Le gouvernement français a décidé d’héberger des données de santé dans les serveurs cloud de Microsoft dans le cadre du projet Health Data Hub. Ce choix est très largement contesté par une coalition menée par le Conseil National du Logiciel Libre (CNLL) qui regroupe le collectif Interhop (hôpitaux pour le partage libre des algorithmes). Cette dernière a lancé une action auprès du Conseil d’État lui demandant de suspendre l’arrêté du 21 avril 2020 confiant les données médicales liées au COVID-19 au Health Data Hub.

Le Health Data Hub est une plateforme publique de collecte de données pour la recherche. Il a vocation à remplacer le Système National des Données de Santé (SNDS) en récupérant et en étendant ses missions. Ce projet a vu le jour suite à la remise du rapport Villani, à l’initiative du Président de la République qui souhaite en faire un point fort de la stratégie Intelligence Artificielle française. Alors que le projet n’a pas d’opposants en lui-même, sa mise en pratique en a. En effet, le gouvernement a décidé de s’orienter vers le service Microsoft Azure pour stocker les données de santés plutôt que vers une solution française ou européenne.

Cédric O, secrétaire d’État au numérique, a répondu que “ l’Europe a un tel retard dans le domaine du cloud qu’il n’y avait aucun acteur européen permettant de faire fonctionner des algorithmes aussi complexes que le permet Microsoft Azure”. Face à l’urgence sanitaire, le gouvernement s’est donc tourné vers la solution déjà prête, mais elle ne ferme pas la porte aux acteurs européens, qui pourront être étudiés une fois qu’ils auront rattrapés leur retard. Stéphanie Combes, directrice du Health Data Hub a insisté : « Aujourd’hui, on considère que l’on n’a pas d’expert français qui sache répondre à nos problématiques. Cela ne veut pas dire qu’ils ne sauront pas le faire dans six mois, un an ».

La CNLL a déposé ses requêtes autour de deux axes majeurs. Premièrement, la crainte que les données de santé françaises tombent entre les mains des États-Unis. Microsoft étant une société américaine, elle est sujette au CLOUD Act (Clarifying Lawful Overseas Use of Data Act). Ce dernier autorise les autorités fédérales américaines, sous réserve d’avoir un mandat, à accéder aux données stockées par les entreprises américaines, que ces données soient stockées sur le sol américain ou ailleurs dans le monde. Avec des informations aussi sensibles que des données de santé, le CNLL ne comprend pas le choix de Microsoft. D’autant plus en sachant que le gouvernement a refusé d’utiliser les API de Google et Apple pour l’application Stop-COVID en invoquant la souveraineté nationale. Stéphanie Combe explique toutefois que seuls des données en cours de traitement seront stockées sur le cloud et qu’elles ne seront pas nominatives.

Le second point de la CNLL est le non-respect du RGPD. En effet, les patients ne sont pas alertés de l’usage qu’il sera fait de leurs données ni du fait qu’elles soient stockées sur un cloud américain. Le gouvernement tient toutefois à rassurer, toutes ces mesures sont prises dans l’urgence face à la crise sanitaire et il est prêt à revenir dessus lorsque la situation le permettra. De quoi motiver les champions européens à rattraper leurs concurrents d’outre-atlantique.