Nous avons interrogé Adrien Parrot, fondateur du collectif Interhop et Juliette Alibert, avocate spécialiste des questions numériques, qui défendent une vision engagée de la souveraineté technologique et juridique sur les données de santé produites par les institutions médicales françaises. Interrogés par les commissions d’enquête parlementaires sur la souveraineté numérique, porteurs de recours auprès d’institutions telles que le Conseil d’État, ils agissent au quotidien pour défendre l’autonomie stratégique nationale et la protection des données personnelles. Par Audrey Boulard et Simon Woillet. 

LVSL – Ces dernières années, vous avez été identifiés par la presse et une bonne partie des institutions démocratiques françaises comme les tenants d’une ligne de pensée et d’actions alternatives face à une forme de laissez-faire solutionniste du gouvernement, dans le cadre de la numérisation des politiques de santé, et même en matière de respect de la cybersécurité et de l’autonomie stratégique du pays, par rapport par exemple aux questions de cloud. Est-ce que vous pourriez présenter en quelques mots les missions que se donnent le collectif Interhop et les actions que vous vous êtes menées jusqu’à présent, à la fois sur les plans institutionnels, et éventuellement sur les plans plus opérationnels ? 

Adrien Parrot – Le collectif s’est désormais structuré en association loi 1901 et comprend d’abord un volet technique, qui vise à proposer des alternatives centrées autour du logiciel libre à des outils numériques pour la santé. Notre activité rejoint ce que peut faire Framasoft^[1], ou le collectif des Chatons^[2], avec une contrainte supplémentaire, qui est que les données de santé doivent être hébergées sur des serveurs certifiés pour la santé. Le cœur du volet technique de l’association consiste donc à louer des serveurs certifiés pour les données de santé, et à les proposer pour des projets informatiques que nous jugeons pertinents. L’objectif est la promotion du logiciel libre et des communs numériques. Nous développons nous-mêmes nos technologies, et réalisons leur installation auprès des collectifs que cela intéresse. L’idée est aussi d’être en capacité de mettre en commun les serveurs certifiés pour la santé – parce que ce sont des choses qui coûtent assez cher – afin de diminuer la marche technique d’entrée pour le logiciel libre en santé. Notre association comporte ensuite un volet militant et juridique qui concerne la diffusion des idées et le fait de porter des actions en justice. 

NDLR : Lire sur LVSL l’article d’Audrey Boulard, Eugène Favier-Baron et Simon Woillet : « Le Health Data Hub ou le risque d’une santé marchandisée »

Juliette Alibert – Ce second volet est un volet de plaidoyer, d’accès au droit et de vigie sur les aspects de protection et de préservation des données, qui peut aller jusqu’au contentieux stratégique. Interhop est une association qui veut agir sur les enjeux de préservation de la vie privée, de protection des données et du secret médical. Sur le terrain de la santé, plusieurs actions stratégiques ont été menées : l’action sur le Health Data Hub, l’action sur Doctolib, et récemment le signalement d’IQVIA. Mais nous cherchons aussi à favoriser l’accès au droit. Nous réalisons des demandes stratégiques de droits d’opposition, des demandes d’ouverture de certains codes sources… L’idée est de jouer un rôle citoyen pour aider à faire changer la loi, le droit ou a minima lorsque ce n’est pas le cas, faire en sorte que le Règlement général sur la protection des données (RGPD) soit effectif, et qu’il soit bien implémenté quand il touche à des enjeux de santé publique. 

LVSL – Dans votre audition à la commission de l’Assemblée nationale qui a débouché sur le rapport Philippe Latombe^[3], vous insistez sur le risque d’une perte de confiance des patients dans le système de santé, qui selon vous est lié à la manière dont sont collectées et gérées leurs données les plus intimes. Vous avez notamment participé à rendre publiques les pratiques de collecte de données permanentes auprès des pharmaciens français par la multinationale américaine IQVIA. Est-ce que vous pouvez nous dire en quoi la logique du consentement par défaut qui semble primer dans la majorité des cas de ces gros acteurs de la donnée de santé pose un problème démocratique majeur selon vous ? 

