dans le cas d’un contexte européen et une partie de ce projet va s'appuyer sur des données françaises, détenues notamment par la Cnam, et nécessite la création d'un entrepôt de données de santé qui sera hébergé sur ce qu'on appelait le Health Data Hub.<br/> | ||
| + | Expliquez-nous, Guilhem. Vous vous êtes engagé sur ce Health Data Hub au tout début du projet. | ||
| + | |||
| + | <b>Guilhem Lettron : </b>Pas exactement au tout début. Je suis arrivé juste après la pandémie. Je vais déjà dire d'où je pars : je suis indépendant, je n'ai aucun lien, aujourd'hui, ni avec le HDH ni avec Azure ni avec aucun autre acteur. | ||
| + | |||
| + | <b>Delphine Sabattier : </b>Parce que votre contrat a pris fin il y a plus de deux ans. | ||
| + | |||
| + | <b>Guilhem Lettron : </b>Exactement, c’est ça, il y a plus de deux ans, je suis arrivé après la pandémie. | ||
| + | |||
| + | <b>Delphine Sabattier : </b>C'est bien, il n’y a plus de liens directs | ||
| + | |||
| + | <b>Guilhem Lettron : </b>Voilà ! Je ne vais pas donner des secrets industriels qui pourraient mettre en danger le HDH, mais on va pouvoir revenir, justement, sur cette partie sécurité.<br/> | ||
| + | Le HDH – et je parle vraiment de mon point de vue technique d'infra, de ce que j'en ai compris, donc il peut y avoir des incertitudes et des approximations – a comme but de mettre à disposition aux entreprises et aux chercheurs de la donnée pour pouvoir créer des modèles et, également, pouvoir analyser les données. En fait, il y a, derrière, un enjeu industriel pour l'État et pour toute l'économie française qui vient avec ça. On n'héberge pas les données des Français, la Cnam ne va pas utiliser le HDH directement, la Cnam continue d'avoir son entrepôt de données.<br/> | ||
| + | Le HDH est un hub, il y a les données de la Cnam et il y a également les données de plein d'autres centres de données, le but étant, pour les chercheurs, de recouper les données pour pouvoir analyser et trouver de nouveaux traitements à l'avenir ou des données statistiques.<br/> | ||
| + | Donc le projet c’est 2019, à peu près, on n'est pas encore dans le boom des IA. Aujourd’hui, on le voit avec ChatGPT depuis un an, la question des modèles est une question centrale. Si, demain, on enlève le HDH, si jamais demain on demande de repartir sur autre chose, ça veut dire repartir de zéro, ça veut dire des entreprises qui, aujourd'hui, sont sans données sur des patients français pour pouvoir créer des modèles qui vont permettre, demain, de soigner les Français.<br/> | ||
| + | En fait, le problème c'est qu'on est face à deux enjeux de souveraineté : la souveraineté industrielle des industries françaises du médicament et des chercheurs et cette souveraineté pseudo-numérique qui vient derrière. | ||
| + | |||
| + | <b>Delphine Sabattier : </b>Pseudo-numérique ! La souveraineté autour du <em>cloud</em> et de l'hébergement des données ! | ||
| + | |||
| + | <b>Guilhem Lettron : </b>Exactement. Il faut voir que le HDH, c'est fait par des Français, des ingénieurs qui sont compétents et tout à fait à même de connaître tous ces sujets-là. Les données ne sont pas données de manière transparente aux acteurs, il y a bien sûr des garde-fous. En plus, on est dans la bonne journée pour ça, on a 30 millions de comptes, aujourd'hui, qui ont fuité depuis des mutuelles. Il faut voir que le milieu de la santé n'est pas un milieu, aujourd'hui, qui est très sécurisé, sécurisant, pour les données des patients.<br/> | ||
