BILLET
1. Comment s’opposer au Cloud Act américain ?
Le ministre de l’économie veut faire de la France une terre d’accueil pour les centres de données. Il a déclaré en février qu’il entend renforcer les garanties en termes de protection des données alors que la loi extraterritoriale américaine inquiète de plus en plus.
Lors de l’inauguration d’un nouveau centre de données de l’opérateur spécialisé Equinix, à Pantin, il questionne le directeur de la performance et de la transformation numérique de la SNCF : «Comment être sûr que vos données stockées chez Microsoft ne partiront pas aux Etats-Unis…quelles données stockez-vous dans le cloud …quelles sont les données sensibles ? »
Quelles limites au Cloud Act ?
Cette législation américaine à portée extraterritoriale peut apparaître comme une menace pour la souveraineté numérique du pays.
Signée en mars dernier, elle autorise la justice américaine à saisir des données en Europe – et sans le notifier aux entreprises concernées – si elles sont hébergées via des services américains comme Amazon Web Services, Microsoft Azure, Google Cloud, Oracle ou encore Salesforce. Pour ces derniers, le texte vient clarifier les conditions dans lesquelles s’exercera ce droit du juge et donne des arguments pour refuser une requête officielle quand elle s’avère illégitime.
Créer une plate-forme souveraine de stockage de données
L’Europe veut un Cloud Act réciproque et envisage d’ouvrir des négociations avec les Etats-Unis sur ce sujet. La France veut créer une plate-forme souveraine de stockage de données. Cette exigence de protection des données va de pair, pour le ministre, avec son objectif de faire de la France la première terre d’accueil de centres de données en Europe.
2. Le Health Data Hub, outil à la pointe de l’innovation numérique ?
Le Hub des données de santé, voulu et lancé par les pouvoirs publics, sera hébergé sur une plateforme de stockage de Microsoft. Un choix défendu par Guy Mamou-Mani, dont la société est maître d’oeuvre du projet. Le HDH est un atout incontournable pour la modernisation de notre système de santé publique, estime-t-il.
Ce regroupement des données de santé a manqué au cœur de la crise de Covid-19 pour le suivi de la pandémie et pour traiter les données de terrain, pour faciliter la logistique et permettre aux chercheurs de suivre les malades et les traitements testés.
Patrimoine national
Créé suite aux recommandations du « rapport Villani » son objectif est de mettre en valeur le patrimoine national des données de santé, tirer parti de l’intelligence artificielle, faciliter la recherche et bénéficier de l’intelligence collective.
Le plan stratégique du HDH jusqu’en 2022 est le suivant : décloisonner le patrimoine de données de santé, améliorer leur qualité, garantir la participation de la société civile et promouvoir les usages des données de santé. La mise en oeuvre de ces enjeux est assortie de garanties très fortes, conduites avec l’Anssi (Agence nationale de la sécurité des systèmes d’information), un comité éthique et scientifique, ainsi que la CNIL.
Se conformer à nos valeurs…avec Microsoft
Selon le maître d’œuvre du projet, tous les acteurs concernés considèrent que la plateforme de cloud Azure de Microsoft répond le mieux aux enjeux de traitement des données, » par sa flexibilité et ses innovations aux plus hauts standards du marché ». Elle était, indique-t-il « la seule à répondre aux enjeux normatifs du projet parce que certifiée pour l’hébergement des données de santé ».
Il précise que « ce choix a été fait par le biais de procédures de marchés publics auditables. Il est légitime qu’il puisse être questionné, mais pas d’en faire une posture idéologique : l’écosystème numérique français s’est aussi construit avec des technologies d’entreprises internationales, à condition qu’elles se conforment à nos valeurs et accèdent aux obligations normatives, comme de ne pas avoir accès aux données stockées ».
3. Gaia-X : l’ambitieux écosystème cloud européen arrive-t-il trop tard ?
En fédérant un ensemble de solutions et de services, principalement cloud (IaaS, PaaS et SaaS) mais aussi dans le domaine de l’IA et de l’intégration de données, l’Europe tente avec Gaia-X de répondre à la montée en puissance des GAFAM et d’Alibaba Cloud.
La protection, la sécurité et la gouvernance des données sont les objectifs principaux de ce projet unissant la France et l’Allemagne.
