Le gouvernement français livre les dossiers médicaux des administrés à Microsoft

Le 31 mars 2019, le Président de la République française a officiellement lancé un plan « intelligence artificielle » (IA)[1]. Le processus a débuté un an plus tôt, le 28 mars 2018, par un rapport du député de La République en Marche Cédric Villani. Le 16 avril 2018[2], Emmanuel Macron recevait à l’Elysée le fondateur (et encore actionnaire) de Microsoft, Bill Gates. Ce processus a donné lieu à l’adoption de la loi Santé du 24 juillet 2019[3], destinée à « encadrer par l’humain l’emploi de l’intelligence artificielle et du big data » et à la création sous la forme d’un groupement d’intérêt public d’un système de base de données et de services liés : le Health data hub (le terme n’a pas été traduit par les instances gouvernementales), en abrégé HDH, qui permette de croiser les bases de données de santé. Ce « hub », qui élargit les missions de l’ancien Institut national des données de santé, regroupe tous les systèmes informatisés des hôpitaux, pharmacies, dossiers médicaux partagés et données de recherche issues de différents registres.

Une collecte de données sanitaires réellement provisoire et sécurisée ?

Pendant le confinement, l’arrêté du 21 avril 2020 complétant un arrêté du 23 mars 2020 prescrivant les mesures d’organisation et de fonctionnement du système de santé nécessaires pour faire face à l’épidémie de covid-19 dans le cadre de l’état d’urgence sanitaire[4] a été publié au Journal officiel. Il autorise la collecte des données relatives à l’état de santé des patients par ce « hub » (HDH), en principe « pour les besoins de la gestion de l’urgence sanitaire et de l’amélioration des connaissances sur le virus covid-19 », la Commission nationale de l’informatique et des libertés (CNIL) dans sa délibération du 20 avril[5] ayant insisté sur le caractère nécessairement temporaire de cette mesure. Mais peut-on croire au caractère réellement provisoire du stockage des données et à l’effectivité des « mesures juridiques et techniques adaptées […] afin d’assurer un haut niveau de protection des données » recommandées par la CNIL, dès lors que toutes ces données sont stockées sur Microsoft Azure, la plateforme de cloud computing du géant américain Microsoft ?

Comme l’avait souligné le député du parti présidentiel de l’Essonne Pierre-Alain Raphan, dans le journal économique Les Echos du 28 octobre 2019, à l’origine de la plateforme HDH se trouvent « certains acteurs, proches des GAFAM » comme Gilles Wainrib, « le Fondateur de la start-up OWKIN qui lève régulièrement des fonds auprès de Google Venture »[6] (OWKIN a été lancée avec une bourse de Sanford PostDoc en 2016 et qui prospère aujourd’hui grâce à des fonds[7] français et chinois de Cathay Capital[8]). Le 18 février 2019, la revue en ligne La Lettre A[9] présentait le HDH comme « un chantier-vitrine de l’intelligence artificielle à la française voulue par Emmanuel Macron ainsi qu’une énorme opportunité pour Google, Amazon et Microsoft ». Alors que des spécialistes défendaient des solutions alternatives, la directrice d’HDH Stéphanie Combes a dû admettre dès décembre 2019[10] que le choix de Microsoft était un « choix d’opportunité » afin « d’aller vite » dans le développement de la plateforme. « S’il y avait eu une alternative, nous aurions dû passer par un marché public et la procédure aurait été beaucoup plus longue », déclarait-elle à un journaliste du magazine TicSanté[11].

« Pour se prémunir de fuites au sein du Health Data Hub, l’accent a été mis sur la pseudonymisation des données, mais l’anonymat complet est impossible : comme le montrent plusieurs études universitaires, il suffit de croiser un nombre limité de données pour ré-identifier un patient » notait M. Raphan dans sa tribune. Et ce n’est pas le seul problème que pose l’hébergement de la plateforme française par Microsoft. En mars 2018, le gouvernement américain a adopté une loi appelée Cloud Act qui permet à la justice états-unienne d’accéder aux données stockées dans des pays tiers. Le président de la CNIL a déclaré en septembre à l’Assemblée nationale que ce texte était contraire au règlement général sur la protection des données (RGPD) qui est censé protéger les citoyens européens[12].

