Health Data Hub : un collectif critique le choix Microsoft
Azure : rance maladie ?
Le 13 mars 2020 à 14h27
9 min
Droit
Droit
Un collectif d’entreprises et d’associations « œuvrant dans le monde des logiciels libres de l’open source et des données ouvertes » annonce avoir adressé une lettre au ministre de la Santé. En ligne de mire ? Le Health Data Hub et ses liens avec Microsoft.
Le Health Data Hub est une plateforme de gestion des données de santé créée à la suite de la remise du rapport Villani. L’enjeu ? Faciliter « le partage en mettant en relation les producteurs et les utilisateurs publics comme privés selon un processus standardisé, lisible et non discrétionnaire », selon la présentation faite par le ministère de la Santé.
Créé par l'article 41 de la loi du 24 juillet 2019 relative à l'organisation et à la transformation du système de santé, le HDH est géré par le groupement d'intérêt public. Il a pour vocation d’apporter de nouveaux matériaux en matière de recherche médicale, afin de faciliter la détermination « des prises en charge adaptées et efficaces pour les maladies rares en agrégeant des observations de sources multiples » ou encore le dépistage des états précancéreux « grâce à l’intelligence artificielle ».
« Si ce fichier centralisé des données de santé de l'ensemble de nos concitoyens constitue un progrès considérable, les modalités de stockage de ses données interrogent », réagit un collectif réuni sous la bannière du site Santenathon.org. Et pour cause, c’est Microsoft qui a été choisie comme prestataire.
Vendredi dernier, ces acteurs du logiciel libre français ont adressé un courrier à Olivier Véran, ministre des Solidarités et de la Santé. Les signataires (NEXEDI, CNLL, Ploss Auvergne Rhone Alpes et SoLibre) y expriment un doute « sur la légalité de l’attribution du marché public d’hébergement des données de santé publique à Microsoft Azure ».
« Le choix d’avoir recours à l’entreprise américaine Microsoft pour l’hébergement des données, sans qu’il n’y ait eu d’appel d’offre ou de mise en concurrence préalable interpellent les acteurs du logiciel libre français » assènent-ils. Selon eux, aucun appel d’offre ou de mise en concurrence n’a été publié « faisait craindre à une méconnaissance des règles européennes de la commande publique ».
Un courrier adressé au ministère de la Santé
Dans ce courrier adressé au ministre de la Santé et au Premier ministre, que nous avons pu consulter, ils considèrent que les entreprises du cloud français ont été d’office évincées d’un appel d’offres qui n’a jamais vu le jour. Et, sous la plume de leur avocat Jean-Baptiste Soufron, ils ne comprennent pas davantage le choix Microsoft. Ceci posé, ils considèrent que la situation serait qualifiable de délit de favoritisme, alors qu’ils recherchent encore vainement trace de cet appel sur les sites officiels.
Ils réclament du coup un signalement au procureur de la République sur fond d’article 40 al 1er du Code de procédure pénale, « demandant la prononciation de la nullité du contrat conclu avec Microsoft Azure » et une indemnisation au titre des pertes de chance. « Cette décision intervient dans un contexte où le gouvernement américain, par le biais du Cloud Act adopté le 23 mars 2018 dernier, peut désormais contraindre tout fournisseur de service américain à transférer aux autorités américaines les données qu’il héberge, qu’elles soient stockées aux États-Unis ou à l’étranger ».
Dans Médiapart, Stéphanie Combes, cheffe du projet, a toutefois donné des pistes d’explications : « Nous sommes passés par l’UGAP [l’Union des groupements d’achats publics] qui fonctionne comme une centrale d’achat et qui se charge de mettre en concurrence. L’offre faisait partie d’un marché du ministère sur la sécurité. Tout ça est strictement légal ».
Le cabinet d’Oliver Veran assure à nos confrères tout autant que « le choix de Microsoft a été fait dans le cadre d’un marché public. Nous avons considéré qu’il s’agissait du seul choix correspondant aux normes que nous nous sommes fixées en matière de sécurité ».
Le choix Microsoft dénoncé au Sénat
Le 30 janvier, au Sénat, l’ADN du prestataire avait lui aussi inquiété. Claude Raynal (SOCR) avait questionné le gouvernement sur le choix de stocker ce « hub » chez Microsoft, « société soumise au Cloud act américain ».
Le 13 février dernier, le ministre de la Santé a répondu que Microsoft était certifiée hébergeur de données de santé « selon les normes de l'agence numérique de la santé », en outre, « les centres de données utilisés sont localisés en Union européenne ». On peut voir trace de cette certification sur le site esante.gouv.fr.
Microsoft y est certifiée pour les rangs 1 à 6, à savoir :
- « la mise à disposition et le maintien en condition opérationnelle des sites physiques permettant d’héberger l’infrastructure matérielle du système d’information utilisé pour le traitement des données de santé »
- « la mise à disposition et le maintien en condition opérationnelle de l’infrastructure matérielle du système d’information utilisé pour le traitement de données de santé »
- « la mise à disposition et le maintien en condition opérationnelle de la plateforme d’hébergement d’applications du système d’information »
- « la mise à disposition et le maintien en condition opérationnelle de l’infrastructure virtuelle du système d’information utilisé pour le traitement des données de santé »
- « l’administration et l’exploitation du système d’information contenant les données de santé »
- « la sauvegarde de données de santé ».