Adrien Parrot – Avec l’arrivée du RGPD et dans un contexte de développement de l’intelligence artificielle, de collecte et d’utilisation de gros volume de données, un nouveau concept est apparu : celui des entrepôts de données de santé. Ces entrepôts sont des objets que l’on peut critiquer positivement ou négativement, mais qui doivent néanmoins être remis en question dans la mesure où ils entraînent un effacement du motif du consentement des personnes au profit de la notion d’intérêt public^[4]. Le traitement des données est alors subordonné à l’information des personnes, qui ont le droit de s’opposer à ce traitement. C’est là une question de fond des entrepôts de données de santé en général, qui vaut pour IQVIA^[5], le Health Data Hub, mais aussi pour l’entrepôt de donnée de l’AP-HP dans lequel j’ai travaillé. Dans ce cadre-là, le consentement disparaît entrainant un changement de paradigme dans l’idéologie de traitement des données.

Il n’est pas possible – sous couvert d’état d’urgence lié à la crise sanitaire – de forcer le droit commun à des normes exorbitantes, à aller vite sans justification préalable.

Autre nouveauté : ces entrepôts centralisent désormais l’ensemble des données de santé, soit à l’échelle régionale pour l’AP-HP par exemple – qui centralise l’ensemble des données des hôpitaux de Paris – soit à l’échelle nationale avec IQVIA et le Health data hub. Il existe par ailleurs une deuxième couche de centralisation avec le droit américain^[6] dans la mesure où des entreprises comme IQVIA y sont directement soumises et que le Health Data Hub y est soumis indirectement via leur hébergeur qui est Microsoft Azure. 

Juliette Alibert – Sur cette question du consentement, l’association Interhop s’est positionnée contre la mise en place précipitée du Health Data Hub. Alors que nous devrions normalement attendre le cadre réglementaire, le gouvernement utilise des régimes exorbitants du droit commun pour pousser le droit à implémenter directement le Health Data Hub. Interhop entend faire valoir que cela ne doit pas se faire à tout prix et sans respect du cadre juridique. La recherche n’a pas attendu le Health Data Hub pour fonctionner. Au moment où nous avons lancé des actions sur le Health Data Hub, très peu de bases étaient exploitées. Il n’était donc pas possible d’avancer l’idée selon laquelle cela ait pu être un outil en réponse à la crise. Nous ne nous opposons pas au fait qu’il faut faire de la recherche en santé publique et la promouvoir, mais il n’est pas possible – sous couvert d’état d’urgence lié à la crise sanitaire – de forcer le droit commun à des normes exorbitantes, à aller vite sans justification préalable. Au sein d’Interhop, nous prônons une politique d’ouverture du code informatique permettant d’avoir un cadre transparent pour comprendre le fonctionnement de l’intelligence artificielle, la manière avec laquelle les données sont traitées. Parallèlement nous militons pour un cadre extrêmement sécurisé pour les données avec un modèle de chiffrement de bout en bout quand c’est possible. Nous pensons que c’est la conjonction de ces deux modalités de traitement de la donnée qui permet de garantir un cadre respectueux du droit à la protection des données personnelles. 

LVSL – Vous pointez aussi le risque d’une implosion du modèle de sécurité sociale à la française, qui est fondée a priori sur l’inconditionnalité de l’accès aux soins, au profit d’un modèle fondé sur la responsabilité individuelle et de ce fait sur une marchandisation croissante de tout le parcours de santé. Est-ce que vous pouvez préciser un peu cet aspect de votre analyse ? 

