3 Questions Sur… La souveraineté numérique

3 Questions À… InterHop.org, une organisation qui promeut et développe l’utilisation des logiciels libres et open-sources dans le domaine de la santé, dans la lignée de Framasoft. Voulant créer des communs dédiés à la santé, InterHop regroupe des militants des logiciels libres et d’une utilisation auto-gérée des données de santé à l’échelle locale.





1.

Quelle est votre définition de la souveraineté numérique ?


Souvent la notion de souveraineté numérique renvoie à la Nation et à sa capacité “d’agir dans le Cyberespace[1], de l’impacter et de le réguler. Parfois la définition s’inscrit plus dans un contexte géopolitique international ; c’est la capacité à “résister aux sanctions extraterritoriales[2]. La principale limitation de ces définitions est leur prisme simplificateur.


Nous lui préférons le terme d’autonomie numérique qui questionne les enjeux d’un point de vue global. Elle se définit comme la capacité d’autodétermination dans l’environnement Cyber. Elle peut s’entendre à plusieurs niveaux : des individus, des institutions (sécurité sociale, régions, départements, villes, hôpitaux...), des Nations, de l’Europe, des États-Plateformes ou même de l’humanité.


Au XXIème siècle, le déséquilibre est en faveur des États Plateformes dépendants des forces du marché (Google, Apple, Facebook, Amazon, Microsoft) ou d’un régime autoritaire (Baidu, Alibaba, Tencent et Xiaomi). Actuellement l’État Plateforme est un état de fait qui remplace l’État de droit. L’applicabilité instantanée du pouvoir de l’ingénieur - son code informatique - semble même remplacer le code juridique de la Nation. Et, la formule “the Code is Law[3] de Lawrence Lessig, professeur de droit à Stanford, est toujours plus d’actualité.


Même si le rééquilibrage en faveur de l’État Nation doit être réaffirmé, l’autonomie numérique est à comprendre dans sa diversité et sa complexité. Elle doit inclure les multiples acteurs en présence.


"Actuellement l’État Plateforme est un état de fait qui remplace l’État de droit."

2.

Quels sont les problèmes soulevés par la gestion du cas HealthDataHub ?


Le HealthDataHub ou Plateforme des Données de Santé (PDS) vise à colliger les données du système de santé chez Microsoft et notamment sur sa plateforme Azure. L’association interhop.org lutte aux côtés d’un collectif plus large nommé SantéNathon. Ce collectif s’oppose fermement à l’extraterritorialité du droit américain. Le RGPD s’applique à l’ensemble des citoyen.ne.s européen.ne.s vivant à l’étranger. Il possède donc aussi une composante extraterritoriale.

Cependant aux États-Unis les implications sont beaucoup plus larges. Le droit américain autorise l’exploitation des données personnelles des non-Américains détenues par des entreprises américaines, même si l’hébergement des données est en Europe. Pire encore, les services de renseignements américains ont accès à ces donnés sans limitation ni droits opposables[4]. Interhop.org ne veut pas que les données de santé puissent être prises en otage d’intérêts géopolitiques internationaux.


De plus, un des principes fondamentaux du RGPD est la minimisation du recueil des données au regard des finalités de traitement[5]. Par essence la PDS est un projet excessivement centralisateur. Elle veut centraliser l’ensemble des données de santé de plus de 67 millions de personnes. La CNIL a d’ailleurs pointé ce risque dès le lancement du projet de loi mettant en place la PDS[6]. Sur ce point un débat de société est nécessaire.


En santé, le serment d’Hippocrate[7] puis la Déclaration de Genève[8] renforce la responsabilité en matière de partage des connaissances et énonce : “JE PARTAGERAI mes connaissances médicales au bénéfice du patient et pour les progrès des soins de santé”. Lorsqu’un programme est propriétaire, il n’y a aucun moyen de le tester indépendamment par des pairs : c’est une boite noire. Ceci diminue drastiquement la sécurité pour les personnes.


En fait les logiciels “libres” et “open source” doivent même être vus comme des outils d’autonomie numérique des acteurs en présence. Microsoft hébergeur de la PDS, ne remplit pas ces critères. Le ministère de la santé doit donc changer sa doctrine. Comme l’affirme très récemment le Conseil d’État[9], Microsoft n’est plus une solution pérenne d’hébergement.


"Alors que Microsoft représente un risque en terme d’utilisation non souhaitée des données de santé par les services de renseignements, [les alternatives européennes] sont garantes des valeurs de l’Union Européenne et des libertés fondamentales."

3.

Quelles sont les alternatives ?


Historiquement la CNAM [Caisse Nationale d'Assurance Maladie, ndlr] a une expertise importante en traitement des données de santé. En plus de gérer la base de données issue des remboursements de la carte vitale elle est responsable de l’appariement de plusieurs bases de données (tarification hospitalière, décès). C’est également elle qui réalise la pseudonymisation des données. Elle jouit par ailleurs des mêmes prérogatives réglementaires que la PDS[10]. C’est donc une alternative effective dès aujourd’hui.

Par ailleurs les hôpitaux français font depuis plusieurs années des importants efforts financiers et humains pour la création d’entrepôts de données de santé au plus proche des patients. Certains ont des infrastructures Big Data à l’état de l’art et au niveau de ce que Microsoft peut proposer. Contrairement à la PDS des dizaines de projets de recherche sont déjà actifs.


Enfin des plateformes Big Data centralisées et éthiques existent : il y a par exemple Teralab[11] (Mines Telecom) ou le Centre d’accès sécurisé aux données[12]. De nombreux acteurs industriels européens sont aussi en renfort et possèdent la certification “Hébergeur de données de Santé”[13]. Ils travaillent activement pour remplir les plus hauts niveaux de sécurité avec par exemple le label de confiance SecNumCloud de l’ANSSI.


En fait les alternatives sont légions. Alors que Microsoft représente un risque en terme d’utilisation non souhaitée des données de santé par les services de renseignements, ces acteurs sont garants des valeurs de l’Union Européenne et des libertés fondamentales. Il suffit de croire en eux. Libérons nous, nous ne voulons plus être des colonisés numériques.



POUR ALLER PLUS LOIN :

  1. Gérard Longuet, Franck Montaugé, « Rapport de la Commission d’enquête sur la souveraineté numérique »

  2. Health Data Hub : du recadrage de la CNIL à l’arrêt prévisible du service

  3. Le code fait loi – De la liberté dans le cyberespace

  4. La Cour invalide la décision 2016/1250 relative à l’adéquation de la protection assurée par le bouclier de protection des données UE-États-Unis

  5. Minimisation

  6. Délibération n° 2019-008 du 31 janvier 2019 portant avis sur un projet de loi relatif à l’organisation et à la transformation du système de santé (demande d’avis n° 19001144)

  7. Serment d’Hippocrate

  8. L’Association médicale mondiale révise son serment pour les médecins

  9. Health Data Hub et protection de données personnelles : des précautions doivent être prises dans l’attente d’une solution pérenne

  10. Délibération n° 2020-061 du 11 juin 2020 portant avis sur un projet d’arrêté fixant la liste des organismes ou services chargés d’une mission de service public pouvant mettre en œuvre des traitements de données à caractère personnel ayant pour finalité de répondre à une alerte sanitaire, dans les conditions définies à l’article 67 de la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés (demande d’avis n° 20007810)

  11. https://www.teralab-datascience.fr/

  12. https://www.casd.eu/le-centre-dacces-securise-aux-donnees-casd/gouvernance-et-missions/

  13. https://esante.gouv.fr/labels-certifications/hds/liste-des-herbergeurs-certifies