Eugène Favier-Baron,
Les données médicales sont-elles devenues une marchandise comme les autres ?
Il y a ces applications, comme les montres ou objets connectés appartenant à des plateformes privés et dont le statut juridique échappe à la définition que donne la Commission de l'informatique et des libertés (CNIL) d'une donnée de santé. De plus en 2018, la France a voulu se doter d'un « Health Data Hub (HDH)», à savoir une plateforme centralisée de données de santé, officiellement à des fins de recherche clinique. Celle-ci a été lancée le 1er décembre 2019 avec Microsoft Azure comme hébergeur cloud. C'est un choix qui interroge. Quel gage de sécurité des données, le gouvernement français a-t-il en effet face à l'américain Microsoft ? Et de quel arsenal juridique le Règlement général sur la protection des données (RGPD) européen, dispose-t-il face au « Cloud act américain », qui permet un accès unilatéral du gouvernement des USA aux donnés d'un pays tiers ? Il n'y a pas non plus de garantie de transparence autour de la circulation éventuelle des données sur le marché des assureurs ou de divers autres acteurs, dont d'autres géants du numérique qui les convoitent.
Comment s'est opéré ce glissement?
Précisément par ce mélange entre secteur privé et public que cette plateforme symbolise. Il n'y a pas eu d'offre de marché public à proprement parler. Agnès Buzyn, alors ministre des Solidarités et de la Santé, a mandaté un ancien de la multinationale IQVIA, dont un des prestataires était Microsoft. Grâce à une procédure accélérée et sans mise en concurrence, c'est finalement Microsoft qui a été choisi pour gérer des données pourtant très sensibles, alors qu'il y avait des hébergeurs cloud français comme OVH qui s'étaient positionné. Il y a forte suspicion de conflit d'intérêt. La réponse officielle à ces critiques a été: « il faut aller vite, et ce sont les seuls susceptibles de pouvoir faire le job. Et les données étant pseudonymisées, il est impossible d'identifier la personne ». Or, il suffit aujourd'hui de cinq variables (le sexe, l'âge, une ville de résidence, emploi ou pas…) , pour re-identifier quelqu'un. Et c'est Microsoft, soumise au droit américain, qui a les clefs de chiffrement et de déchiffrement. Autre problème : la centralisation des données augmente le risque de piratage, comme on a pu le voir pendant la pandémie. Or, ce qui intéresse le privé c'est de pouvoir cibler les personnes. C'est un enjeu technique, mais aussi politique. Avec en arrière fond une remise en cause de la Sécurité sociale, fondée sur l'accès aux soins pour tous et la collectivisation des risques. Le rêve d'un assureur privé est à l'inverse d'individualiser les risques pour maximiser ses gains. Une mutuelle pourrait ainsi faire payer chacun en fonction de son parcours santé.
La pandémie a-t-elle accéléré le phénomène ?
Le contexte sanitaire a pu renforcer le narratif de précipitation au nom d'un principe « d'intérêt public » bien vague. Le but de l'application « Tous anti covid », c'est de lancer un marché de la donnée de santé et d'en capter le plus possible. Un dossier médical sur le Darknet se revend 250 euros. « Doctolib », dont les pratiques déloyales alertent de nombreux médecins, a d'ailleurs été épinglé en Allemagne pour avoir vendu des données de santé à Facebook, pour faire du ciblage publicitaire. En France, « Doctolib » gère les données de santé liées à la politique de vaccination. Or, elle héberge ses données chez AWS, le cloud d'Amazon. Une situation qui a amené le collectif Interhop -qui milite pour garantir le droit à la protection des données personnelles et a pu prouver que les données de Doctolib étaient accessibles en clair sur les serveurs et qu'Amazon pouvait y avoir accès-, à porter un recours au Conseil d'État contre la plateforme pour atteinte grave à la vie privée et à la protection des données. Mais ils ont perdu. Doctolib est aussi critiqué pour noter les médecins sans qu'ils soient au courant, sur des critères comme la qualité de soins ou le temps d'attente, à la manière des plateformes comme Airbnb. A terme ce qui est visé, c'est d'instaurer des bonus-malus selon le fonctionnement du médecin, un peu à la chinoise.
Comment rétablir la souveraineté de nos données médicales ?
Il y a des solutions qui sont privilégiés par le collectif Interhop. Il faudrait, comme le préconise la feuille de route du « cloud de confiance » proposée par le gouvernement à la suite du recours contre le Health data Hub, augmenter les garanties juridiques et techniques, pas suffisantes avec Microsoft. Pour se permettre un droit européen, il faut avoir une technologie européenne et favoriser la commande publique et les acteurs nationaux du cloud. Pourtant Gaia-X dont Scaleway ou encore Hosteur se sont récemment retirés du projet, le jugeant compromis par la présence de GAFAM ou de géants chinois comme Huawei. D'ailleurs, selon Bruno Le Maire, aucun clouder européen ne remplit les conditions minimum. Une société s'est pourtant créée autour de Capgemini, Orange et Microsoft pour proposer une solution au HDH. Celle-ci serait prête avant fin 2022. Mais en attendant que fait-on du HDH, dont le décret d'application a été annoncé en juillet dernier. Il faut aussi interdire la présence d'acteurs pharmaceutiques et assurantiels dans le HDH et autres infrastructures de traitement de données de santé des citoyens. Voire s'interroger sur la nécessité de cette plateforme ».
À l’initiative de la CGT Santé et action sociale 53, un débat autour de l’état du système de santé publique en Mayenne était organisé ce jeudi 23 novembre à Laval. La... Lire la suite
Devant l’hôpital de la Pitié Salpêtrière (Paris), des militants de la CGT Santé et Action sociale se sont mobilisées le 13 octobre au matin. La fédération alerte sur... Lire la suite