| + | Le but du HDH c'était justement de pouvoir garantir de la sécurité par rapport à ces hackers et par rapport à ça. Ça veut dire se protéger et de l'extérieur et de l'intérieur, et même se protéger des chercheurs. En fait, on donne des données à traiter à des chercheurs et ces chercheurs n'ont pas le droit de faire sortir les données. Il y a donc tout un travail qui est très compliqué. Je garantis à n'importe qui, qui fait de l’informatique, de mettre à disposition des données sans que ces données puissent sortir, c'est extrêmement compliqué, il y a énormément de procédures sécurisées, et je pense que c'est ça le problème qu'on a aujourd'hui, c'est que personne ne prend la mesure exacte du but du HDH : ce n'est pas d'héberger, c'est de traiter de la donnée. | ||
| + | |||
| + | <b>Delphine Sabattier : </b>Vous nous dites c'est qu’avec ce souci de souveraineté numérique, technologique, finalement on pénalise un projet bien plus grand, bien plus vaste. Je voudrais avoir une réaction. Amiral. L’argument de la cybersécurité ne peut pas vous échapper. | ||
| + | |||
| + | <b>Arnaud Coustillière : </b>Non. L'argument de la cybersécurité n'est pas un argument. Les vrais arguments sont ceux qui ont été exposés par Monsieur le Député Latombe, c’est l'extraterritorialité, ce sont les rapports. Les données de santé ont une valeur, ce bien pour cela qu’il y a des attaques contre elles dans tous les coins. Il ne faut pas se leurrer : ces données de santé c'est de l'or pour ceux qui peuvent y accéder. On est clairement dans de la compétition économique. On parle de souveraineté. On a déjà nos paysans qui sont dans la rue, c'est le même genre de choses, on a les affaires actuelles. J'étais hier avec Frédéric Pierucci qui a montré comment la machine administrative américaine, aussi, se déclenche dès qu'il y a des intérêts, qui montre aussi comment tous les services de renseignement américains, aujourd'hui, font de plus en plus d'efforts sur la guerre économique qui n’est pas nouvelle. Vous prenez les déclarations de monsieur François Mitterrand hier en 2014 : une guerre à mort, une guerre sans morts. À un moment donné, il faut que l'État français acte et puis assume un certain nombre de responsabilités. Vous prenez le rapport de 76 de Giscard d'Estaing sur l'informatisation de la société, relisez-le, tout est écrit, tout !, y compris les entrepôts de données. Vous prenez Cloudwatt, 2014, une bonne intention qui a été un échec. | ||
| + | |||
| + | <b>Delphine Sabattier : </b>Guilem a aussi travaillé sur Cloudwatt. | ||
| + | |||
| + | ==14’ 52== | ||
| + | |||
| + | <b>Guilhem Lettron : </b>J'ai aussi cette casquette-là | ||
Version du 11 février 2024 à 09:50
Titre : Nos données de santé, c'est de l'or pour ceux qui peuvent y accéder
Intervenant·e·s : Arnaud Coustillière - Philippe Latombe - Tariq Krim - Guilhem Lettron - Delphine Sabattier
Lieu : Podcast Politiques Numériques, alias POL/N
Date : 9 février 2024
Durée : 46 min
Licence de la transcription : Verbatim
Illustration : À prévoir
NB : transcription réalisée par nos soins, fidèle aux propos des intervenant·e·s mais rendant le discours fluide.
Les positions exprimées sont celles des personnes qui interviennent et ne rejoignent pas nécessairement celles de l'April, qui ne sera en aucun cas tenue responsable de leurs propos.
Transcription
Delphine Sabattier : Bonjour à tous. Un épisode qui est consacré à une décision politique, touchant un choix technologique, en fait un choix technologique très politique, on va le comprendre, je veux parler de cette délibération de la CNIL, qui ne passe pas, donnant son feu vert à la création d'un entrepôt de données de santé qui sera hébergé chez Microsoft. Une autorisation qui pose à nouveau cette question de notre totale dépendance aux acteurs américains du numérique.
Je suis Delphine Sabattier, je vais vous présenter tout de suite mes invités autour de la table.