L’ objectif : créer un pool de solutions et services partagés multi-domaines (cloud, cybersécurité, IA…) fédérant le meilleur des offres dans chacun de ces domaines en France et en Allemagne. Le tout répondant aux enjeux de transparence, sécurité et protection des données à l’heure du RGPD.
Une union France Allemagne
« La volonté commune de la France et de l’Allemagne permet de poser les fondations d’une véritable infrastructure de données européenne. A partir de la coopération entre 11 entreprises allemandes et 11 entreprises françaises, l’Europe pourra promouvoir une nouvelle culture de de la gestion des données d’entreprise s’appuyant sur les principes d’ouverture, d’interopérabilité, de transparence et de confiance », a expliqué Bruno Le Maire.
« La crise du coronavirus a révélé que nos données peuvent nous permettre de surmonter des épidémies plus rapidement et plus facilement, à condition que les Européens aient confiance dans la collecte et le stockage de leurs données. Gaia-X répond à cette demande en offrant une solution sûre. » Côté des fournisseurs technologiques et industriels parties prenantes à ce projet, ils devraient permettre à ces derniers d’ajouter à leurs offres un label permettant de les distinguer.
Un référentiel d’offres et services Gaia-X accessible via un moteur de recherche
Gaia-X associent 22 membres fondateurs. A savoir en France : Amadeus, Atos, CISPE association, Docaposte, EDF, Institut Mines-Télécom, OVHcloud, Orange, Outscale, Safran et Scaleway (Illiad). Et pour l’Allemagne : Beckhoff, BMW, Bosch, DEC-X, Deutsche Telekom, Fraunhofer institute, German Edge Cloud, IDSA Association, Plusserver, Siemens et SAP.
L’un des aspects les plus opérationnel de Gaia-X sera l’accès à un référentiel via un moteur de recherche pour l’instant en phase bêta.
Bpifrance a décidé de travailler avec … AWS
Toutefois, Bpifrance a décidé de travailler avec AWS pour mettre en place la plateforme en ligne de prêt garanti par l’État. L’objectif de souveraineté mis en avant avec Gaia-X fait soutire bien des observateurs.
4. La fuite des données, le paradoxe français
Bernard NICOLAIEFF faisait récemment part de son analyse : « Deux projets numériques « souverains » viennent d’être promus. D’un côté, l’Europe pare au plus pressé face aux clouds dominants nourris d’intelligence artificielle. Le projet Gaia-X se pose en utile fédérateur de solutions nationales existantes. De l’autre, la France tente de marier les concepts de « startup nation » et « d’esprit français » en annonçant la création d’un fonds ‘souveraineté’ visant à protéger les pépites de la Frenchtech d’un possible rachat par des investisseurs étrangers.
Aussi louables soient-elles, l’on ne peut qu’accueillir ces annonces avec (triple) circonspection :
– trop tard ? Ayant laissé depuis 15 ans s’installer l’oligopole des GAFAM en dévoyant son droit de la concurrence, confrontée au Cloud Act signé par Trump en 2018, l’Europe balbutie son indépendance numérique alors que les BATXH déferlent à leur tour.
– trop ou trop peu ? Le fonds ‘Le Maire’ n’ajoutera que quelques briques à ce qui s’apparente plutôt à une ligne Maginot du digital qu’à une ample stratégie offensive.
– too much ? la seule magie retrouvée du vocable de souveraineté ne saurait effacer les contradictions du numérique public. Il y a 9 semaines, l’État choisissait le cloud Microsoft Azure pour héberger l’ensemble des données de santé des Français «
Jean Roch Cousinier observe quant à lui: « La maîtrise par l’Etat stratège de l’ensemble des infrastructures est une obligation qui coule de source. Pendant des années nous avons été bercés par la croyance que l’Etat n’apportait rien, qu’il coûtait cher, qu’il était l’ennemi de l’emploi… Quelle erreur! Le cloud fait partie des infrastructures à contrôler et à sortir de la concurrence internationale »
Christian Babusiaux, ancien président de l’Institut des données de santé considère que centraliser les données de santé sur une plate-forme unique gérée par Microsoft génère un risque accru de piratage ainsi qu’une perte d’efficacité. Nous vous proposons ci-contre cette tribune publiée dans le « Monde ».
