Regards croisés sur les transferts de données

Regards croisés sur les transferts de données

Entretien

Stéphanie Combes : «Une ambition nationale pour les données de santé»

La directrice générale du Health Data Hub réagit au rapport de La villa numeris «Les données au service de la souveraineté européenne» avec Valérie Chavanne, avocate, et Quentin Roland, juriste NTIC, qui en ont dirigés les travaux

Les données de santé sont parmi les plus sensibles. Pour éclairer ses travaux sur les transferts transfrontaliers de données. La villa numeris avait auditionné Stéphanie Combes, directrice générale du Health Data Hub, plateforme des données de santé destinée à faciliter le partage des données de santé multi-sources afin de favoriser la recherche. Elle réagit à présent à la publication du rapport.

Quentin Roland, juriste NTIC (LegalUp Consulting) : merci d’avoir accepté de répondre à nos questions pour rebondir sur la publication du rapport de La villa numeris pour un cadre de confiance des données. Vous aviez d’ailleurs déjà contribué à nos travaux lors d’une audition au printemps dernier. Nous pourrions peut-être commencer par discuter, au vu des développements récents, d’une des thématiques que nous abordons dans le livre blanc, qui est celle des licences. On voit de plus en plus aujourd’hui se développer des solutions de géants du numérique (par exemple américain ou chinois) opérées par des acteurs européens sous licence, afin d’éviter l’application de législations étrangères à effet extraterritorial qui pourraient permettre à un gouvernement tiers l’accès aux données de citoyens européens. Une telle configuration est de plus en plus reconnue et cadrée, par exemple avec la stratégie française du «Cloud de confiance».

Que pensez-vous de ces récents développements et de ce type de solutions ? Envisagez-vous éventuellement de mobiliser ce genre d'alternatives dans un but de mise en conformité avec l’arrêt Schrems II, et pour répondre à l’engagement du Health Data Hub concernant le changement de technologie d’hébergement d’ici deux ans ?

Stéphanie Combes, directrice générale du Health Data Hub : D’abord, et je vais peut-être commencer avec cela, il me semble qu’il y a deux sujets à bien distinguer. La décision Schems II et d’une manière générale, le risque extraterritorial pour les acteurs utilisant des solutions étrangères et la volonté d’une souveraineté numérique, dont l’ambition est plus large que juridique il me semble, et crée un mouvement dans lequel le Health Data Hub souhaite s’inscrire en préparant sa migration .

S’agissant de la décision Schrems II. Il me semble important de rappeler qu’elle concerne les transferts de données personnelles organisés de manière volontaire. L’exemple le plus typique est celui de certains réseaux sociaux qui transfèrent des données dans le cadre de leurs activités, et c’est précisément ce qui a entraîné la série d’arrêts Schrems : il s’agissait d’un transfert de données personnelles organisé de façon volontaire et dans le cadre du fonctionnement normal de Facebook. Ces données personnelles peuvent potentiellement être concernées par des législations telles que le Cloud Act et peuvent donc faire l’objet d’une réquisition par des autorités étrangères dans certains contextes. La situation du Health Data Hub est significativement différente du cas de figure que je viens de décrire, et c’est cela que nous peinons à expliquer aujourd’hui.

Complexité

Cela ne retire rien à l’importance du sujet de la réglementation des transferts de données et à son aspect crucial aujourd’hui, l’arrêt Schrems II est une bonne occasion de nous interroger collectivement sur la place des entreprises américaines dans notre écosystème mais il concerne avant tout les organismes qui transfèrent des données personnelles vers les Etats-Unis, ce que nous ne faisons pas au Health Data Hub puisque toutes les données de santé sont hébergées et traitées exclusivement en France.

Certains voudraient interpréter l’arrêt Schrems II comme une interdiction définitive et absolue de travailler avec des organismes américains mais ce n’est pas ce qu’a dit la Cour de justice l’Union Européenne ni ce qu’en disent les autorités de protection des données personnelles. Néanmoins, elles appellent à une plus grande vigilance et demandent que des mesures supplémentaires soient mises en oeuvre pour protéger les données dès lors qu’une entité américaine intervient. C’est précisément ce que nous avons fait au Health Data Hub et cela s’est traduit par la signature de 7 avenants avec Microsoft, dont notamment des avenants qui apportent des garanties sur l’impossibilité d’accès aux données par des administrateurs (via des solutions techniques telles que l’utilisation d’une lockbox par exemple). Nous listons les services auxquels nous avons recours et qui sont tous régionalisés, localisés en Europe (et nous avons d’ailleurs renoncé à plusieurs services très intéressants pour cette raison).

Le débat est donc complexe avec un véritable risque d’instrumentalisation.