Un politique engagé d'abord, le député Modem de Vendée, commissaire de la Commission nationale de l'informatique et des libertés, la CNIL, Philippe Latombe, qui n'en reste pas moins en colère face à cette décision, n'est-ce pas ?
L'amiral Arnaud Coustillière nous a rejoints également, président du Pôle d'excellence cyber.
Autour de la table, aussi, le défenseur de la souveraineté numérique depuis une vingtaine d'années, Tariq Krim, dont on peut suivre des analyses sur cybernetica.fr. Bonjour Tariq. Bonjour Amiral.
Et puis l'ingénieur français, expert du cloud, indépendant, Guilhem Lettron, qui nous fait le plaisir d'être ici. Je suis très contente parce que vous avez participé à la conception de l'infrastructure technique du Health Data Hub dont on va beaucoup parler, cette plateforme des données de santé hébergée chez Microsoft.
Et puis il n’est pas autour de la table, mais il n'en est pas moins remonté sur le sujet. Je propose qu'on écoute tout de suite le plaidoyer de maître Haas.
Maitre Gérard Haas, voix off : La CNIL, gendarme des données personnelles, vient de donner son feu vert au fait que Microsoft puisse héberger nos données de santé et celles des Européens. Autrement dit, l'autorité française, valide le choix d'un fournisseur américain de cloud, en l'espèce Microsoft, dans le cadre du projet d'entrepôt européen de données de santé appelé EMC2. C'est pathétique ! Dans cette décision, qui s'appuie sur l'évaluation faite par l'administration française, qu’aucun clouder français ou européen n'arrivait au niveau de Microsoft, car aucune des trois sociétés clouder en balance, OVHcloud, NumSpot, Cloud Temple, n'offrait des solutions de cloud suffisamment avancées pour remplacer Microsoft.
Cette décision pèse sur trois risques qu'elle ne neutralise pas, mais, au contraire qu'elle augmente.
Le risque de dégradation de notre indépendance numérique. Adieu souveraineté !
Le risque extraterritorial de sécurité du fait de la divulgation, sans garde-fou, de nos données de santé.
Et puis un risque économique de réversibilité de migration des données dans trois ans, nous rendant otages d'une plateforme qui contrôle et définit les prix du cloud.
Pourtant, j'observe que la doctrine de l'État français, de la CNIL, imposait le choix d'un fournisseur de cloud non soumis aux lois extraterritoriales pour des données de santé, données, rappelons-le, classées comme sensibles et qui ont un caractère stratégique.
Alors c'est c'est la douche froide ! Pour tous ceux qui défendent la souveraineté numérique, c'est-à-dire notre indépendance.
En effet Microsoft, en tant que société américaine, est soumise aux lois extraterritoriales des États-Unis, d'où le risque que nos données de santé puissent être accessibles aux services de renseignement américains, en vertu du CLOUD Act ou de la FISA, que cette validation soit limitée à trois ans.
Comment, désormais, se détacher à court terme, voire à moyen terme, des offres des acteurs américains ? Le coût d'une migration sera le prix à payer de notre souveraineté. Est-ce vraiment acceptable ?
La CNIL a beau jeu de regretter cette situation, on dira même que dans la balance des intérêts innovation/protection elle a été pragmatique parce qu’il n'y avait pas d'autre solution en face. Mais je pense que l'occasion de faire monter en gamme l'offre française ou européenne d'un cloud souverain via la commande publique, vient tout simplement d'être manquée.
Delphine Sabattier : Occasion manquée. Est-ce que vous trouvez cette décision de la CNIL pragmatique ou pathétique ? Qui veut commencer. Monsieur le Député.
Philippe Latombe : Je vais peut-être commencer, avec deux avec deux garde-fous préalables.