Juliette Alibert – Le modèle de sécurité sociale à la française repose sur la collectivisation des risques. Or le fait de recourir à des algorithmes en santé, qui peuvent être traités par des sociétés privées avec des intérêts lucratifs, est un risque au regard de cette solidarité. Grâce au profilage dont sont capables ces technologies liées au données massives à l’intelligence artificielle en santé, il serait tentant d’aller vers un régime où nous payons en fonction des risques que l’on prend pour sa santé, dans une logique proche du système de pollueur payeur. Pourquoi devrait-on payer plus que tel patient fumeur, que tel patient qui a des pratiques addictives ou des pratiques alimentaires déconseillés par les médecins ? En parallèle, l’accès à ces données massives par des entreprises privées pourrait accentuer les inégalités sociales. Les États-Unis connaissent déjà des dérives importantes de ce type. Il nous semble qu’un cadre de gouvernance qui ne pointeraient pas ces risques et ferait un usage exacerbé du big data en santé pourraient à terme mettre à mal notre propre système de sécurité sociale. Aujourd’hui, même si les données sont pseudonymisées, le risque de réidentification reste pour nous important. Il suffit aujourd’hui de cinq variables (le sexe, l’âge, le fait que la personne ait ou non un emploi et une ville de résidence) pour ré-identifier une personne.

Adrien Parrot – Cette idée est aujourd’hui reprise par le directeur de l’Agence nationale de sécurité des systèmes d’information (ANSSI) Guillaume Poupart, qui soutient que les géants du numérique et les GAFAM s’intéressent de plus en plus aux assurances en santé. Or le rêve d’un assureur privé, c’est d’être en mesure de maximiser ses gains et de minimiser ses pertes. Pour un assureur privé, les gens qui ont des risques de maladie importants ne présentent donc pas d’intérêt. Pourtant, comme le montre le documentaire La Sociale de Gilles Perret, la Sécurité sociale tient uniquement grâce à la mutualisation des risques, parce que les petits risques sont solidaires avec les grands risques. Ce n’est pas le modèle qui prédomine auprès des gens du numérique et du secteur privé. 

LVSL – Vous avez récemment produit un recours d’urgence au Conseil d’État contre le ministère de la santé et qui portait sur la gestion par Doctolib des données de santé lié à la politique de vaccination actuelle. Est-ce que vous pouvez nous rappeler votre analyse des risques qui selon vous sont liés à l’utilisation des services d’AWS, le cloud d’Amazon ? 

Juliette Alibert – Nous avons attaqué Doctolib par l’intermédiaire du ministère de la Santé parce que cette société avait recours pour l’hébergement de ses données à une solution américaine, la société AWS, qui, même si ces données sont stockées sur le sol français, doit respecter le droit américain^[7]. Or depuis la jurisprudence Schrems II qui date de juillet 2020, le droit américain a été reconnu incompatible avec le RGPD. Ce n’est pas le seul grief qui a été opposé devant le juge. Je défendais également la Ligue des droits de l’Homme, plusieurs syndicats de médecins et des associations de patients. Notre objectif était de faire reconnaitre une atteinte grave, manifestement illégale, à la vie privée et à la protection des données.

« La Sécurité sociale tient uniquement grâce à la mutualisation des risques, parce que les petits risques sont solidaires avec les grands risques. Ce n’est pas le modèle qui prédomine auprès des gens du numérique et du secteur privé. » 

Aujourd’hui il n’existe aucune garantie juridique ou technique pour empêcher l’accès aux données. Les clauses contractuelles qui servent de garantie juridique n’ont aucun poids dans la hiérarchie des normes face aux lois et à un décret présidentiel. Et du point de vue technique, les techniciens d’Interhop ont montré que les données étaient accessibles en clair sur les serveurs et qu’Amazon pouvait avoir accès aux données. Cela a donné lieu à un contentieux devant le conseil d’État et nous avons malheureusement perdu. À cette occasion le juge a fait valoir que les données de santé, dans le cas de la prise de rendez-vous du Covid-19 n’étaient pas des données de santé, revenant donc sur le RGPD, sur l’analyse de la CNIL, et même sur l’Ordre des médecins. C’est quelque chose qui nous semble très dangereux parce que ces données donnent directement une information sur le fait qu’une personne est ou non vaccinée. Et il n’est pas difficile par ailleurs de déduire la pathologie d’un patient qui, présentant des co-morbidités, se serait fait vacciner au début de la campagne de vaccination. 