Thierry Lidolff
TRIBUNE
« La politique publique des données de santé est à réinventer »
« Divers événements et polémiques ont mis récemment en lumière le rôle stratégique des données de santé, mais aussi de multiples difficultés dans leur collecte et leur traitement, ainsi que l’extrême sensibilité de leur hébergement et de leurs usages au regard du respect des libertés individuelles et de la vie privée.
Les lois santé de 2016 et 2019 ont modifié en profondeur l’organisation et la gouvernance de ces données. Des doutes et critiques sont apparus sur la pertinence du nouveau système, le Health Data Hub (HDH), dès avant, puis durant la crise sanitaire. Il serait prématuré de se prononcer aujourd’hui sur l’efficacité intrinsèque de cette plate-forme, celle-ci demeurant largement en devenir. Mais les interrogations doivent être entendues.
Placé sous la tutelle du ministère de la santé, le HDH est chargé de centraliser les données pseudo- anonymisées de santé. Premier point contesté : le choix d’en confier l’hébergement à Microsoft. La Commission nationale de l’informatique et des libertés (CNIL) a souligné de potentiels conflits de législation, en rappelant que Microsoft disposerait des clefs de chiffrement des données. Si cette prestation d’hébergement est soumise au règlement européen sur la protection des données, Microsoft – un acteur mondial dont le siège social est aux Etats-Unis – serait soumis à la législation américaine, avec des risques de transfert des données aux Etats-Unis. Des acteurs de ce domaine critiquent aussi que ce choix ait été opéré en invoquant l’urgence, qu’il paraisse contradictoire avec l’objectif d’une relance de la politique industrielle française et européenne et qu’il s’accompagne d’opacité, les dispositions du contrat n’étant pas publiques.
Changement de paradigme en 2016
Pour comprendre la situation, il faut analyser le changement de paradigme intervenu en 2016. Jusqu’alors, l’Institut des données de santé (IDS), associant les acteurs de santé et la société civile aux décisions, assurait à la fois la régulation de l’accès aux bases de données – sans pour autant les centraliser – et la stratégie de développement, de cohérence et de qualité de ces bases, à des fins de santé publique. Ce système était adossé à la CNIL, garante de la protection des données, et à un comité d’experts chargé du respect de l’éthique et de la déontologie. Agences sanitaires, organismes de recherche, professionnels et établissements de santé, dont les centres hospitaliers universitaires (CHU), associations de patients, fédérations hospitalières, notamment, ont bénéficié de cet apport considérable.
Le ministère de la santé a souhaité remettre en cause cet équilibre, notamment en décidant de centraliser toutes les données au sein du HDH. Ce choix portait un risque accru d’atteinte, par piratage, à la sécurité des données, un risque financier – les coûts de gestion et de maintenance se trouvant augmentés, dans la mesure où les bases gérées par les opérateurs qui alimentent le HDH demeurent – et un risque de perte d’efficacité. En effet, les chercheurs ont continuellement besoin de nouveaux types de données, qu’un système unique ne pourra jamais toutes fournir. S’est ajouté un retard dans la mise en œuvre, accru par une gouvernance instable (trois présidents et trois directeurs en trois ans), et ce malgré des moyens financiers importants.
« Le retard dans la perception de ce qui se passait dans les Ehpad résulte de l’incapacité, faute de système d’information, à faire remonter rapidement des données »
La crise du Covid-19 a mis en évidence d’autres difficultés. Le retard dans la perception de ce qui se passait dans les Ehpad résulte de l’incapacité, faute de système d’information, à faire remonter rapidement des données. La création d’une base médico-sociale chaînable avec celles des hôpitaux et de la médecine de ville, demandée de longue date par l’IDS, avait été annoncée en 2016, et confirmée en 2018. Elle n’a pas été réalisée.
L’impossibilité de disposer en temps réel de données sur les décès en ville vient du fait que la dématérialisation des certificats médicaux de décès n’est pas généralisée. Le chaînage du registre des causes médicales de décès avec les données hospitalières et de la médecine de ville avait été réalisé par l’IDS dès 2012, mais seule une partie des certificats est dématérialisée. Chacun a pu mesurer les limites des comptages quotidiens quasi manuels, avec toutes leurs incertitudes.