Toujours dans sa réponse, le ministre relativise : l’éditeur « ne fournit qu'une des solutions techniques permettant de la construire, ses équipes n'y ont pas accès ». Toutefois, si le hub est ultra sécurisé, avec une logique de compartiments, il relève que les données stockées ne sont pas parfaitement anonymes. Mais le choix est assumé : « L'anonymisation complète n'est pas souhaitable dans le contexte du Health Data Hub, car elle empêcherait tout réel travail de recherche ou d'innovation »
Pour justifier du choix Microsoft, il soutient encore que « seule cette solution présente actuellement le niveau de maturité suffisant pour assurer la mise en place d'un environnement de recherche sécurisé, mais répondant aussi aux besoins fonctionnels des utilisateurs cibles ».
« Le risque lié à l'irréversibilité de la solution est moins sur l'utilisation de licences payantes (les logiciels open source en proposent aussi) que le recours à des formats propriétaires, ce qui ne sera pas le cas sur la plateforme technologique du Health Data Hub ». L’infrastructure repose sur des « formats portables et classiquement utilisés par la communauté » (sans que ces formats soient détaillés).
De même, la plateforme a été conçue pour être redéployée « aisément sur une autre solution d'hébergement ». Le gouvernement prévient qu’une migration sera possible « dès lors qu'une offre française performante sera disponible et sera régulièrement actualisée » (sur le site esanté, OVH par exemple est ainsi qualifié aux rangs 1, 2, 3, 4 et 6).
Quant aux inquiétudes relatives au Cloud Act, ce texte ne s’appliquerait qu’en matière d’enquêtes judiciaires portant sur des crimes graves, relativise le ministère. « Il n'est notamment pas applicable dans le cadre d'action d'espionnage ou d'enquêtes à visée commerciale ».
En outre, prévient-il encore, « le département de la justice américaine [a] explicitement indiqué que le Cloud Act ne s'applique que pour obtenir des données explicites (dont directement nominatives) de la cible de l'enquête judiciaire, il ne s'appliquera donc pas au contexte du Health Data Hub puisque l'intégralité des données stockées dans la plateforme est dé-identifiée et chacun des jeux de données est indépendamment stocké dans un espace dédié à son producteur et chiffré avec une clé à laquelle Microsoft n'a pas accès ». Enfin, il rappelle que « les données sont soumises au RGPD qui prévoit des sanctions en cas de mauvais usage. »
Le HDH et Microsoft, d'abord une phase de test
« En ce qui concerne Microsoft, le HDH a souhaité initier des tests [Minimum Viable Product et proof of concept, ndlr] de notre service en ligne Azure au regard des opérations projetées dans le cadre de ses missions » nous explique l’entourage de l’éditeur made in Redmond. « Le HDH a provisionné le service en ligne Azure à travers un marché déjà existant référencé à l’UGAP. Le HDH a ainsi souscrit, de manière parfaitement conforme aux règles de la commande publique, à un contrat Microsoft référencé à l’UGAP (par notre partenaire SCC) pour provisionner Azure ».
Autre chose, la même source nous confirme que « la quasi-totalité de l’environnement du Health Data Hub est constituée de solutions Open Source. En effet, l’essentiel de la solution HDH, en dehors de quelques composants de sécurité qui, pour la plupart ne viennent pas de Microsoft (mais de Thalès), est composé de Machines Virtuelles Linux (DSVM – Data Science Virtual Machine) avec des composants Open Source tels que Linux, XGBoost, Python, JupyterHub, Rattle, PostgreSQL, Spark,… »
Ainsi, « Azure n’empêche pas d’utiliser de l’Open Source, bien au contraire. Dans la pratique, les outils qui sont mis à la disposition des Data Scientists qui seront les principaux utilisateurs du HDH ne sont autres que ceux utilisés par les Data Scientists du monde entier : Python, Jupyter, PyTorch, Scikit-learn, Caffe, Keras, Spark,… Pour s’en convaincre, il suffit de regarder la liste des outils qui sont intégrés en standard sur une Data Science Virtual Machine pour voir que la quasi-totalité des outils utilisés sont Open Source (si la VM est Linux, ce qui sera le cas pour l’essentiel car les Data Scientists apprennent généralement sur des environnements Linux…) »
Conclusion : « nos amis de l’Open Source se battent pour obtenir quelque chose qui existe déjà dans l’environnement ».
Le 13 mars 2020 à 14h27
Health Data Hub : un collectif critique le choix Microsoft
-
Un courrier adressé au ministère de la Santé
-
Le choix Microsoft dénoncé au Sénat
-
Le HDH et Microsoft, d'abord une phase de test
Commentaires (5)
Vous devez être abonné pour pouvoir commenter.
Déjà abonné ? Se connecter
Abonnez-vousLe 13/03/2020 à 15h36
#1
pour commencer:
Le 13/03/2020 à 16h44
#2
Pour information un podcast où les adversaires et la cheffe du HDH débattent du sujet:
https://april.org/51-health-data-hub
Le 13/03/2020 à 21h47
#3
C’est comme pour les trains, un conflit d’intérêt peut en cacher un autre …
https://www.lemonde.fr/planete/article/2019/12/24/donnees-de-sante-conflit-d-int…
Le 15/03/2020 à 10h34
#4
Vous connaissez un service “libre” supérieur à Azure en terme de sécurité et de fonctionnalités ?
Merci de me le faire savoir
Le 16/03/2020 à 12h23
#5
" />
Qui ne soit aussi inféodé, officieusement si ce n’est officiellement, au gouvernement Américain ?
A partir du moment où une entreprise a un rapport de subordination à un gouvernement aussi puissant que celui des Etats-Unis, légal ou illégal, ledit gouvernement peut faire ce qu’il veut…
Et malgré le fait que la chose soit devenue publique avec Assange et Snowden, il ne me semble pas avoir lu quelque-part que les choses aient changées pour les services de sécurité Américain.
-