Une quinzaine d'organisations et de personnalités – dont le Conseil National du logiciel libre, le collectif InterHop et le médecin Didier Sicard – ont déposé un référé-liberté devant le Conseil d'Etat contre le déploiement de la base de données "Health Data Hub", révèle Mediapart dans un article publié le 9 juin 2020.
Les signataires du référé estiment que la mise en place du Health Data Hub "porte une atteinte grave et sûrement irréversible aux droits de 67 millions d’habitants de disposer de la protection de leur vie privée notamment celle de leurs données parmi les plus intimes, protégées de façon absolue par le secret médical : leurs données de santé".
Créé pour remplacer le Système national des données de santé (SNDS)
Créé par la loi du 24 juillet 2019, le Health Data Hub est une plateforme d'exploitation des données de santé. C'est un groupement d’intérêt public (GIP) qui reprend les missions actuelles de l’Institut national des données de santé (INDS), tout en les élargissant. Le Health Data Hub va remplacer le Système national des données de santé (SNDS) qui contient les données de l'Assurance maladie, des facturations hospitalières, des causes médicales de décès, des données médico-sociales des personnes handicapées et d'un échantillon de données de remboursement des organismes complémentaires.
À terme, toute donnée collectée dans le cadre d’un acte remboursé par l’Assurance-maladie sera centralisée dans le Health Data Hub. L'objectif final de cette plateforme est d'offrir des datasets pour développer des algorithmes d'apprentissage automatique.
L'Etat accélère le déploiement de la plateforme
Pourquoi avoir lancé une telle procédure ? Elle fait en réalité suite à un courrier envoyé par les requérants en mars 2020 au ministère des Solidarités et de la Santé. Ils demandaient l'ouverture d'une enquête pour "favoritisme" sur le choix fait par le gouvernement de confier l'hébergement du Health Data Hub au service de cloud computing Azure de Microsoft.
Les requérants n'ont pas eu de réponse satisfaisante. Et le 23 avril 2020, l’État a pris un arrêté accélérant au nom de l’état d’urgence sanitaire le déploiement de la plateforme. Il autorise le Health Data Hub, ainsi que la Caisse nationale de l’assurance-maladie (Cnam), à collecter, "aux seules fins de faciliter l’utilisation des données de santé pour les besoins de la gestion de l’urgence sanitaire et de l’amélioration des connaissances sur le virus Covid-19", un nombre considérable de données.
Ont été intégrées à la plateforme les données du Système national des données de santé (SNDS) qui regroupe lui-même les principales bases de données de santé publique, les "données de pharmacie", les "données de prise en charge en ville telles que des diagnostics ou des données déclaratives de symptômes issues d’applications mobiles de santé et d’outils de télésuivi, télésurveillance ou télémédecine", les données des laboratoires, celles des services d’urgence, "des enquêtes réalisées auprès des personnes pour évaluer leur vécu"…
Enfin, le Health Data Hub a également récupéré des données issues des enquêtes épidémiologiques instaurées par la loi de prolongation de l’état d’urgence sanitaire, dont celles du Système d’information national de dépistage populationnel (SIDEP), un fichier spécialement créé pour centraliser les résultats d’analyses des laboratoires.
Pour la Cnil, des interrogations
La Commission nationale de l'informatique et des libertés (Cnil) a rendu un avis plutôt sévère sur ce passage en force. Elle pointe notamment du doigt cette accélération inattendue du calendrier et s'interroge sur "les conditions de démarrage anticipé de la solution technique dans un contexte où la plateforme de données de santé a dû accomplir en quelques semaines des opérations, dont certaines structurantes, pour garantir la sécurité des données traitées, étaient prévues pour s’étaler sur plusieurs mois".
L'autorité protectrice de la vie privée affirme également que "les dispositions contractuelles de sous-traitance (…) stipulent que les données traitées peuvent être transférées vers les États-Unis pour y être stockées et traitées". En théorie, cela signifie que les autorités américaines pourraient avoir à accès aux données médicales des Français en application du Cloud Act. Mais la Cnil rappelle que toute demande d’accès d'une juridiction ou d'une autorité administrative d'un pays tiers" adressée au sous-traitant, en dehors d’un accord international applicable, ne pourrait donc être considérée comme licite". Dans tous les cas, elle recommande que "la plateforme des données de santé assure un hébergement et un traitement des données sur le territoire de l’Union européenne".
Microsoft VS OVH
Interrogée par Mediapart, la directrice du Health Data Hub, Stéphanie Combes, a démenti les affirmations de l'autorité française. "Nous ne sommes pas alignés sur cette phrase de l’avis. Le contrat prévoit en effet que des données peuvent être transférées par l’hébergeur dans certains cas, sauf indication contraire. Or, nous avons bien spécifié que les données ne devaient pas sortir du territoire français", affirmait-elle.
Mais pourquoi le gouvernement n'a pas choisi une solution d'hébergement française ou européenne ? L'Usine Digitale a eu l'occasion d'interroger Bernard Ourghanlian, directeur technique et sécurité chez Microsoft France, qui nous a expliqué qu'à l'époque, seul Microsoft avait été agréé "hébergeur de données de santé "(HDS). Un label désormais obligatoire pour stocker des données de santé. "Quand il a fallu faire un choix, il s'est naturellement orienté vers la seule solution qui était disponible sur le marché à l'époque", a-t-il conclu. Même son de cloche du côté de Stéphanie Combes, qui a indiqué à plusieurs reprises que l'hébergeur français OVH "n’offrait pas les mêmes fonctionnalités" que l'entreprise américaine. "OVH est d’accord avec nous sur le fait qu’ils ont encore des efforts à faire", arguait la directrice du Health Data Hub.
Pas d'appel d'offre selon OVH
Mais l'entreprise française avait émis des doutes sur ces arguments. Le fondateur et directeur général d'OVH Octave Klaba a finalement pris la parole sur Twitter : "c’est la peur de faire confiance aux acteurs français de l’écosystème qui motive ce type de décisions. La solution existe toujours. Le lobbying de la religion 'Microsoft' arrive à faire croire le contraire. C’est un combat". Il accuse même le gouvernement de ne pas avoir respecté la procédure réglementaire : "Pas de cahier des charges. Pas d’appel d’offres. Le POC avec Microsoft qui se transforme en solution imposée. Tout ceci à la limite je m’en fous. Mais de là dire que l’écosystème qu’on représente est incapable de proposer mieux et moins cher, c’est non !"
Cet échange a finalement débouché sur une conversation téléphonique entre les deux protagonistes. Octave Klaba a affirmé que Stéphanie Combes avait pris l'engagement de publier prochainement la liste "des services tech qui sont nécessaires au projet" à défaut de publier l'intégralité du cahier des charges.
Le rapport consacré "au numérique en santé" commandé par le gouvernement au Conseil national du numérique (CNNum) sera publié ce jeudi. La partie consacrée au Health Data Hub apportera peut-être des réponses. La décision du juge est également attendue le 11 juin.
Pour rappel, la procédure de référé-liberté permet de demander à la plus haute juridiction administrative de prendre en urgence une mesure nécessaire à la sauvegarde d'une ou de plusieurs libertés fondamentales si l'administration y porte atteinte de manière grave et illégale.
![[ÉNERGIES] Déployez vos projets IA à l’échelle, inspirez-vous du cas ENGIE Entreprises et Collectivités](https://cdn.webikeo.com/webinar_logo/2025-10-24-ac93013fcd6c2ea907b5a091f0e74c90.png){kind=logo}