On peut aussi constater une utilisation encore insuffisante des données par le ministère de la santé et certaines agences, ou la nécessité persistante pour les équipes des CHU, hors recherches «standards», de demander une autorisation d’accès au cas par cas. Ces retards posent problème dès lors qu’il s’agit de santé publique. A fortiori dans une situation d’urgence sanitaire, il faut pouvoir percevoir et agir vite et fort. Cela implique de brasser en permanence les données pour repérer les signaux faibles.
Gouvernance, stratégie et régulation
Il faut donc remettre à plat le sujet, avec des orientations claires : rétablir la confiance et définir une stratégie ; couvrir l’ensemble du champ sanitaire et médico-social ; simplifier l’accès pour permettre d’aller vite ; développer l’utilisation des données en temps réel pour repérer les problèmes émergents ; ancrer l’architecture technique dans un écosystème décentralisé, respectueux des acteurs. »
metahodos.fr 
Paru dans Le Point: « Nous ne sommes pas pieds et poings liés à Microsoft »
L’inquiétude grandit face à données qui ne sont pas hébergées par des acteurs français. La directrice du Health Data Hub Stéphanie Combes répond.
Par Guillaume Grallet
Quand on connaît son ton posé et son tempérament malicieux – il n’hésite pas à présenter les résultats de son entreprise, OVHcloud, une guitare à la main, après avoir repris Whole Lotta Love de Led Zeppelin –, on peut être étonné de voir dans quelle colère s’est mis Octave Klaba le 29 mai. Il s’est expliqué sur Twitter : « C’est la peur de faire confiance aux acteurs français de l’écosystème qui motive ce type de décision. La solution existe toujours. Le lobbying de la religion Microsoft arrive à faire croire le contraire. C’est un combat. On va continuer et un jour on gagnera. Ensemble. »
Cet entrepreneur, né en 1975 à Nowa Ruda, en Pologne, qui a bâti en vingt ans et avec son père Henri une société de 3 000 salariés à Roubaix, n’a pas digéré de voir un industriel américain, en l’occurrence Microsoft, être choisi pour héberger la majorité des données de santé du Health Data Hub, amené à jouer un rôle croissant dans la politique sanitaire de la France.
Souveraineté numérique
Aurait-il été préférable de s’appuyer sur des acteurs français au nom de la souveraineté numérique ? Certes, les géants américains du secteur ont un savoir-faire technologique indéniable – Amazon dépense 22 milliards de dollars par an en recherche, c’est presque autant que le budget cumulé des entreprises du CAC 40, d’après les chiffres de PwC. Mais Octave Klaba pose de bonnes questions. Car si l’investissement – via la BPI, par exemple – peut permettre à des start-up de prendre leur envol, l’achat public peut être un levier efficace de la politique industrielle.
Depuis son coup de gueule, Octave Klaba a parlé longuement au téléphone avec Stéphanie Combes, directrice générale du Health Data Hub, à qui il a fait part de son envie de changer les choses. « Il y a une envie débordante de démontrer que l’écosystème français est à la hauteur de ce type de mission ! » lui a expliqué celui qui estime « pouvoir faire mieux que la Silicon Valley ».
Enjeu sanitaire
Les données rassemblées par Health Data Hub peuvent jouer un rôle de premier plan dans la politique sanitaire. Un exemple ? « Rassembler des scanners thoraciques et des résultats de tests PCR sur la plateforme technologique permettra de développer des outils d’intelligence artificielle pour améliorer le dépistage des cas graves de Covid », explique l’ancienne cheffe de projet au ministère de la Santé Stéphanie Combes.
Le Health Data Hub est doté d’un budget de 80 millions d’euros pour quatre ans. « Nous faisons travailler pour l’instant 35 agents et 15 prestataires », précise l’administratrice Insee, qui a suivi les cours de Polytechnique et de l’Ensae. Au quotidien, le Hub travaille avec d’autres entreprises américaines comme Palo Alto Networks, mais aussi avec le cabinet de conseils français Wavestone ou encore l’intégrateur Open, basé à Paris. « Entre septembre 2018 et janvier 2019, nous avons rencontré un grand nombre d’acteurs du marché, dont OVH. Microsoft a été choisi parce qu’il répondait aux exigences de sécurité et fonctionnelles. »
Une « bataille perdue » ?
