Souveraineté numérique et données de santé : des réactions limitées sur Twitter suite à l’avis de la CNIL sur le stockage des données du Health Data Hub

La publication par Mediapart le vendredi 9 octobre 2020 d’un mémoire de la CNIL transmis au Conseil d’Etat la veille a suscité des réactions plutôt limitées. Ce mémoire fait suite à une requête en référé datant du 5 octobre déposée par le Conseil National du Logiciel Libre et d’autres organisations réunies dans le collectif SantéNathon, qui remet en question l’hébergement par les services cloud Azure de Microsoft des données de santé françaises du Health Data Hub.

Concrètement, la CNIL demande l’arrêt du stockage des données de santé non seulement par Microsoft, mais par toute société de droit américain. Ce positionnement très clair de la CNIL, faisant référence aussi bien au RGPD qu’à la souveraineté des données françaises, était attendu. Sans aller dans les détails techniques, le mémoire de la CNIL explique très bien que, malgré toutes les précautions prises, les simples opérations de maintenance et la réalité du fonctionnement des datacenters amène forcément la possibilité pour l’Etat américain d’exploiter à discrétion les données du Health Data Hub – et a fortiori ce sera la même chose pour toutes données stockées chez les GAFAM.

J’ai analysé les mentions du sujet du 8 octobre matin au 14 octobre minuit, ainsi que les mentions des projets franco-européens d’OVHcloud, notamment Gaia-X. Cela donne un total de 8500 tweets environ, via 5600 utilisateurs. On notera que dès le samedi 10 octobre, le volume de mentions a fortement baissé, même si la réaction du Conseil d’Etat était attendue la semaine suivante.

Le gouvernement et les principaux médias peu impliqués sur un dossier stratégique

La cartographie via le logiciel Gephi et les data Visibrain des communautés qui ont réagi à cette information et de leurs leaders montre l’absence d’influence de Cédric O ou Olivier Véran, qui sont cités sans réagir. Alors que le sujet de la souveraineté, notamment industrielle, a souvent été évoqué depuis la crise Covid, l’enjeu capital et très d’actualité de la sécurisation de nos données de santé semble bien moins mobiliser. Surtout, au-delà de la protection des données personnelles, se joue aussi la possibilité pour les acteurs français et européens de montrer en puissance sur le big data dans la santé, prochaine révolution du secteur.

La largeur des noeuds / comptes Twitter correspond à leur volume de retweets / mentions pondéré par la qualité de ces retweets / mentions (le fait d’être mentionné par un compte lui-même très mentionné)

Sans surprise, Mediapart, le CNLL et la CNIL ont les communautés les plus importantes et sont les plus repris. Jérôme Houdreaux, le journaliste de Mediapart qui a publié l’information, dispose par ailleurs de sa propre communauté en dehors de mentions communes à celles de Mediapart. Plusieurs journalistes spécialisés sont intervenus, comme Chloé Woitier ou Elsa Trujillo, mais c’est Catherine Gasté du Parisien qui est de loin la plus reprise. Dans les comptes au centre des échanges, Marc Rees de Next INpact apparait également. Il écrit notamment sur un arrêté publié au Journal Officiel le 10 octobre interdisant au Health Data Hub le transfert de données hors de l’UE, tout en indiquant que cela n’a aucun effet, puisque les données sont de facto accessibles à Microsoft.

L’absence de communication des leaders politiques pourtant très actifs sur l’application Stop Covid est d’autant plus surprenante que Cédric O a annoncé devant le Sénat le 8 octobre vouloir rapatrier les données du Health Data Hub en France et organiser un appel d’offres à ce sujet dans les prochains mois.

Quelques élus de LREM comme Eric Bothorel ont repris le sujet mais ont été très peu mentionnés. Le sujet semble être suivi uniquement par des élus experts de la majorité, alors que sa portée politique et stratégique est très importante, comme l’a compris une partie de l’opposition.

Un débat politique qui oscille entre les enjeux de souveraineté numérique et la protection des données personnelles

Xavier Bertrand a salué l’annonce de la volonté du gouvernement de rapatrier les données du Heath Data Hub, en rappelant l’importance du respect de la vie privé. Il est rejoint sur le sujet par @CerveauxNon, compte de veille sur les luttes sociales et climatiques.