Adrien Parrot – J’aimerais revenir sur la garantie technique dont parle Juliette et qui réside dans le chiffrement des données, c’est-à-dire dans le fait que les données au repos soient rendues illisibles pour qui ne possède pas les clés de chiffrement et de déchiffrement. Pour nous cette garantie n’est pas remplie parce que c’est Amazon Web Services qui détient les clés de chiffrement et de déchiffrement nécessaires pour traiter les données. La situation est donc la suivante : le coffre-fort et les clés du coffre-fort sont détenus par une société soumise au droit américain. Mais d’autres problèmes se posent. Par exemple, sur un point très précis qui est celui de Cloudflare, une entreprise américaine qui permet de faire de l’anti-DDOS, c’est-à-dire de l’antiattaque par déni de service qui consiste dans le fait de saturer les serveurs par de multiples requêtes sur ce serveur. C’est un peu comme si vous cherchiez à faire entrer beaucoup d’eau dans un tuyau pour que l’eau rentre. Cloudflare s’emploie à faire cela et est utilisé par Doctolib. Or pour fonctionner Cloudflare a besoin d’avoir accès aux données en transit ; Cloudflare voit toutes les données de Doctolib en clair. Donc quand vous entrez votre mot de passe et votre nom d’utilisateur, ces éléments sont transmis chez Cloudflare, une société américaine. Le problème de Cloudflare dépasse Doctolib car une part importante du trafic mondial passe par cette solution. Cloudflare a été attaqué dans le cadre d’un contentieux au Portugal et il a été déclaré illégal par la CNIL portugaise. 

LVSL – Pensez-vous que la feuille de route de cloud de confiance proposée par le gouvernement va affaiblir un peu plus les acteurs français et européens aux bénéfices des acteurs américains historiques, comme certains observateurs le font remarquer ? 

Adrien Parrot – Il y a quand même dans toute cette histoire une petite victoire, même si elle est en trompe-l’œil. La ministre a reconnu que le « cloud de confiance » avait été mis en place à la suite du recours contre le Health Data Hub. Elle reconnaît donc que le cloud du Health Data Hub n’est pas un cloud de confiance et qu’il faut augmenter les garanties juridiques et techniques, qui ne sont pas suffisantes avec Microsoft. Ceci dit, nous restons dans l’inconnu puisqu’aucun des clouder français ou européen ne remplit les conditions décrites par Bruno Le Maire, Cédric O et Amélie de Montchallin pour être labellisé cloud de confiance.

« Le problème fondamental – qui reste inchangé – est que le droit américain a la possibilité de s’appliquer en dehors de ses frontières et qu’il y a des collectes généralisées de données dans le cadre du FISA américain. »

De notre côté, nous avons de gros doutes sur la capacité d’une société américaine qui fournit des services dans les pays européens à remplir ces conditions. Quels vont être les pare-feux pour contourner l’extraterritorialité du droit américain dont on sait qu’elle est très large ? Comment tout ceci va-t-il être mis en place ? En Allemagne, Microsoft a obtenu la licence cloud de confiance pour ses technologies et les prix se sont complètement envolés. L’Allemagne a donc arrêté d’utiliser ce principe de licence. En France, les délais, les prix et les garanties juridiques et techniques d’une telle solution demeurent suspendus à de nombreuses incertitudes. Une société s’est créée autour de Capgemini, Orange et Microsoft Azure pour proposer une solution au Health Data Hub. Lors de la conférence de presse, il a été annoncé que le cloud de confiance serait mis en place sous douze mois. Mais Orange a annoncé dans un communiqué que cela ne serait pas prêt avant fin 2022 – c’est-à-dire pas avant 2023 étant donné que ce type de chantier prend toujours du retard. En attendant, que fait-on du Health data hub dont le décret d’application dans son régime de fonctionnement normal hors d’état d’urgence sanitaire a été annoncé en juillet ? Que fait-on des données de santé maintenant qu’il est admis par nos autorités que le cloud actuel n’est pas un cloud de confiance ? Dans ces conditions il nous semble évidemment déraisonnable de continuer à utiliser Microsoft. 

