Pour éviter toute polémique dans le débat présidentiel, le gouvernement français a pris la décision de retirer une demande d’autorisation auprès de la Cnil au Health Data Hub pour héberger le SNDS, c’est-à-dire la base principale du système national des données de santé. L’information a été confirmée par la Cnil à nos confrères de la Tribune et un tweet de l’association Interhop (les hôpitaux français pour l'interopérabilité et le partage libre des algorithmes). Ce dernier précisait, « Pour fonctionner le @HealthDataHub a besoin d'une autorisation @cnil de fonctionnement. La demande a finalement été retirée par le gouvernement @Sante_Gouv. Le @HealthDataHub n'a donc pas d'existence légale. Le projet est à l'arrêt sûrement jusqu'aux élections ».

Moins qu’un arrêt, il s’agit d’une suspension ou la mise en pause d’un projet. Le député Modem Philippe Latombe résume les prochaines capacités du Health Data Hub, « sans l’autorisation de la Cnil, le HDH ne peut pas fonctionner de manière pleine et normale, si tant est qu’il en soit capable. Il ne peut donc y avoir que des projets pilotes très limités et très contrôlés ». Un mode de fonctionnement confirmé par Stéphanie Combes, directrice du Health Data Hub à nos confrères de TIC Pharma, la plateforme « met à disposition les données aux projets autorisés, un par un, cumulant donc les délais réglementaires d'obtention des autorisations pour les projets avec les délais de contractualisation et de mise à disposition puisque pour chaque projet, une extraction doit être produite au niveau du producteur de données, puis transmise au HDH ».

Deux ans de polémique sur l’hébergement sur Azure de Microsoft

Au-delà de cette mise en pause, le Gouvernement veut en finir avec la polémique récurrente autour de ce projet. En effet, la critique la plus importante porte sur le choix d’héberger les données de santé sur Microsoft Azure. A l’heure où les questions de souveraineté deviennent de plus en plus importantes, associations, parlementaires, mais aussi la Cnil ou la Cnam ont protesté contre ce choix de confier l’hébergement des données de santé à un acteur américain (quand bien même il serait certifié HDS). En 2020, la Cnil avait alors émis le souhait, « eu égard à la sensibilité des données en cause, que son hébergement et les services liés à sa gestion puissent être réservés à des entités relevant exclusivement des juridictions de l’Union européenne ». La Caisse nationale d’assurance maladie avait elle aussi souligné que « les conditions juridiques nécessaires à la protection de ces données » ne semblaient « pas réunies pour que l’ensemble de la base principale soit mise à disposition d’une entreprise non soumise exclusivement au droit européen ».

La question est maintenant de connaître la suite de cette affaire. Il y a quelques mois, le Gouvernement a présenté sa doctrine pour le cloud et en particulier pour ses projets étatiques. Amélie de Montchalin, ministre de la Transformation et de la Fonction publiques, avait alors précisé « le cloud est l’hébergement par défaut des services numériques de l’Etat, soit dans un cloud interne, soit dans un cloud externe qualifié par l’Anssi comme un cloud de confiance ». Elle avait ajouté « « à partir du moment où il y a un label, les programmes auront 12 mois pour migrer leurs données vers ce cloud », en faisant notamment référence au projet polémique du Heath Data Hub, hébergé chez Microsoft Azure. Le problème est qu’aujourd’hui, il n’y a pas de cloud public labellisé cloud de confiance. L’initiative Bleu avec Orange et Capgemini n’existe pas pour l’instant. Le Gouvernement veut donc se donner du temps pour repartir sur de bonnes bases et, faut-il l’espérer, sans polémique cette fois.