Crise du Health Data Hub : 3 leçons à en retenir 

Longtemps annoncé comme le projet majeur qui allait faire basculer la France dans une position de leader européen de la e-santé, le Health Data Hub n’en finit plus d’enchainer les coups durs. Au point de l’empêcher de voir le jour ?

Retour sur l’histoire compliquée de ce projet (trop ?) ambitieux, et sur les leçons à en tirer pour mener vos projets numériques en santé. 

La souveraineté des données : un enjeu qu’on ne peut plus ignorer

Aujourd’hui, le projet semble en stand by depuis le retrait de la demande d’autorisation par la CNIL le 10 janvier dernier, nécessaire au lancement du Health Data Hub. Une demande cruciale qui aurait permis au HDB de récupérer et d’agréger une quarantaine de bases de données de données dont celle de son prédécesseur, le Système national des données de santé (SNDS). 

Une demande que les porteurs de ce projet ont fait le choix de retirer en raison des nombreuses controverses portées par des militants et des collectifs contre le choix d’avoir sélectionné Microsoft Azure comme hébergeur. Un choix qui n’a cessé de devenir de plus en plus difficile à défendre d’années en années, alors que les évolutions du cadre légal, les pratiques de l’industrie et l’opinion publique indiquent une volonté de réduire notre dépendance aux logiciels américains. 

Fin du Privacy Shield : des conséquences de plus en plus concrètes 

S’il est passé relativement inaperçu aux yeux du grand public, l’arrêt Schrems II de la Cours de Justice de l’Union Européenne (du nom de Maximillian Schrems, juriste allemand militant des droits numériques) qui a invalidé le Privacy Shield le 16 juillet 2020 a fait l’effet d’un coup de tonnerre pour les acteurs du numérique européen dont les conséquences se font pleinement sentir aujourd’hui. 

En matière de stockage et d’hébergement de données en Europe, la règle est de stocker les données des européens sur le sol européen pour garantir les droits des usagers. Il existe des exceptions à cette règle selon des accords signés avec d’autres pays ou régions du monde, qui permettent de stocker les données des européens sur le sol d’un pays étranger, à la condition que les protections offertes à l’usager soient équivalentes à celles offertes par le droit européen.
Le Privacy Shield était le nom de l’accord entre l’UE et les USA qui permettait l’hébergement et l’utilisation des données des européens sur le sol américain. 

Depuis l’arrêt Schrems II, cet accord n’est plus valable, et oblige les acteurs européens à repenser leurs relations avec des services et des logiciels américains. Une remise en question majeure pour beaucoup de structures tant les solutions technologiques américaines, incarnées par des leaders comme Google, Amazon, Microsoft, Oracle et IBM sont utilisées ultra-majoritairement par notre écosystème, et souvent pour des fonctions essentielles de ces entreprises.

Un exemple : cette décision de la CNIL qui juge l’utilisation de Google Analytics illégale, alors que cet outil de mesure d’audience est utilisé par plus de 80% des sites internet français qui ont recours à ce type de service.

Des militants organisés et mobilisés 

Avec des associations comme Interhop et la Quadrature du Net, les militants pour les droits numériques français font partie des mieux organisés et des plus influents en Europe. C’est d’ailleurs Interhop qui a récemment saisi la CNIL sur le sujet de la conformité de Google Analytics à la législation européenne en matière de droit des données. 

Des collectifs solidement armés d’ingénieurs et de juristes qui, à l’aide de recours juridiques ou en utilisant la posture de lanceurs d’alertes pour médiatiser leurs combats, influent de plus en plus efficacement sur l’orientation de notre industrie vers des pratiques plus respectueuses des usagers, et de la souveraineté de leurs données. 

Services américains illégaux : à qui le tour ? 

Dès lors, si une solution comme Microsoft Azure devient problématiques au point de faire reculer un projet d’envergure comme le Health Data Hub, ou qu’un logiciel quasi monopolistique sur son marché, est jugé illégal… Qui sont les prochains sur la liste ? 

Sans une harmonisation des droits américains et européens dans les années qui viennent, il est probable que des jugements de ce type se multiplient à l’avenir. Dès lors, faudra-t-il prochainement renoncer à un hébergement chez AWS, aux outils de cloud computing de Microsoft ou encore aux outils de visioconférence de Cisco ? 

Face à ce contexte d’insécurité juridique et de changement de paradigme de la part d’une partie significative de l’industrie et de l’opinion publique, c’est tout un écosystème qui va devoir développer sa résilience et probablement réduire sa dépendance aux services informatiques américains. 

De nombreux acteurs = des nombreux problèmes

Le Health Data Hub n’a pas seulement été confronté à un mur juridique qui l’a obligé à reculer (annuler ?) son lancement, il a aussi fait face depuis son lancement à l’inertie d’un système composé de nombreux acteurs qu’il a fallu tant bien que mal embarquer dans le projet. 

Car si l’ambition du Health Data Hub est de centraliser l’ensemble des données de santé des français, c’est bien qu’elles étaient particulièrement décentralisées et réparties entre de très nombreux acteurs. Que ce soit le SNDS, la CNAM, les hôpitaux, les pharmacies ou encore les praticiens en médecine de ville, toutes les données de santé d’une même personne étaient éclatées et difficilement utilisables. 

Or, réussir à embarquer autant d’acteurs différents dans un projet qui vise à les déposséder de leur pré carré peut vite entrainer de nombreux freins et finir par bloquer le projet. A ce jour, 4 ans après son lancement, le Health Data Hub n’a pu agréger que 8 bases de données différentes. 

Sans transparence totale, pas d’engagement massif 

Si la contestation principale à laquelle le Health Data Hub a du faire face portait sur son infrastructure d’hébergement de données, il y a un autre point fondamental sur lequel des lanceurs d’alerte ont porté la controverse : le manque de transparence qui entoure les conditions d’accès. 

En effet, pour qu’une entreprise ou une institution puisse accéder aux données du Health Data Hub (de façon anonymisées) il faut déposer un dossier qui prouve que le projet soit « d’intérêt public ». Une notion jugée trop imprécise et offrant trop peu de garanties contre de potentiels mésusages des données de santé des français selon plusieurs opposants au projet. 

C’est également cette imprécision qui est critiquée quant à la finalité du Health Data Hub. Est-elle d’améliorer la recherche et le traitement des malades ou d’offrir un avantage concurrentiel aux acteurs de la e-santé française ? Ces deux finalités sont-elles nécessairement compatibles ou foncièrement opposées ? 

Des questions et des zones de flou qui seront certainement tranchées après l’élection présidentielle d’avril 2022. Car si le, ou la, futur·e président·e décide de poursuivre le projet, sa réussite concrète dépendra des leçons qui auront été tirées de ces embûches successives.  


Créée par la plateforme de pair-aidance HEROIC santé, Hupfront vous offre un coup d’avance sur votre marché en accédant à des panels de malades qualifiés pour votre recherche d’insights, d’études et de co-construction de produits et services.

Pour ne rien rater de l’actualité de la E-santé française, abonnez-vous à la Hup’news, notre newsletter mensuelle.
[mailjet_subscribe widget_id= »1″]

Antoine KALAWSKI, Head of Marketing & Communication pour hupfront et HEROIC santé

Menu