Valérie Chavanne, avocate, fondatrice du cabinet LegalUp Consulting : Les inquiétudes et cette instrumentalisation que vous mentionnez seraient-elles liées à la nature des données concernées ? Vous parliez de Facebook par exemple, mais les données de santé sont peut-être plus sensibles que les données transférées par Facebook ?

Stéphanie Combes : Les données de santé sont des données sensibles, il n’y a pas de débat. Il ne me semble en revanche pas si évident de comparer le caractère sensible des données. Les réseaux sociaux brassent des données personnelles extrêmement sensibles à commencer par des photos de visage, des détails précis relatifs à la vie privée des individus, lorsque nous, nous traitons des données dé-identifiées de recherche. Les réseaux sociaux ont même servi, par le biais de groupes, à discuter de la situation des patients dans le cadre de la crise sanitaire. Le Health Data Hub est un outil qui a été créé par l’Etat pour garantir la manière dont les données seront stockées mais aussi traitées et mises à disposition.

Nous ne sommes pas non plus hébergeurs de données dans le cadre des soins courants comme le sont les prestataires hébergeurs des établissements de santé par exemple ou des applications qui se développent de plus en plus aujourd’hui. Nous sommes vraiment positionnés sur le volet de la réutilisation secondaire de données avec plusieurs étapes de pseudonymisation et une gouvernance d’accès très précise.

Quoi qu’il en soit, les données que nous traitons restent bien sûr sensibles et nous les considérons comme telles, notamment en termes de sécurité et de respect des droits des personnes. Le RGPD s’applique évidemment, mais pas seulement. Nous sommes également concernés par l’arrêté relatif à la sécurité du système national des données de santé, qui est extrêmement exigeant en la matière, et nous travaillons depuis 2019 avec l’ANSSI concernant l’architecture de notre plateforme, ses audits et la gouvernance de sécurité d’une manière générale.

Pour revenir sur Microsoft, il faut rappeler que nous l’utilisons comme prestataire pour une partie des besoins de la plateforme technologique. Nous n’avons pas sous traité à Microsoft l’activité de construire, opérer et maintenir la plateforme. Nous utilisons Microsoft en complémentarité avec un ensemble de solutions, dont certaines proposées par des entreprises locales, européennes ou françaises. Quant au choix de ce fournisseur, il a résulté d’une simple comparaison entre les différents acteurs rencontrés à l’époque et à qui avaient été exposées les exigences de sécurité attendues - qui sont réglementaires - et de fonctionnalités.

Dans ce contexte, la question s’est posée de l’application de législations extraterritoriales qui permettent un accès aux données même sans transfert volontaire. Plusieurs études juridiques ont été menées et ont conclu à une non application des lois extra-territoriales dans notre contexte précis. Les conclusions ne préjugent pas de l’application de ces lois dans un autre contexte et j’invite les acteurs à mener ces analyses au cas par cas.

Le fait que le sujet soit complexe et exige une instruction au cas par cas est une vraie difficulté en matière de communication, car la question est souvent abordée de manière globale.

Ambition de souveraineté

La volonté de l’Etat de recourir de plus en plus à des solutions souveraines pour ses actifs me semble couvrir le sujet juridique mais pas seulement. Dans ce contexte, le Ministre des Solidarités et de la Santé a pris un engagement sur une migration vers une solution souveraine. Engagement qui avait été anticipé dès le démarrage du projet, puisque nous avons exigé dès la conception de la plateforme des garanties de réversibilité pour ne pas préempter le futur.

Cette ambition de souveraineté se justifie de différentes manières. Le débat se concentre souvent sur le risque extraterritorial, mais l’on pourrait considérer aussi qu’il est souhaitable de renforcer l’autonomie stratégique de l’Europe, d’apporter un soutien à la filière industrielle française, etc. Il semble majeur d’être en capacité de répondre avec des outils souverains à des besoins pour lesquels il y a un risque à les confier à d’autres, par exemple en cas de conflit.

Nous concernant plus spécifiquement et pour en revenir à votre question initiale, dans le contexte de l’engagement à migrer, les solutions sous licences nous semblent en effet constituer des alternatives intéressantes. En particulier parce que sur le plan technique, elles répondent bien à nos besoins et devraient rendre la migration plus facile à opérer. Ce n’est en effet pas parce que la migration est prévue et faisable, qu’elle ne représente pas un effort sur le moment. Effort qui reste significativement moindre à la création d’une nouvelle plateforme bien entendu.

Pour conclure, je dirais qu’il serait utile que le débat soit plus accessible dans sa globalité. Il me semble, qu’il serait utile de rappeler ou questionner ce qu’est la souveraineté numérique. De mettre les objectifs poursuivis en face des risques envisagés afin de pouvoir offrir une réponse souple et agile, pouvant s’adapter aux contextes rencontrés, et permettant de poursuivre l’objectif bienvenu de souveraineté numérique sans compromettre d’autres enjeux tout aussi important le temps que l’ensemble des briques nécessaires à cette souveraineté soient disponibles.