Le premier, c'est que je n'ai pas participé à la décision de la CNIL puisque je me suis déporté au moment de cette décision, d'abord parce que je voulais pouvoir la critiquer et puis, surtout, parce qu’il y a du transfert de données et, depuis que j'ai attaqué le DPF devant le tribunal de l'Union, chaque fois qu'il y a une décision qui parle de cela, je me déporte.
Delphine Sabattier : Le DPF, c’est ce bouclier qui permet de garantir qu’on est protégé par un accord juridique dans le cadre des transferts de données entre les États-Unis et l’Europe.
Philippe Latombe : C'est un accord d'adéquation disant que les données personnelles sont traitées de la même façon et au même niveau de sécurité et de protection juridique des deux côtés de l'Atlantique, qu’on peut donc les envoyer d'un côté à l'autre.
La CNIL a pris une décision qui est une décision juridique. C'est là où je ne suis pas tout à fait d'accord avec l'intervenant précédent : la CNIL n'a pas le choix. Elle dit qu’elle regrette la situation parce qu'elle est obligée de la prendre. Elle est obligée de la prendre parce qu'il y a le DPF, donc qu’on ne peut pas s'opposer et la CNIL n'a pas le pouvoir de s'opposer au DPF.
Delphine Sabattier : Elle le regrette parce que, en fait, il était plutôt prévu, à l'origine, que l'on confie nos données de santé à un acteur qui serait certifié SecNumCloud, donc, qui serait immunisé contre toute loi extraterritoriale ?
Philippe Latombe : On va revenir sur l'historique. Mais oui la CNIL regrette parce qu’il a toujours été dit que le HDH serait hébergé en souverain, depuis le début, depuis sa conception.
Delphine Sabattier : Et, depuis le début, ce n'est pas le cas quand même !
Philippe Latombe : Et, depuis début ce n'est pas le cas. D'ailleurs, il y a eu une contestation au Conseil d'État et le Gouvernement, à plusieurs reprises, a promis aux parlementaires, à l'Assemblée et au Sénat, avec deux ministres différents, puis au Conseil d’État, puis à la CNIL, qu’il y aurait une réversibilité, disant « à partir de 2020, d'ici 18 mois, il y aura une réversibilité ». 2022 est passée, pas de réversibilité, 2024, il n’y a toujours rien et là on nous dit « acceptez que ça soit chez Microsoft parce qu'on n'a surtout pas envie que ça soit ailleurs, parce que ce n'est pas facile, pour nous, de le gérer de cette façon-là — parce que ça revient à ça quand même — et on envisagera une réversibilité dans trois ans ». La CNIL a pris la seule marge de manœuvre qu'elle avait : la demande d'autorisation était une demande d'autorisation pour dix ans et la CNIL s'est appuyée sur le rapport qu'elle n'a pas le droit de contester de la mission qui dit qu’il n'y a pas d'hébergeur possible du niveau de Microsoft ou de AWS et elle dit « vous nous dites, dans le rapport, que dans trois ans ça sera le cas, donc on limite l'autorisation à trois ans. » Elle a utilisé, juridiquement, la seule marge de manœuvre qu'elle avait.
Maintenant, quand on lit la décision du début jusqu'à la fin, il y a des clés, il y a des serrures pour pouvoir attaquer cette décision.
Elle regrette le choix, elle dit que jamais au grand jamais il n'avait été prévu d'aller sur ce type de support, qu’on lui avait promis, un certain nombre de fois, que ça ne serait pas le cas. Et elle dit même, et c'est très important, c'est une clé pour le Conseil d'État et éventuellement pour ceux qui voudraient y aller, que le DPF n'empêche pas les services américains de pouvoir récupérer les données et les utiliser. Ce qui est vrai, d'ailleurs, dans le nouvel executive order de Biden. Il y a un nouveau motif, qui est le motif de pandémie, qui permet de faire de la récolte en masse d'informations. Qu'est-ce que la pandémie quand on a des données de santé ? C'est une concordance assez bizarre.
Delphine Sabattier : Vous, vous êtes opposé à ce DPF, à cet accord, mais la CNIL non.
