L’analyse et le croisement de données pourraient révolutionner la santé dans les prochaines années. L’exécutif en a fait le pari en 2018 et sa stratégie s’est concrétisée dans la loi du 24 juillet 2019, avec l’acte de naissance du Health Data Hub (HDH). Ce projet de plateforme centralisée doit accueillir, à terme, l’ensemble des données de santé des personnes soignées en France, à des fins de recherche. Un projet tentaculaire, aux sources de données diverses. Dès 2020, le gouvernement y a vu un intérêt immédiat pour y intégrer les données issues de la crise sanitaire, et notamment celle du SIDEP, qui regroupe des données de laboratoires.
Quelques dizaines de projets pilotes sont actuellement portées par la structure, mais l’ambition initiale d’intégrer de larges pans de données est encore très loin d’être une réalité. Le dossier est tout bonnement à l’arrêt. En janvier, le gouvernement a retiré sa demande de fonctionnement du Health Data Hub, déposée à la Commission nationale de l’informatique et des libertés (Cnil) pour héberger l’ensemble des bases du Système national des données de santé (SNDS).
Il faut dire que la plateforme traîne un boulet depuis le début. C’est le géant Microsoft qui a été choisi pour héberger les données de santé. Ce choix concentre les critiques et les inquiétudes autour du Health Data Hub. En tant que société régie par la législation américaine, Microsoft pourrait théoriquement être contraint à exporter des données sur demande des autorités américaines, en vertu du Cloud Act. En 2020, la CNIL avait demandé des « garanties supplémentaires ». Un juge des référés au Conseil d’Etat avait estimé qu’on ne pouvait exclure un risque de transmission des données aux services de renseignements américains.
« Pourquoi Capgemini n’a-t-il pas donné les garanties nécessaires concernant la confidentialité ? »
Ce 2 février, la commission d’enquête du Sénat sur l’influence des cabinets de conseil s’est penchée, entre autres, sur la genèse du projet, lors de l’audition de Cédric O, le secrétaire d’État chargé du Numérique. En raison de l’intervention de Capgemini, l’un des fleurons français dans le domaine du conseil en transformation et stratégie. La rapporteure de la commission d’enquête, Éliane Assassi (groupe communiste) s’est demandé comment en a-t-on pu arriver là. « Quel a été le rôle de Capgemini dans le développement du Health Data Hub ? Pourquoi n’a-t-il pas donné les garanties nécessaires concernant la confidentialité des données et leur lieu d’hébergement ? Parce que nous savons que le cabinet a perçu quand même 1,9 million d’euros sur ce dossier en 2019. »
Pour avoir été conseiller numérique à l’Elysée en 2018, Cédric O connaît bien le sujet. Début 2019, Capgemini est intervenu quand le dossier était encore aux mains de la Direction de la recherche, des études, de l’évaluation et des statistiques (Drees). Le cabinet a notamment effectué un « benchmark » de la solution technique susceptible d’être retenue pour le HDH. Onze organismes sont consultés pour l’hébergement de la plateforme. « A l’issue du comparatif, il apparaît que seule la société Microsoft est capable de répondre à l’ensemble des prérequis », a raconté le secrétaire d’Etat. L’an dernier, l’association Anticor avait saisi le Parquet national financier, en estimant que le contrat était attribué à Microsoft sans mise en concurrence.
« On ne peut pas dire qu’il y a un risque sur les données personnelles des Français », assure le secrétaire d’Etat
Le président Arnaud Bazin (LR) de la commission d’enquête n’a pas semblé se satisfaire de la réponse. « La société Capgemini avait-elle dans son analyse à prendre en compte ces questions de sécurité ? Puisque vous savez bien que Microsoft est une société qui n’est pas française. » Sous-entendu, les risques au niveau de la sécurité des données à travers le choix d’une entreprise américaine ne pouvaient être ignorés.
« On ne peut pas dire qu’il y a un risque sur les données personnelles des Français dans le cadre de l’utilisation actuelle du Health Data Hub », a voulu rassurer Cédric O. Il rappelle que les projets en cours ont tous été approuvés par la Cnil.
