Dans un contexte où le gouvernement encourage l'utilisation de « Mon espace santé », il est crucial de s'interroger non seulement sur qui accède aux données médicales des Français, mais surtout sur les lieux et les législations qui régissent leur hébergement. La question de la sécurité des données est attisée par la dépendance au cloud de Microsoft pour le Health Data Hub, soulevant des inquiétudes sur le risque d'extraterritorialité américaine.
Une gestion fragmentée des données
Les données de santé des Français sont loin d'être concentrées dans un unique système sécurisé. Elles sont éparpillées au sein de diverses structures : bases de l’Assurance maladie, dossier médical partagé (DMP), entrepôts hospitaliers et la plateforme de revalorisation Health Data Hub. Bien que ces données soient généralement confiées à des prestataires certifiés HDS (hébergeurs de données de santé) situés en France ou dans l’Union européenne, leur sécurité reste un point de friction.
Le DMP, par exemple, est hébergé en France sur des infrastructures dédiées de l’Assurance maladie, toutes certifiées HDS. Les systèmes de l’Assurance maladie, y compris le Système national des données de santé (SNDS), s’appuient eux aussi sur des infrastructures conformes. Toutefois, la complexité augmente avec le Health Data Hub, qui centralise divers ensembles de données pour la recherche et l’intelligence artificielle.
La controverse Microsoft
Le choix en 2019 de la plateforme cloud Microsoft Azure pour le Health Data Hub a ravivé le débat sur la sécurité des données. Bien que la légalité de cette décision ait été reconnue par le Conseil d'État, des inquiétudes persistent. Anton Carniaux, directeur des affaires publiques et juridiques chez Microsoft France, a mis en lumière lors d’une récente audition au Sénat que Microsoft, en tant qu'entité américaine, peut théoriquement être contraint par le Cloud Act à livrer des données, même celles stockées en Europe. Cette situation soulève des enjeux de confidentialité majeurs, malgré les garanties offertes par le RGPD européen.
La CNIL a, à plusieurs reprises, alerté sur ce risque, plaidant pour un hébergement non exposé à des revendications extraterritoriales. Dans une démarche proactive, la loi SREN adoptée en 2024 a imposé que la plateforme bascule vers un service d'hébergement « souverain », garantissant une meilleure protection des données.
Perspectives à venir
Le retard pris dans cette migration a suscité des critiques, mais un appel d'offres pour une solution intermédiaire est désormais en cours, avec l’ambition de mettre en place dès 2026 un acteur français ou européen. Comme l'indique Le Monde, la transition vers un hébergement plus sécurisé reflète une volonté croissante de protéger les données de santé des Français face aux menaces potentielles liées à l'extraterritorialité.
Enfin, des experts en sécurité, tels que le professeur en informatique Jean-Marc Gauthier, soulignent l'importance d'une gouvernance des données de santé qui intégrera non seulement des considérations techniques, mais aussi éthiques, afin de garantir la confiance des citoyens dans les systèmes de santé numériques.