Philippe Latombe : Elle ne peut pas, elle n'a pas loi le droit. Le DPF s'impose à la CNIL. Le DPF est un accord qui a été signé entre la Commission européenne et les États-Unis, c’est du domaine réglementaire de la Commission, donc, en droit français, il est de niveau supérieur à la loi.
Delphine Sabattier : Il faudrait qu'il ait une mobilisation des CNIL européennes pour imposer le RGPD. La question c'est : est-ce que c'est compatible avec le RGPD ?
Philippe Latombe : Non, ce n'est même pas possible ! La seule façon de pouvoir le prouver dorénavant, sauf à ce que le tribunal de l'Union me donne raison et accepte qu'on puisse en discuter devant le tribunal, c'est d'aller devant la Cour de justice de l'Union pour faire une invalidation de ce DPF, comme on a une invalidation du Safe Harbor et du Privacy Shield. C'est la seule possibilité juridique. Les CNIL, contrairement à ce que tout le monde dit, n'ont pas la possibilité de faire une question préjudicielle à la Cour de justice de l'Union, on doit passer par l'ordre juridictionnel le plus élevé dans chacun des pays et, en France, c’est le Conseil d'État ou la cour de cassation, mais ça ne concerne pas la la CNIL. Donc, la seule solution d'invalider le DPF c'est de demander au Conseil d'État de statuer sur la décision de la CNIL. Je ne doute pas une seule seconde qu'il y aura, dans les deux mois qui viennent, des dépôts de référé-suspension devant le Conseil d'État.
Delphine Sabattier : Je voulais quand même qu'on revienne sur le projet, au départ, puisque c'est important de situer le contexte : de quoi parle-t-on, pourquoi cette polémique autour de l'entrepôt de données de santé, qui est important, qui est un projet, à l'origine, de l'Agence européenne du médicament qui souhaite travailler sur une nouvelle façon de surveiller la prise en charge des patients, pour cela elle a besoin de davantage de données. On est dans le cas d’un contexte européen et une partie de ce projet va s'appuyer sur des données françaises, détenues notamment par la Cnam, et nécessite la création d'un entrepôt de données de santé qui sera hébergé sur ce qu'on appelait le Health Data Hub.
Expliquez-nous, Guilhem. Vous vous êtes engagé sur ce Health Data Hub au tout début du projet.
Guilhem Lettron : Pas exactement au tout début. Je suis arrivé juste après la pandémie. Je vais déjà dire d'où je pars : je suis indépendant, je n'ai aucun lien, aujourd'hui, ni avec le HDH ni avec Azure ni avec aucun autre acteur.
Delphine Sabattier : Parce que votre contrat a pris fin il y a plus de deux ans.
Guilhem Lettron : Exactement, c’est ça, il y a plus de deux ans, je suis arrivé après la pandémie.
Delphine Sabattier : C'est bien, il n’y a plus de liens directs
Guilhem Lettron : Voilà ! Je ne vais pas donner des secrets industriels qui pourraient mettre en danger le HDH, mais on va pouvoir revenir, justement, sur cette partie sécurité.
Le HDH – et je parle vraiment de mon point de vue technique d'infra, de ce que j'en ai compris, donc il peut y avoir des incertitudes et des approximations – a comme but de mettre à disposition aux entreprises et aux chercheurs de la donnée pour pouvoir créer des modèles et, également, pouvoir analyser les données. En fait, il y a, derrière, un enjeu industriel pour l'État et pour toute l'économie française qui vient avec ça. On n'héberge pas les données des Français, la Cnam ne va pas utiliser le HDH directement, la Cnam continue d'avoir son entrepôt de données.
Le HDH est un hub, il y a les données de la Cnam et il y a également les données de plein d'autres centres de données, le but étant, pour les chercheurs, de recouper les données pour pouvoir analyser et trouver de nouveaux traitements à l'avenir ou des données statistiques.