Le risque additionnel d’une cyber-attaque

Outre les questions judiciaires, il faut aussi envisager le risque d’une cyber-attaque. « Le HDH se développe sur un modèle centralisé, avec pour conséquence un impact plus élevé en cas de piratage informatique. On pourrait penser que les Gafam proposent des solutions ultra-sécurisées. Or, les attaques viennent souvent de l’intérieur, c’est-à-dire des personnels ayant accès aux données » soulignait dans Le Monde du 10 décembre 2019 un collectif initié par des professionnels du secteur et de l’informatique médicale[13].

En mai 2019, WhatsApp avait annoncé qu’une faille dans son application permettait à un malware (logiciel malveillant) créé par l’entreprise de cybersécurité NSO Group[14] d’être téléchargé sur un smartphone via un simple appel manqué. Le Financial Times a aussi révélé que NSO avait développé un nouveau spyware (logiciel espion) nommé Pegasus, non seulement capable de collecter les données stockées sur un smartphone, et les informations stockées sur les serveurs « Cloud » d’Apple, Google, Facebook, Amazon ou Microsoft si la victime se sert de leurs services de Cloud. NSO utilise aujourd’hui la technologie de ce logiciel pour proposer un traçage des malades porteurs du Covid-19[15]. Les données de géo-localisation, les messages archivés et les photos des utilisateurs peuvent ainsi être capturés.

Rappelons enfin qu'Edward Snowden a mis en évidence dans ses révélations de 2013 la porosité entre Microsoft et les agences de renseignement américaines, ce qui avait à l’époque provoqué une crise de confiance des usagers des « clouds » fournis par les opérateurs américains[16]. Ces révélations qui corroborent pourtant les inquiétudes du Président de la CNIL évoquées plus haut n'ont manifestement pas inquiété nos décideurs

La gravité des enjeux impose une vigilance

Le Conseil national des barreaux[17], Conseil national de l’ordre des médecins[18], des collectifs d’éditeurs de logiciels[19], et des professionnels de santé[20] ont attiré l’attention de l’opinion publique sur les dangers que présente le Health Data Hub. Ce danger ne doit pas être appréhendé uniquement à partir de l’état actuel des possibilités d’appropriation des données légale ou par voie de piratage, mais aussi à la lumière des projets des grands trusts internationaux.

Le Forum économique mondial (Forum de Davos), qui s’investit dans des structures sanitaires globales comme la Coalition pour l’innovation dans l’anticipation des épidémies (Coalition for Epidemic Preparedness Innovations - CEPI) lancée au forum de Davos de 2017[21] ne fait pas mystère de son intention d’instaurer une « traçabilité » de tous les citoyens du monde à partir de leur identité financière digitale (digital financial identity)[22] permettant de dématérialiser toutes les transactions mais aussi de centraliser toutes les informations sur la situation personnelle d’un individu. Et de la collecte de donnée à leur utilisation à des fins de contrôle des comportements il n’y a parfois qu’un pas, comme l’a montré l’exemple chinois[23], ce qui est particulièrement inquiétant quand sont en cause divers éléments couverts par le secret médical, y compris dans certains cas le décodage de l’ADN des individus.

La gravité des enjeux rend d’autant plus surprenante cette hâte du gouvernement français à céder les données sanitaires des citoyens aux « cloud » de Microsoft, avant même qu’il ne fut question de pandémie, et doit inciter l’opinion publique à la plus grande vigilance.

