Fil d'Ariane
La crise du Covid-19 soulève des questions sur la protection des données de santé en France. C'est dans ce contexte que la sénatrice Nathalie Goulet s'inquiète que le futur Health Data Hub soit géré par l'entreprise américaine Microsoft, sans concertation ni débat. Sa demande d'enquête parlementaire vient d'aboutir, l'attribution à Microsoft du marché du Health Data Hub fera partie de la mission d'investigation de la Commission parlementaire consacrée au Covid19.
Entretien avec la sénatrice Nathalie Goulet (groupe UDI-Union centriste — Centre droit) sur sa proposition de résolution tendant à la création d'une commission d'enquête sur la protection des données de santé.
Le Health Data Hub :
Censée permettre l'amélioration du pilotage du système de santé et développer de nouvelles techniques basées sur l'intelligence artificielle, cette plateforme a pour vocation principale de mettre à disposition des entreprises, professionnels de santé ou organismes de recherche, toutes les données issues des actes médicaux remboursés. Le tout doit être hébergé - dans un premier temps - par une entreprise américaine, Microsoft.
• A lire : Données numériques de santé : le "Health Data Hub" français crée la polémique
TV5MONDE : Pourquoi voulez-vous créer cette commission ?
Cette proposition d'enquête parlementaire est avant tout là pour soulever le problème de la souveraineté de nos données. C’est un problème qu’une grande partie de la population — voire des élus — sous-estime, à mon sens. La souveraineté n’est plus un gros mot depuis la crise du Covid et il est très important que nous ayons une souveraineté en matière de Cloud, de protection de nos données et de technologie tout court pour parler simplement.
À partir du moment où l’on délègue la conservation, la protection, l’usage de nos données de santé, de nos données militaires, à un tiers, on est dépossédé d’une partie du sujet. Malgré l’appel d’offres qui a été lancé — et qui correspond exactement à ce que Microsoft peut fournir — c’est une mauvais solution. Et nous, la population, médecins comme malades, nous ne sommes pas assez éclairés sur les conséquences de cette solution technique. J’ai donc une très grande inquiétude.
Normalement, on crée d'abord un système sécurisé et ensuite on partage les données.
Mais c’est une demande de commission d’enquête et il n’est pas du tout dit qu’on puisse la créer. Il y a deux options : soit on arrive à étendre le périmètre des deux commissions à l’Assemblée et au Sénat, qui sont déjà constituées sur la crise du Covid en ajoutant ce paramètre du Health Data Hub, soit la Commission des affaires culturelles — qui travaille depuis longtemps sur la souveraineté des données — se transforme en Commission d’enquête sur ce sujet. (Édit du 8 juillet 2020 : le périmètre d'enquête sur la crise du Covid-19 a été étendu au numérique, comme le souhaitait la sénatrice Nathalie Goulet.)
Pourquoi personne, au niveau parlementaire ne s’est vraiment inquiété du Health Data Hub et de Microsoft comme hébergeur des données en décembre dernier, lors de son lancement officiel ?
Parce qu’en décembre il y avait encore les "Gilets jaunes" et d’autres urgences et que ce sujet n’est pas un sujet législatif : il n’est pas arrivé devant le Parlement. Nous n’avons pas eu d’alerte particulière du secteur médical et médico-social parce que l’on était dans la grève du système hospitalier et nous étions aussi dans une situation sociale comme nous n'en avions jamais connu. Et donc, cette mesure, qui n’était pas législative, est passé à l’as, si vous me permettez l’expression.
Les données de santé sont un sujet sensible, mais quelle obligation y a -t-il à les partager ? Le bénéfice-risque est-il acceptable ?
Je crois en effet qu'on met un peu la charrue avant les bœufs, parce qu'avant de parler de sécurité, on parle de partage. A mon avis, on a inversé le processus. Normalement, on crée d'abord un système sécurisé et ensuite on partage les données. Malgré tout, le partage des données de santé peut présenter des avantages.
Si l'objectif c'est d'être compétitif sur un secteur, ce n'est sûrement pas de prendre Microsoft pour être plombé à n'importe quel moment par un système qu'on ne maîtrise pas, qui est la bonne solution.
J'ai étudié le système de santé américain via des commissions d'enquêtes, et il n'est pas inintéressant en matière d'accès aux informations médicales. Aux Etats-Unis, les bases de données de santé sont centralisées, ce qui fait que si vous allez consulter à l'autre bout du pays, le médecin aura la totalité de vos données immédiatement. Avec un historique de vos consultations, la liste des médicaments que vous prenez, vos allergies, etc… Mais là-bas, ce n'est pas du tout fait pour mieux vous soigner, c'est fait pour juguler les frais médicaux qui dépendent des assurances.
Il semble qu’en matière de partage de données en général, il n’y ait pas d'autre discours que celui de la compétition industrielle et commerciale et d’une obligation de les mettre à disposition des acteurs qui developpent de l'intelligence artificielle : qu’en pensez-vous ?
Je pense que rien n'est criminel, mais ce qui est très ennuyeux c'est l'absence de transparence. C'est ça qui est problématique, parce qu'on ne joue pas avec des données de santé. La méthode, dans le cas du Health Data Hub, ne convient pas. Quand la méthode est mauvaise, ça crée des incertitudes, des trous dans les dispositifs, des insécurités. Je ne nie pas que le sujet est peut-être intéressant, qu'il peut présenter un certain nombre d'avantages, c'est certain.
On n'a pas à partir du principe qu'en France on est incapable de faire la même chose que Microsoft et présupposer que c'est cette entreprise qui doit héberger l'affaire.
Mais je regrette — alors qu'on est capable de faire des Grenelles de l'Environnement et des Ségur de la Santé — que l'on n'ait pas fait une réflexion collective avec les sociétés françaises qui sont nombreuses à être capables de faire ça pour essayer de voir comment mettre ça en place en France avec nos propres moyens. Si l'objectif c'est d'être compétitif sur un secteur, ce n'est sûrement pas de prendre Microsoft pour être plombé à n'importe quel moment par un système qu'on ne maîtrise pas, qui est la bonne solution.
Les données de santé sont des données à caractère sensible et donc soumises à des limitations très strictes dans le droit européen. Comment allier ces limitations avec leur traitement par des industriels du privé ou des centres de recherche, grâce au Health Data Hub ?
Il n'y a pas eu de débat sur ces problèmes. C'est donc là où il faut réfléchir, tout comme savoir comment l'accord avec Bill Gates a été conclu, en particulier sur une inadéquation supposée des acteurs français. Il y a vraiment des problèmes en France, puisque lorsqu'on voit par exemple que sur des données pour les aides sociales rien n'est connecté entre les départements pour aider à limiter les abus dans les déclarations, alors que sur des données de santé éminemment privées, c'est l'inverse. C'est extrêmement choquant. Cela veut dire que le système quand il veut se mettre en marche, il le peut, mais que pour d'autres choses il ne fait rien. Donc il y a un côté dans ce système qui est de mauvaise foi.
Au final, je ne me positionne même pas sur l'intérêt du sujet, mais je dis qu'on n'a pas à partir du principe qu'en France on est incapable de faire la même chose que Microsoft et présupposer que c'est cette entreprise qui doit héberger l'affaire. On n'a pas à tricoter un partage des données de santé sans prévenir les citoyens — et à tout le moins leur représentation nationale —, sans la moindre transparence et sans la moindre garantie ! Je trouve que tout ça mérite donc quelques explications…