Donc le projet c’est 2019, à peu près, on n'est pas encore dans le boom des IA. Aujourd’hui, on le voit avec ChatGPT depuis un an, la question des modèles est une question centrale. Si, demain, on enlève le HDH, si jamais demain on demande de repartir sur autre chose, ça veut dire repartir de zéro, ça veut dire des entreprises qui, aujourd'hui, sont sans données sur des patients français pour pouvoir créer des modèles qui vont permettre, demain, de soigner les Français.
En fait, le problème c'est qu'on est face à deux enjeux de souveraineté : la souveraineté industrielle des industries françaises du médicament et des chercheurs et cette souveraineté pseudo-numérique qui vient derrière.
Delphine Sabattier : Pseudo-numérique ! La souveraineté autour du cloud et de l'hébergement des données !
Guilhem Lettron : Exactement. Il faut voir que le HDH, c'est fait par des Français, des ingénieurs qui sont compétents et tout à fait à même de connaître tous ces sujets-là. Les données ne sont pas données de manière transparente aux acteurs, il y a bien sûr des garde-fous. En plus, on est dans la bonne journée pour ça, on a 30 millions de comptes, aujourd'hui, qui ont fuité depuis des mutuelles. Il faut voir que le milieu de la santé n'est pas un milieu, aujourd'hui, qui est très sécurisé, sécurisant, pour les données des patients.
Le but du HDH c'était justement de pouvoir garantir de la sécurité par rapport à ces hackers et par rapport à ça. Ça veut dire se protéger et de l'extérieur et de l'intérieur, et même se protéger des chercheurs. En fait, on donne des données à traiter à des chercheurs et ces chercheurs n'ont pas le droit de faire sortir les données. Il y a donc tout un travail qui est très compliqué. Je garantis à n'importe qui, qui fait de l’informatique, de mettre à disposition des données sans que ces données puissent sortir, c'est extrêmement compliqué, il y a énormément de procédures sécurisées, et je pense que c'est ça le problème qu'on a aujourd'hui, c'est que personne ne prend la mesure exacte du but du HDH : ce n'est pas d'héberger, c'est de traiter de la donnée.
Delphine Sabattier : Vous nous dites c'est qu’avec ce souci de souveraineté numérique, technologique, finalement on pénalise un projet bien plus grand, bien plus vaste. Je voudrais avoir une réaction. Amiral. L’argument de la cybersécurité ne peut pas vous échapper.
Arnaud Coustillière : Non. L'argument de la cybersécurité n'est pas un argument. Les vrais arguments sont ceux qui ont été exposés par Monsieur le Député Latombe, c’est l'extraterritorialité, ce sont les rapports. Les données de santé ont une valeur, ce bien pour cela qu’il y a des attaques contre elles dans tous les coins. Il ne faut pas se leurrer : ces données de santé c'est de l'or pour ceux qui peuvent y accéder. On est clairement dans de la compétition économique. On parle de souveraineté. On a déjà nos paysans qui sont dans la rue, c'est le même genre de choses, on a les affaires actuelles. J'étais hier avec Frédéric Pierucci qui a montré comment la machine administrative américaine, aussi, se déclenche dès qu'il y a des intérêts, qui montre aussi comment tous les services de renseignement américains, aujourd'hui, font de plus en plus d'efforts sur la guerre économique qui n’est pas nouvelle. Vous prenez les déclarations de monsieur François Mitterrand hier en 2014 : une guerre à mort, une guerre sans morts. À un moment donné, il faut que l'État français acte et puis assume un certain nombre de responsabilités. Vous prenez le rapport de 76 de Giscard d'Estaing sur l'informatisation de la société, relisez-le, tout est écrit, tout !, y compris les entrepôts de données. Vous prenez Cloudwatt, 2014, une bonne intention qui a été un échec.
Delphine Sabattier : Guilem a aussi travaillé sur Cloudwatt.
14’ 52
Guilhem Lettron : J'ai aussi cette casquette-là