Valérie Chavanne : Dans le livre blanc, nous évoquons une stratégie en deux temps, assurant dans le court terme la poursuite des activités européennes et la persistance de son économie comme de sa capacité d’innovation, afin de donner le temps à des solutions souveraines d’émerger sur le moyen et long terme. Il s’agit d’accorder une vision pragmatique, qui reconnaît l’efficacité des solutions des géants du numérique, sans abandonner malgré tout les objectifs stratégiques européens de souveraineté qui, selon vous, gagneraient malgré tout à être définis.

Stéphanie Combes : A titre personnel, je reconnais la complexité du sujet. Je suis ingénieur de formation, j’ai analysé des données par le passé et eu recours aux solutions de fournisseurs américains au vu de la performance de celles-ci. Certainement qu’au-delà des États-Unis, des solutions performantes se développent aussi, par exemple en Chine.

Si on se prête à une analogie avec le secteur de l’énergie, on peut voir que l’on fait face à des enjeux de souveraineté majeurs également et que les solutions apportées l’ont été grâce à un mix énergétique mais surtout à une spécialité française dans certaines sources majeures. Peut-être qu’un raisonnement similaire peut être tenu en matière de Cloud. Il me semble notamment crucial de s’intéresser aussi aux couches hautes, notamment intégrant de l’intelligence artificielle, sur lesquelles nous pouvons probablement tirer notre épingle du jeu grâce à notre excellence mathématique.

En effet, il me semble que le sujet de demain risque d’être celui de la souveraineté des usages. En santé, il y a une vraie probabilité que des applications se développent très rapidement pour aider à analyser les conditions de santé, et un vrai risque qu’elles se développent principalement à l’étranger où les données de santé pour entraîner les algorithmes sont plus accessibles. On fera face alors à un certain nombre de difficultés, est-ce que les données utilisées seront représentatives ? auront-elles été traitées dans le respect du RGPD ?

Notion d’urgence

De mon point de vue, compte tenu de nos atouts français en matière de données de santé, nous avons une carte à jouer alors que le monde entier développe de plus en plus les usages des données de vie réelle. De ce point de vue, le Health Data Hub est un outil mais seulement une brique du dispositif d’ensemble. Il me semble que nous devrions nous demander collectivement quel patrimoine de données de santé nous voulons pour la France à 3 à 5 ou 10 ans et investir pour produire la meilleure recherche et innovation. Un tel gisement, par exemple un observatoire de médecine de ville, serait précieux également pour le pilotage du système de santé et aurait été d’une grande aide dans le contexte sanitaire actuel.

Ces réflexions me semblent d’ailleurs s’inscrire pleinement dans le contexte qui s’ouvre avec la présidence française au Conseil de l’Union Européenne et compte tenu de la position de l’UE sur le le partage des données de santé à l’échelle européenne. Une ambition nationale pourrait être proposée, pour les données de santé, et pour le Health Data Hub en tant qu’opérateur, avec à mon sens, une notion d’urgence qui n’a pas faibli.

Valérie Chavanne : Nous sommes encore une fois tout à fait d’accord avec votre analyse, et sommes convaincus, comme mentionné dans notre livre blanc, que la question de la recherche d’une souveraineté numérique européenne ne doit pas éclipser des exigences pragmatiques de court terme : les acteurs privés comme publics doivent rester en capacité de poursuivre leurs activités et d’innover.

Stéphanie Combes : Tout à fait, et je souscris pleinement à l’objectif de souveraineté européenne et il serait intéressant d’expliciter cet objectif, son périmètre, les risques dont nous voulons nous prémunir, les forces que nous souhaitons développer, etc. Cela donnerait de la visibilité aux acteurs et permettrait peut-être de conduire des débats plus posés.

Du point de vue pratique, pour le Health Data Hub, des solutions proposées par des acteurs nationaux licenciant des technologies à l’état de l’art du marché sont intéressantes pour nous. Ce n’est pas pour autant que ces différents dispositifs ne posent pas de questions. D’un point de vue purement opérationnel, la migration de notre infrastructure actuelle est d’autant plus aisée que la technologie cible est proche. Mais cela nécessite de disposer des informations détaillées quant à la forme concrète que prendront ces partenariats hybrides, des fonctionnalités qui seront proposées et à quel moment elles seront disponibles pour des acteurs tels que nous, dans le respect du code des marchés publics.

Il existe d’autres projets, poursuivant d’autres logiques, comme celle d’intégrer différentes solutions nationales. Cela représente un véritable défi industriel que d’assurer l’intégration et la maintenance d’autant de services autonomes, mais à nouveau, du point de vue de la souveraineté, c’est une piste à ne pas négliger.