LVSL – Suite à l’arrêt Schrems II qui a invalidé le privacy shield, les négociations entre le lobby industriel du secteur et les institutions européennes et américaines a abouti à la refondation des modèles qui régissent désormais de gré à gré entre entreprises la circulation des informations entre l’Europe et les États-Unis mais qui ne prennent pas encore réellement les exigences des CNIL nationales ou plus généralement du RGPD. Comment sortir d’une forme d’inertie bureaucratique européenne qui semble en permanence soucieuse d’éviter un véritable rapport de force avec le secteur numérique et surtout avec les autorités numériques américaines ? 

Juliette Alibert – Le problème est que nous sommes sur un sujet très technique, difficile d’accès à la plupart des citoyens. Moi-même qui suis avocate, j’ai beaucoup appris en travaillant auprès des informaticiens et experts au sein d’Interhop. Tous ces enjeux techniques peuvent rapidement paraître illisibles, immatériels et donc difficile à saisir. Il y a indéniablement un travail de pédagogie à faire pour que l’ensemble des citoyens européens soient conscients des enjeux forts liés aux données de santé et aux données à caractère personnel. Il y a donc un effort de sensibilisation, de mobilisation et d’intégration des acteurs de la société civile au sein des instances décisionnaires – ce qui peut se faire au niveau européen mais aussi au niveau national – pour qu’il y ait véritablement une gouvernance qui soit pensée de façon horizontale avec l’ensemble des acteurs et non pas les seuls lobbys industriels. 

Adrien Parrot – Sur les clauses contractuelles types (CCT), notre analyse – corroborée par Max Schrems qui a dit que ces CCT allait constituer plus de paperasse, sans changer la problématique fondamentale – c’est que cela donne plus de poids aux entreprises pour valider, se renseigner et connaître les modalités de traitement des données qui vont être soumises au Foreign Intelligence Surveillance Act (FISA), et donc aux géants du numérique. La responsabilité incombe donc désormais aux entreprises, mais le RGPD le faisait déjà puisqu’il était déjà dit qu’il fallait partir si les garanties n’étaient pas suffisantes ou en cas de traitement illicite. Ces clauses contractuelles types ne font donc qu’insister sur ce qui avait déjà été dit par ailleurs. Cependant, le problème fondamental – qui reste inchangé – est que le droit américain a la possibilité de s’appliquer en dehors de ses frontières et qu’il y a des collectes généralisées de données dans le cadre du FISA américain. Ce ne sont donc pas des clauses contractuelles types, qui lieraient des entreprises entre elles qui vont changer les choses face à ces textes fondamentaux. 

Juliette Alibert – Avec le RGPD nous étions de toute façon passés à un modèle dans lequel la responsabilité incombait aux personnes qui font le traitement ou la sous-traitance des données. Ces nouvelles clauses ajoutent une complexité supplémentaire et nécessitent une appréciation concrète de l’état de la législation dans le pays. Elles répètent, complexifient et rendent inintelligible la bonne application du RGPD. Il est même envisageable que ces clauses contractuelles servent à certaines sociétés de droit de veto, alors qu’elles devraient s’appliquer au cas par cas. Au niveau des patients, qu’est-ce que cela change ? Va-t-on pouvoir s’opposer à des demandes s’accès incompatibles avec le RGPD ? Les acteurs économiques qui font du traitement et la sous-traitance de données et ne respectent pas le RGPD reportent la responsabilité sur les patients – lesquels ne sont pas toujours informés. Pour déposer plainte auprès de la CNIL, il faut s’y connaître un minimum – savoir citer les outils et bien connaître la problématique. Le RGPD n’a selon moi pas réussi à responsabiliser les acteurs et à leur faire prendre conscience des enjeux. Nous ne sommes pas encore parvenus à une protection optimale des données de santé. Avec l’affaire autour de IQVIA et des données des pharmacies, nous avons récemment pu constaté la vulnérabilité des données de santé face aux cyberattaques des hôpitaux. Le dysfonctionnement du logiciel Dedalus a conduit à la fuite de plus de 500 000 fichiers patients. Les enjeux sont donc forts aujourd’hui et c’est en ce sens que l’association Interhop, parmi d’autres acteurs, agit et défend les droits des personnes. 