Frédéric Delorca, Auteur invité,

Juriste, sociologue, Auteur de « Les régimes populistes face au mondialisme » (Editions du Cygne, 2017)

____

[1] https://solidarites-sante.gouv.fr/actualites/presse/communiques-de-presse/article/creation-officielle-du-health-data-hub

[2] AFP, 16 avril 2018 à 11h04, repris par Le Point.

[3] https://www.innovation-mutuelle.fr/actualite/le-projet-de-loi-bioethique-veut-encadrer-par-lhumain-lemploi-de-lia-et-du-big-data-en-sante/

[4] https://www.legifrance.gouv.fr/affichTexte.do?cidTexte=LEGITEXT000041812986&dateTexte=20200421

[5] https://www.cnil.fr/sites/default/files/atoms/files/deliberation_du_20_avril_2020_portant_avis_sur_projet_darrete_relatif_a_lorganisation_du_systeme_de_sante.pdf

[6] https://www.lesechos.fr/idees-debats/cercle/opinion-soignons-nos-donnees-de-sante-1143640

[7] Le 9 mai, Owkin a reçu un financement de 25 millions de dollars. Les investisseurs de cette ronde de financement comprennent Bpifrance Large Venture, Cathay Innovation et MACSF (Caisse de retraite des médecins-cliniciens français), ainsi que les investisseurs existants GV, etc. Le financement total de la première série de la société a atteint 43,1 millions de dollars américains. Owkin vend une plate-forme pour les chercheurs en médecine utilise des algorithmes d’apprentissage automatique et d’apprentissage en profondeur pour permettre aux utilisateurs de créer facilement des modèles prédictifs et de les appliquer dans tous les domaines de la recherche médicale, y compris pour optimiser le développement de médicaments, la prédiction de survie, la découverte de cibles, les essais cliniques et l’analyse du marché des médicaments. (Sina.com, 20 mai 2020, https://cj.sina.com.cn/articles/view/7281584087/1b20427d701900vzs2?from=finance).

[8] https://www.challenges.fr/finance-et-marche/cathay-capital-le-puissant-fonds-qui-surfe-sur-le-business-franco-chinois_585096

[9] https://www.lalettrea.fr/action-publique_executif/2019/02/18/comment-les-gafam-et-capgemini-s-invitent-dans-la-mine-d-or-des-donnees-medicales,108345136-ge0

[10] Mind Health https://www.mindhealth.fr/article/16988/stephanie-combes-health-data-hub-nous-envisageons-un-nouvel-appel-a-projets-d-ici-la-fin-de-l-annee/

[11] Léo Caravagna, « Microsoft prestataire du Health Data Hub: un choix "d’opportunité" pour "aller vite" », 27 décembre 2019 https://www.ticsante.com/story/4937/microsoft-prestataire-du-health-data-hub-un-choix-d-opportunite-pour-aller-vite.html

[12] https://www.vie-publique.fr/sites/default/files/rapport/pdf/194000532.pdf

[13] https://www.lemonde.fr/idees/article/2019/12/10/l-exploitation-de-donnees-de-sante-sur-une-plate-forme-de-microsoft-expose-a-des-risques-multiples_6022274_3232.html

[14] NSO a été fondé en 2010 par le département informatique des Forces armées israéliennes https://mondointernazionale.com/en/academy/the-nso-group-the-new-israeli-mossad-1

[15] NBC 27 avril 2020 https://www.nbcnews.com/nightly-news/video/an-inside-look-at-a-new-coronavirus-contact-tracing-tool-as-experts-raise-privacy-concerns-82595397550

[16] https://www.infoworld.com/article/2610903/the-nsa-s-spying-has-in-fact-hurt-u-s--cloud-providers.html

[17] https://www.cnb.avocat.fr/sites/default/files/11.cnb-mo2020-01-11_ldh_health_data_hubfinal-p.pdf

[18] https://www.conseil-national.medecin.fr/sites/default/files/external-package/edition/od6gnt/cnomdata_algorithmes_ia_0.pdf

[19] https://www.santenathon.org/