Entre-temps, comme nous l’avons abordé, nous avons mis en place un ensemble de mesures juridiques et techniques assurant la sécurité des données que nous traitons. Nous avons également investi dans le caractère réversible de notre infrastructure afin que nous puissions la re-déployer sur une autre plateforme.

Valérie Chavanne : Une dernière question, est-ce que la donnée de santé mériterait de bénéficier d’un traitement particulier dans le cadre de la législation portant sur les données à caractère personnel ?

Stéphanie Combes : Il s’agit d’une question complexe et intéressante. Les données de santé sont très hétérogène et la réglementation n’en tient pas parfaitement compte. Le référentiel de sécurité du Système national des données de santé (SNDS), par exemple, qui s’applique notamment à la grande base de l’Assurance maladie, s’applique de la même manière si vous souhaitez calculer une statistique assez simple (nombre d’actes par an par région par exemple) ou si vous souhaitez faire un traitement plus complexe mobilisant des parcours de soin individuels. La seule souplesse est quand les données sont parfaitement anonymes.

Pragmatsime

Il existe ensuite des méthodologies de référence pour réaliser certains traitements de manière plus aisée mais nous n’avons pas la vision d’ensemble et les critères qui sous-tendent la conception de l’ensemble des référentiels.

D’un autre côté, si on prenait en considération certaines caractéristiques comme le volume ou la nature des données, on pourrait être tenté de construire des régimes en nombre, de perdre les acteurs qui ne sauraient pas quand ils s’appliquent et d’aboutir à une architecture trop complexe.

Le pragmatisme peut aller dans le sens de règles uniques, mais si elles sont trop difficiles à suivre, elles peuvent aussi devenir des freins à l’innovation, nationale ou même européenne car l’enjeu de demain, c’est celui du partage de données à l’échelle européenne. Il est donc nécessaire d’avoir des gouvernances et des règles de protection, normes de sécurité similaires dans les états membres.

Quentin Roland : Nous partageons tout à fait cette analyse, qui recoupe finalement sur la thématique des données de santé ce que nous avançons dans le livre blanc. Des réglementations strictes, malgré leurs objectifs louables, sont inefficaces dans le sens où elles ne peuvent être appliquées par les acteurs européens, et finissent par devenir ironiquement contre-productives par rapport aux objectifs mêmes qu’elles poursuivent. C’est le cas dans le cadre des transferts, et c’est une analyse que nous partageons donc dans le domaine plus spécifique de la régulation des données de santé.

Stéphanie Combes : Beaucoup de questions restent donc en suspens quant à l’implémentation pratique des cas d’usage transfrontaliers. La nécessité de les réaliser va obliger à trancher ces questions, c’est un moment enthousiasmant.

Il est essentiel de rester pragmatique s’agissant des données de santé car les délais d’accès aux données et de conduite des recherches en dépendant. C’est donc la qualité des soins, l’accès à la médecine la plus moderne qui sont au coeur des enjeux. La mise en balance des différents objectifs, comme la souveraineté, et des impératifs sociaux immédiats, constitue un véritable choix sociétal.

Valérie Chavanne : De ce point de vue, ne pouvons-nous pas mobiliser la finalité particulière du traitement des données de santé, qui est quand même celle de l’intérêt général, pour introduire des règles un peu plus souples et granulaires, sans pour autant rejeter en bloc l’idée de souveraineté ?

Stéphanie Combes : Il me semble en effet que l’intérêt public de la recherche, et le Conseil d’État l’affirmait également, justifie de trouver un moyen pour avancer et ne pas retarder la recherche en santé. Cela tout en se préparant à adopter une architecture qui correspond mieux à notre objectif de souveraineté numérique.

Un tel positionnement ne prédomine pas toujours dans le débat car les principaux bénéficiaires des recherches n’ont pas forcément la possibilité de s’exprimer. La recherche reste un concept pointu et les enjeux de réutilisation des données de santé ne sont pas encore connus de tous.

C’est aussi là qu’un travail intéressant pourrait être envisagé : comment rendre accessibles ces enjeux de recherche en santé ? Il a été possible de le faire dans d’autres contextes, par exemple en écologie.

Valérie Chavanne : Auriez-vous une dernière observation, ou un message final que vous souhaiteriez transmettre pour clôre cette interview ?

Stéphanie Combes : Si je devais choisir un message, cela serait d’encourager une réflexion plus large autour du concept de souveraineté, afin de définir précisément nos objectifs et nos aspirations, en prenant en compte l’intégralité des facettes de cette thématique complexe, qui englobe non pas simplement la question de l’hébergement, mais également des usages par exemple. Ce n’est qu’en ayant conscience de l’intégralité des enjeux que recouvre ce débat que nous pourrons opérer, de manière informée et lucide, des choix cruciaux pour notre société.