Le Health Data Hub (HDH) est une initiative du gouvernement Français née en 2019, visant à réunir les données de santé des citoyens auprès de différents acteurs (publics et privés). Les deux objectifs principaux du projet sont : d’une part de croiser les données d’un patient pour lui prescrire les meilleurs soins possibles. D’autre part, d’utiliser cette immense quantité de données dans la recherche pour en tirer de nouvelles avancées scientifiques. Un projet ambitieux et louable donc, mais la nature ultra-sensible des données de santé des Français en fait la cible de nombreux observateurs et envieux.
Un choix technologique surprenant et en toute discrétion
Un projet d’une telle ampleur, sur des années, ferait les affaires de nombreux fournisseurs technologiques. En France, en principe, tout projet ouvert sur les marchés publics doit suivre une procédure stricte d’appel d’offre. Mais dans le cas du HDH, le ministère de la Santé n’a procédé à aucun appel d’offre, Européen ou national.
Le ministère s’est ainsi contenté de passer commande à l’Union des groupements d’achats publics (UGAP) au titre d’un besoin courant en solution, comme le laisse supposer le mail d’un responsable de l’UGAP à une journaliste de Radio France. Ce dernier indique que les finalités d’usage n’ont pas à être communiquées.
Ainsi, dans ce cas, les critères d’obligations de publicités et de mise en concurrence pour un tel projet semblent être côchés, mais pas respectés. Auditionné par le Sénat le 2 février dernier, le secrétaire d’État chargé du numérique Cédric O s’est dédouané du choix de Microsoft en expliquant s’être appuyé sur la société Capgemini pour étudier les solutions possibles.
Selon l’entreprise française de service numérique (ESN), seul Microsoft pouvait répondre au cahier des charges du HDH. Un argument à la solidité relative lorsque l’on connait le secteur et les acteurs européens du Cloud, ou tout simplement si l’on se réfère à la liste des hébergeurs certifiés en termes de données de santé. La relation de partenariat historique entre Capgemini et Microsoft, a interpellé et provoqué la suspicion auprès de nombreux acteurs. Cette mise en perspective des événements dans le choix du fournisseur d’hébergement interroge.
Le Ministère a-t-il procédé par facilité, par habitude, sans prise en compte du caractère stratégique du projet et sans vision sur l’ensemble des conséquences ? Ou s’agit-il, comme certains esprits critiques l’affirment, d’un relatif favoritisme ?
La réplique informationnelle et juridique d’organismes du numérique français, de certains élus et de l’opinion
Face à ce choix de Microsoft, de nombreuses voix s’élèvent, mettant en exergue le non-respect des processus d’appels d’offres publics, mais surtout le risque de souveraineté des données des citoyens français. En effet, le Cloud Act de la loi Américaine et sa portée extraterritoriale pourraient permettre au gouvernement des États-Unis d’obliger Microsoft à fournir l’accès à toutes les données que l’entreprise héberge, incluant celles du HDH.
Un collectif d’entreprises et associations a donc saisi le Conseil d’Etat. Lors de cette procédure juridique, l’avocat du collectif a demandé l’accès à certains contrats du projet. Le fait que ces derniers aient été signés après la demande, met en évidence des incohérences et contradictions dans le dossier.
Les organismes nationaux ne sont pas en restes. La Commission Nationale de l’Informatique et des Libertés (CNIL) et la Caisse Nationale d’Assurance Maladie (CNAM) ont mis en garde sur les risques liés à ce projet. Comme présenté dans cette délibération de la CNIL datant d’avril 2020. Ces procédures prenant du temps et ayant un effet relatif, certains acteurs se sont lancés dans des actions d’affrontement informationnels.
C’est le cas par exemple de Bernard Benhamou, président de l’Institut de la souveraineté numérique, qui a pris la parole pour dénoncer le choix de Microsoft. Ou bien d’un autre collectif de chercheurs qui se sont exprimés dans Le Monde. Ou encore l’association Anticor, qui lutte contre la corruption et qui s’est impliqué dans le dossier.
Un début de rebond dans une démarche de souveraineté ?
Ces actions ciblées ont donné naissance à une polémique suffisamment importante pour que l’État fasse machine arrière. Outre l’audition de Cédric O au Sénat, le projet est actuellement à l’arrêt (depuis janvier 2022) et le choix de Microsoft est devenu un point bloquant. Néanmoins, depuis l’annonce de la mise en stand-by du projet, rien n’a bougé. A commencer par le budget, sa non-évolution n’indique pas de changement d’hébergeur en vue. A minima, cet épisode aura montré deux choses :
La première : que la société civile n’entend plus laisser les géants de GAFAM faire leurs affaires avec ses données sans rien dire, ni agir.
La seconde, que le message a été entendu par les entreprises majeures de notre industrie informatique française, comme l’illustre le projet Bleu lancé en 2021, toujours sur des technologies Microsoft, mais cette fois hébergées et exploitées par une alliance de Capgemini et Orange, pour poser enfin la première brique d’un cloud souverain et performant.
Jérémy Grandillon
Auditeur de la 38e édition MSIE