Sur la souveraineté numérique, on retrouve Pierre Baudracco, président de BlueMind, messagerie collaborative française, et les députés France Insoumis Bastien Lachaud et Danièle Obono :

A noter que les réactions sont également nombreuses sur Linkedin sur l’angle de la souveraineté numérique, via notamment l’Observatoire de l’intelligence économique qui avait déjà dénoncé en juin dernier le choix de l’hébergement des données sur le Cloud Microsoft. Frédéric Pierucci, le cadre dirigeant d’Alstom qui avait été arrêté par les Etats-Unis afin de faire pression sur la direction de l’entreprise pour faciliter la cession de certaines de ses activités à Général Electric, et qui depuis alerte les politiques et dirigeants économiques français sur la réalité de la guerre économique (son livre a d’ailleurs été lu par le patron de Huawei), a repris le sujet. Il fait référence à l’arrêt de la Cour de Justice Européenne mettant fin au Privacy Shield qui permettait le transfert de données personnelles de l’UE aux USA en respectant la législation américaine. C’est cet arrêt qui a permis à la CNIL de remettre en cause le stockage des données du Health Data Hub par Microsoft.

Les réactions des experts IT français viennent surtout du monde des logiciels libres

Si évidemment Microsoft, Google, Amazon ou IBM ne vont pas s’exprimer sur le sujet, les acteurs français du Cloud sont très peu mentionnés dans les échanges. Alors que Qwant par exemple dispose d’une certaine influence digitale, ce n’est pas le cas de OVHcloud et consorts. Les médias experts du sujet, tel que Numérama ou Next INpact, ont effectué un suivi attentif de la décision de la CNIL, sans s’intéresser aux alternatives au cloud de Microsoft.

Le conseil national du numérique ne s’est pas exprimé sur le sujet alors même qu’en 2017, il avait publié un communiqué pour demander à renégocier le Privacy Shield qui n’apportait pas assez de garanties sur la protection des données personnelles. A noter que sur les acteurs du cloud, s’il n’a publié que deux tweets en 2014 sur OVH, le dernier sur Google et Apple date d’avril 2020.

Néanmoins, deux de ses membres, Gilles Babinet et Tariq Kim, sont intervenus. Gilles Babinet défend dans les Echos le 12 octobre la nécessité de développer un cloud européen, tout en soulignant les difficultés et en rappelant les échecs passés (Cloudwatt et Numergy), en mentionnant notamment le projet franco-allemand Gaia-X mené par OVHcloud. Tariq Kim, créateur notamment de Netvibes, revient sur les problématiques liées à l’hébergement par Microsoft du Health Data Hub, et publie un lien vers le mémoire de la CNIL.

Plusieurs acteurs du monde des logiciels libres ont réagi. Avec Pierre Baudracco de Bluemind, président du Paris Open Source Summit de 2018,le collectif April pour la défense des logiciels libres a repris l’information et soutenu la demande du collecte SantéNathon de mettre en place une commission d’enquête sur le sujet. Jean-Paul Smets, PDG de Nexedi (premier éditeur de solutions open-source européen) twitte également sur le mémoire de la CNIL.

Si le mémoire de la CNIL est clair concernant la détention de données par des acteurs américains, il évoque une nécessaire période de transition pour changer de service, et surtout laisse une porte de sortie à Microsoft : proposer une licence de ses services à une société française.

Extrait du mémoire de la CNIL, page 10, sur la modification des conditions d’hébergement du Health Data Hub

Dès lors, le véritable enjeu de l’avenir du Health Data Hub français serait de s’en servir pour convaincre de la viabilité et de la compétitivité des opérateurs cloud français. Car au moment où le choix de Microsoft pour héberger les données du HealthDataHub était validé, c’est Amazon qui était retenu par la BPI pour héberger les données des prêts garantis par l’Etat (alors qu’Amazon est potentiellement concurrents d’une bonne partie d’entre-elles, des véhicules autonomes à la santé) … Ce alors même qu’OVHcloud a été inclus en septembre dans le classement IDC MarketScape des principaux acteurs mondiaux du Cloud public, à côté des GAFAM et des BATX.

Le Conseil d’Etat vient de décider en référé de botter en touche, tout en reconnaissant que le risque d’accès par les services américains aux données est réel. Les requérants vont poursuivre la bataille sur le fond. Affaire à suivre !

Votre commentaire

Entrez vos coordonnées ci-dessous ou cliquez sur une icône pour vous connecter:

Logo WordPress.com

Vous commentez à l’aide de votre compte WordPress.com. Déconnexion /  Changer )

Photo Google

Vous commentez à l’aide de votre compte Google. Déconnexion /  Changer )

Image Twitter

Vous commentez à l’aide de votre compte Twitter. Déconnexion /  Changer )

Photo Facebook

Vous commentez à l’aide de votre compte Facebook. Déconnexion /  Changer )

Connexion à %s