Néanmoins, cela n’a pas empêché le gouvernement de retirer sa demande pour brancher l’intégralité les données de l’Assurance maladie. « Il y a actuellement un moratoire », oppose Arnaud Bazin. Dès novembre 2020, Olivier Véran avait annoncé que la plateforme de données de santé allait quitter les serveurs de Microsoft, d’ici la fin 2022, pour une solution française ou européenne. « Il y a des discussions à la fois techniques, juridiques et sanitaires », explique Cédric O. La prolongation de la pandémie de covid-19 n’a pas aidé, les services du ministère de la santé sont « extrêmement occupés », insiste-t-il. L’enjeu n’est seulement industriel et relatif à la souveraineté numérique, mais aussi sanitaire, selon lui. « Ceux qui disent qu’on peut le résoudre en cinq minutes et que la réponse est binaire, se moquent de la santé des Français. » La recherche d’une autre solution que Microsoft prendra du temps. Cédric O aimerait voir apparaître des acteurs français et européens avec la « même qualité de service » qu’aux Etats-Unis, mais cela ne se fera pas en deux ou trois ans, a-t-il averti. En novembre, le gouvernement a présenté un plan de soutien au développement du secteur français et européen du cloud.
Cédric O a d’ailleurs contesté les mots utilisés par le président de la commission. « Ce que vous appelez un moratoire n’est pas un moratoire. C’est seulement un décalage d’une approche plus systémique après l’élection présidentielle. » Le sénateur LR s’en amuse. « On prendra le terme de décalage à place de moratoire, peu importe. » La joute verbale en rappelle une autre, celle des questions au gouvernement du Sénat le 19 janvier. La sénatrice Catherine Morin-Desailly avait demandé des comptes au gouvernement sur le « retrait en rase campagne » du projet, qui se chiffrerait déjà à 80 millions d’euros, selon elle. « Il n’est pas à l’arrêt et porte ses premiers fruits », avait rétorqué la ministre Brigitte Bourguignon, justifiant l’existence d’une « centaine de projets » et la volonté du gouvernement de « doubler » en janvier le volume de données.
Cédric O repris à l’ordre lorsqu’il invite la commission à « creuser » sur les solutions numériques de Valérie Pécresse
Au-delà des exigences techniques et de sécurité, Cédric O a également estimé que le Health Data Hub était devenu un sujet « excessivement politique » et qu’il méritait « un peu plus de sérénité ». « Je vois bien le point de cristallisation politique que certains en font actuellement », a-t-il relevé. Le contexte de campagne présidentielle n’est d’ailleurs probablement pas étranger au retrait de la demande déposée auprès de la CNIL.
Le secrétaire d’Etat a lui-même donné une illustration du caractère polémique du sujet. Il s’est subitement détourné de la discussion pour pointer du doigt les contradictions d’une certaine Valérie Pécresse. « Si vous voulez creuser […] certaines candidates à la présidentielle, sensibles au sujet Microsoft, ont fait passer l’ensemble de la région Île de France sur Microsoft Teams et Office 365. »
« L’incartade » n’a pas du tout été du goût de la rapporteure Éliane Assassi, obligée de couper son interlocuteur pour recadrer les débats. « On n’a pas à inviter la campagne électorale dans notre commission ! » Le même procédé sera usé par le ministre de la Santé Olivier Véran, auditionné dans la foulée, accueilli avec le même agacement de la part de la sénatrice. Le secrétaire d’Etat a présenté ses excuses, tout en repartant à l’offensive. « Je ne vois pas totalement le lien entre la prestation de Microsoft qui n’est pas un cabinet de conseil et l’objet de la commission. » Cette fois, c’est le président de la commission qui est intervenu, en rappelant que c’est un cabinet de conseil qui « nous a fait aboutir à ce genre de résultat ».
En guise d’ultime question sur le chapitre décidément bien polémique du Health Data Hub, Arnaud Bazin demande si le contrat de Capgemini a été rompu. Pas du tout. « Il existe toujours un contrat de Capgemini sur le Health Data Hub », a répondu Cédric O.