Adrien Parrot – Et pour revenir sur le Health Data Hub, Microsoft aussi a subi des failles de sécurité avec Solar Wind. Sur ces enjeux de sécurité on voit bien qu’aucun acteur n’est épargné. 

Notes :

^[1] Collectif historique de défense du logiciel libre français.

^[2] Le collectif des Chatons propose des alternatives libres aux solutions de stockage et traitement des données informatiques par les GAFAM. 

^3] Récent rapport parlementaire sur la souveraineté numérique paru en 2021 dont le rapporteur est le député UDI Philippe Latombe.

^[4] La notion de « groupement d’intérêt public » mobilisée par les promoteurs du Health Data Hub dans le rapport de préfiguration au projet pose de nombreux problèmes en termes de définition et de flou dans l’appréciation juridique de ce terme. Cette notion a pour conséquence d’ouvrir les financements et les données du Health Data Hub à des acteurs privés divers, industriels, assurantiels, pharmaceutiques, en vue de rentabiliser dans un modèle intégré de circulation de l’information, la production de valeur économique issue de la collecte nationale de nos données de santé. Par ailleurs cette notion d’intérêt public permet le recours à une logique de « consentement présumé » des citoyens à la collecte d’information personnelle de santé, sur le modèle du don d’organes par défaut, par les administrations gérant ou alimentant le Health Data Hub. On parle de logique « d’opt out », de signalement explicite du refus de la collecte, après coup seulement, par le citoyen. Les récentes polémiques autour de la collecte des données personnelles de prescription médicales des patients par les logiciels informatiques de nombreuses pharmacies françaises, comme révélé par les équipes de Cash investigation, pose le problème démocratique du niveau d’information du public quant à l’existence même de ces procédures et leur bien fondé.

^[5] IQVIA est un des leaders mondiaux de la collecte et traitement de données de santé. Ils développent un panel de services qui vont de l’analyse de bases de données par des technologies d’intelligence artificielle, à l’offre de prestations d’encadrement de soins ambulatoires par des contractuels infirmiers ou médecins en téléconsultation. Le modèle économique de cette entreprise donne à voir au public ce que nos dirigeants ont en tête à travers les politiques de restriction permanent de l’accès au soin hospitalier et de réduction des coûts de la santé publique. ^[1] Plusieurs lois américaines allant du Patriot act post-11 septembre au FISA (Foreign Intelligence Security Act), en passant par le Cloud Act, font planner le doute sur de possibles captures des données personnelles détenues par les services des GAFAM qui leur sont soumises. Les motifs de lutte anti-terroriste, anti-corruption (comme dans le cas Alstom), ou de défense des intérêts stratégiques de l’État peuvent contraindre les multinationales américaines à rompre leur secret professionnel au bénéfice des administrations américaines. 

^[6] Plusieurs lois américaines allant du Patriot act post-11 septembre au FISA (Foreign Intelligence Security Act), en passant par le Cloud Act, font planner le doute sur de possibles captures des données personnelles détenues par les services des GAFAM qui leur sont soumises. Les motifs de lutte anti-terroriste, anti-corruption (comme dans le cas Alstom), ou de défense des intérêts stratégiques de l’État peuvent contraindre les multinationales américaines à rompre leur secret professionnel au bénéfice des administrations américaines. De récentes affaires médiatiques ont révélé l’existence de gag orders de la justice américaine, d’ordre de silence sur la divulgation de données personnelles aux administrations par ces entreprises.

^[7] C’est-à-dire qu’elle est soumise au Foreign Intelligence Surveillance Act (FISA) et à l’Executive order 12333, qui permettent à tout moment aux États-Unis de demander l’accès aux données et de faire de la collecte massive de données, de façon discrétionnaire et non compatible avec le RGPD.