Quatre questions à Eugene Favier-Baron, doctorant en philosophie des sciences à l’université libre de Bruxelles et à l’université Alpes-Grenoble, et co-auteur avec Simon Woillet et Audrey Boulard de « Le business de nos données médicales enquête sur un scandale d’Etat », paru aux éditions FYP.
L’ancre: Les données médicales sont-elles devenues une marchandise comme les autres ?
Eugène Favier-Baron : Il y a ces applications, comme les montres ou objets connectés appartenant à des plateformes privées dont le statut juridique échappe à la définition d’une donnée de santé que donne la Commission de l’informatique et des libertés (CNIL). De plus en 2018, la France a voulu se doter d’un « Health Data Hub (HDH) », à savoir une plateforme centralisée de données de santé, officiellement à des fins de recherche clinique. Celle-ci a été lancée le 1er décembre 2019 avec Microsoft Azure comme hébergeur cloud. C’est un choix qui interroge. Quel gage de sécurité des données le gouvernement français a-t-il en effet face à l’américain Microsoft ? Et de quel arsenal juridique le Règlement Général sur la Protection des Données (RGPD) européen, dispose-t-il face à l’ « American Cloud Act », qui permet un accès unilatéral du gouvernement des USA aux données d’un pays tiers ? Il n’y a pas non plus de garantie de transparence autour de la circulation éventuelle des données sur le marché des assureurs ou de divers autres acteurs, dont d’autres géants du numérique qui les convoitent .
L’Ancre: Comment s’est opéré ce glissement ?
E. F-B : Précisément par ce mélange entre secteur privé et public que cette plateforme symbolise. Il n’y a pas eu d’offre de marché public à proprement parler. Agnès Buzyn, alors Ministre des Solidarités et de la Santé, a mandaté un ancien de la multinationale IQVIA, dont un des prestataires était Microsoft. Grâce à une procédure accélérée et sans mise en concurrence, c’est finalement Microsoft qui a été choisi pour gérer des données pourtant très sensibles, alors qu’il y avait des hébergeurs cloud français comme OVH qui s’étaient positionnés. Il y a forte suspicion de conflit d’intérêt. La réponse officielle à ces critiques a été: « Il faut aller vite, et ce sont les seuls susceptibles de pouvoir faire le job. Et les données étant pseudonymisées, il est impossible d’identifier la personne ». Or, il suffit aujourd’hui de cinq variables (le sexe, l’âge, une ville de résidence, emploi ou pas…) , pour re-identifier quelqu’un. Et c’est Microsoft, soumis au droit américain, qui a les clefs de chiffrement et de déchiffrement. Autre problème : la centralisation des données augmente le risque de piratage, comme on a pu le voir pendant la pandémie. Or, ce qui intéresse le privé c’est de pouvoir cibler les personnes. C’est un enjeu technique, mais aussi politique. Avec en arrière fond une remise en cause de la sécurité sociale, fondée sur l’accès aux soins pour tous et la collectivisation des risques. Le rêve d’un assureur privé est à l’inverse d’individualiser les risques pour maximiser ses gains. Une mutuelle pourrait ainsi faire payer chacun en fonction de son parcours santé .
L’Ancre : La pandémie a-t-elle accéléré le phénomène ?
E. F-B : Le contexte sanitaire a pu renforcer le narratif de précipitation au nom d’un principe « d’intérêt public » bien vague. Le but de l’application « TousAntiCovid « , est de lancer un marché de la donnée de santé et d’en capter le plus possible. Un dossier médical sur le Darknet se revend 250 euros. Doctolib, dont les pratiques déloyales alertent de nombreux médecins, a d’ailleurs été épinglé en Allemagne pour avoir vendu des données de santé à Facebook, pour faire du ciblage publicitaire. En France, Doctolib gère les données de santé liées à la politique de vaccination. Or, elle héberge ses données chez AWS, le cloud d’Amazon. Le collectif Interhop qui milite pour garantir le droit à la protection des données personnelles, a pu prouver que les données de Doctolib étaient accessibles en clair sur les serveurs et qu’ Amazon pouvait y avoir accès. Cette situation l’a amené à porter un recours au Conseil d’Etat contre la plateforme pour atteinte grave à la vie privée et à la protection des données. Mais ils ont perdu. Doctolib est aussi critiqué pour noter les médecins sans qu’ils soient au courant, sur des critères comme la qualité de soins ou le temps d’attente, à la manière des plateformes comme Airbnb. A terme ce qui est visé, c’est d’instaurer des bonus-malus selon le fonctionnement du médecin, un peu à la chinoise.
L’Ancre : Comment rétablir la souveraineté de nos données médicales ?
E. F-B : Il y a des solutions qui sont privilégiées par le collectif Interhop. Il faudrait, comme le préconise la feuille de route du « cloud de confiance » proposée par le gouvernement à la suite du recours contre le « Health data Hub », augmenter les garanties juridiques et techniques, insuffisantes avec Microsoft. Pour se permettre un droit européen, il faut avoir une technologie européenne et favoriser la commande publique et les acteurs nationaux du cloud. Cependant Gaia-X dont Scaleway ou encore Hosteur se sont récemment retirés du projet, le jugeant compromis par la présence de GAFAM ou de géants chinois comme Huawei. Selon Bruno Le Maire, aucun clouder européen ne remplit les conditions minima. Une Société s’est pourtant créée autour de Capgemini, Orange et Microsoft pour proposer une solution au HDH. Celle-ci serait prête avant fin 2022. Mais en attendant que fait-on du HDH, dont le décret d’application a été annoncé en juillet dernier ? Il faut aussi interdire la présence d’acteurs pharmaceutiques et assurantiels dans le HDH et autres infrastructures de traitement de données de santé des citoyens. Voire s’interroger sur la nécessité de cette plateforme .
Merci à NVO.fr (dans lequel est paru l’article le 9 décembre 2021)
