Le Conseil scientifique du Health Data Hub, l'organe consultatif chargé d'accompagner la direction, a rédigé un pre-print sur "les bénéfices et les risques de l'utilisation des données de santé à des fins de recherche". Un document chargé d'enseignements sur la vision plus précise qu'ont ses huit auteurs sur l'hébergement des données de santé. Il s'agit pour la plupart de professionnels de santé et de chercheurs travaillant dans le public. A ce titre, Rémy Choquet fait figure d'exception puisqu'il est directeur du centre d’évidences médicales et de médecine personnalisée de Roche France.
Des études retardées ou entravées
Ils estiment que "l'interdiction d’utiliser des outils américains pour stocker des données alors qu’aucun cloud européen n’est disponible" est l'un des principaux freins à l'exploitation des données de santé à des fins de recherche. Une exploitation qui est bénéfique sur de nombreux aspects : faciliter la surveillance épidémiologique, développer des usages de l'intelligence artificielle, améliorer des connaissances, mesurer l'efficacité des soins... Or, en surévaluant les risques liés au recours à des outils américains, "la réalisation de nombreuses études de grande pertinence" est "entrav[er]" ou "retard[er]".
Les auteurs s'attaquent aux "opposants à l’ouverture des données de vie réelle pour la recherche" au motif que "beaucoup d'entrepôts stockent leurs données dans un cloud géré par une entreprise américaine". Ces derniers craignent que l'Etat américain puisse accéder à ces données quelle que soit l'origine géographique de leur localisation, en vertu du CLOUD Act. Il s'agit d'une mauvaise lecture de cette législation américaine, d'après la prépublication. "En fait, cette clause ne s'applique que dans certaines circonstances précises, par exemple des enquêtes judiciaires permettant à un juge d'enquêter pour retrouver des données de santé d'une personne accusée de terrorisme", écrivent-ils. Ils ajoutent que "potentiellement" elle ne s'appliquerait donc pas aux "données conservées pour la recherche".
Ne jamais dire jamais
L'existence du Règlement général sur la protection des données (RGDP) permettrait également, d'après les auteurs, de protéger les données de santé de toute ingérence étrangère. Car, les entreprises américaines opérant en Europe y étant soumises, "elles risquent une amende de 4% de leur chiffre d'affaires annuel" en cas de non-respect de cette législation. Par ailleurs, preuve de cette surévaluer des risques, "il n'y a jamais eu de plaintes dans le secteur de la santé contre des industriels américains qui ne respecteraient pas le RGPD". Or, l'absence d'un événement à un moment T ne peut pas préjuger de l'absence totale de sa survenue dans le futur. D'autant plus que ces sujets sont assez récents et la justice française est très lente.
Pour les auteurs, les organismes sont confrontés à un dilemme impossible : ne pas utiliser de fournisseur américain de cloud alors qu'il n'existe "pas d’alternative technologique satisfaisant aux normes de sécurité de haut niveau, ni en France, ni en Europe". Ainsi, il convient de "privilégier la sécurité informatique plutôt que la protection contre un hypothétique risque d'appropriation par les USA de données pseudonymisées, ce qui ne constituerait pas un dommage pour les citoyens ni individuellement, ni collectivement".
Les auteurs vont jusqu'à regretter que la Commission nationale de l'informatique et des libertés (Cnil) "exige que les données de recherche ne soient pas stockées dans un cloud géré par un acteur américain".
Le développement d'un cloud européen souhaitable
L'aspect souveraineté économique et technologique n'est évoqué qu'à une seule reprise : "le développement d’un cloud européen est hautement souhaitable pour établir notre souveraineté dans le domaine". Cet objectif a pour l'instant encore beaucoup de mal à se réaliser. L'initiative Gaia-X semble au point mort après que de nombreuses grandes entreprises technologiques américaines aient intégré l'association. Scaleway, filiale d'Iliad et l'un des membres fondateurs de Gaia-X, avait décidé de quitter le navire en dénonçant "des groupes de travail qui sont très largement aux mains des acteurs dominants et qui font en sorte que tout aille très lentement ou soit très complexe".
Actuellement, le Health Data Hub est hébergé par Azure, le service de cloud computing de Microsoft, et ce jusqu'en 2025. Une attribution qui a été sévèrement critiquée et portée devant le Conseil d'Etat, qui avait finalement validé cet hébergement. Les fournisseurs de cloud français sont donc en train de se positionner sur cet hébergement, à l'image d'OVHcloud.
NumSpot – le cloud souverain de Docaposte (La Poste), la Banque des Territoires, Dassault Systèmes et Bouygues Telecom – est également un candidat intéressant. "Les équipes de NumSpot et de Docaposte ont la conviction que nous serions en mesure de pouvoir proposer une solution qui corresponde aux besoins du Health Data Hub, à condition, bien entendu, qu’il y ait une volonté de l'État de remettre le marché sur la table", avait déclaré Olivier Vallet, PDG de Docaposte, au média DSIH.
![[ÉNERGIES] Déployez vos projets IA à l’échelle, inspirez-vous du cas ENGIE Entreprises et Collectivités](https://cdn.webikeo.com/webinar_logo/2025-10-24-ac93013fcd6c2ea907b5a091f0e74c90.png){kind=logo}