OVH, qui entre-temps est devenu homologué pour les données de santé, est-il hors jeu ? « Nous ne sommes pas pieds et poings liés à Microsoft. Nous pourrions tout à fait nous appuyer sur d’autres acteurs. Nous n’avons pas d’engagement contractuel sur plusieurs années qui nous enferme dans ce choix. Il faudrait simplement qu’il existe chez l’acteur vers lequel nous ferions la bascule les mêmes fonctionnalités. »
« La bataille a été perdue il y a dix ans, quand il aurait fallu financer largement OVH pour en faire un acteur mondial », estime de son côté Guillaume Meulle, du fonds XAnge, qui « déplore le stockage des données de santé des Français sur un cloud étranger ». Mais pour lui, « plutôt que de faire marcher la machine à remonter le temps, on ferait mieux de s’intéresser aux batailles qui viennent – l’intelligence artificielle qui va exploiter ces données, par exemple. Les grands donneurs d’ordre prennent trop peu de risques et n’achètent pas aux start-up, qui seront les grands groupes de demain. Nous devrions nous inspirer des États-Unis, où le Small Business Act impose de passer des commandes à de petites structures. »
Serait-ce applicable en France ? « Nous suivons de près l’initiative franco-allemande Gaia-X, qui vise à faire grandir des champions européens dans le cloud », explique Stéphanie Combes. Rebattre les cartes pourrait être l’occasion, pour une foule d’éditeurs français de cloud, de montrer ce dont ils sont capables individuellement ou collectivement. Car les talents sont nombreux dans l’Hexagone, d’Outscale, signé Dassault Systèmes, à Thalès, en passant par les services d’opérateurs télécoms nationaux, sans oublier Scaleway, Rapid.space, Claranet, Euris, Clevercloud (basée à Nantes) ou encore Platform.sh (basée à Paris).
J’aimeJ’aime
Article de Stéphane BLANC
SCANDALEUX ! INCOMPRÉHENSIBLE !
Publié le 8 juin 2020 (sur linkedin)
Ce sont les seuls mots qui me viennent à l’esprit à la lecture de cet article :
https://www.lesechos.fr/tech-medias/hightech/letat-choisit-microsoft-pour-les-donnees-de-sante-et-cree-la-polemique-1208376
J’ai l’impression de vivre dans un monde parallèle – suis-je fou, ou depuis deux mois, aviez-vous vous aussi entendu que la souveraineté de nos données était un enjeu crucial de notre reconstruction ? Aviez-vous vous aussi eu le sentiment que le séisme sanitaire qui nous a touché avait enfin remis les vraies questions au centre du village : produire ici, sécuriser ici, consommer ici, protéger ici, construire ici ?!
Il faut croire que le rêve tourne au cauchemar quand je lis que non seulement nos données de santé – nos données les plus précieuses, pour qui en douterait – sont confiées à un géant américain, et qu’en plus, cela se fait suite à un appel d’offres relativement opaque, qui n’a laissé sa chance qu’à un seul acteur.
Dans le monde que je pensais voir naitre, utopiste que je suis, mes compétiteurs – mes co-pétiteurs d’Hexatrust devrais-je dire, et moi-même, nous aurions su construire une réponse, pertinente, collaborative, intelligente, et française, en un temps record. J’ai bien compris qu’il faut aller vite, pour sauver des vies.
Ensemble, nous aurions passé tous les niveaux de certification – en 6 mois, comme c’est la norme, et non en 1, comme on sait visiblement le faire Outre-Atlantique.
Ensemble, nous aurions aussi certainement utilisé des usages américains, mais nous aurions sécurisé, hébergé, analysé la donnée en France. Nous n’aurions pris de l’extérieur que ce qui nous était absolument indispensable, en s’assurant que l’utilisation qui en soit faite respecte strictement nos lois, nos niveaux de sécurité, et les utilisateurs qui qu’ils soient.
Même, nous aurions probablement bénéficié de ce projet collaboratif pour faire croitre nos entreprises, préserver l’emploi si ce n’est recruter davantage, créer de la richesse sur notre territoire, et bien sûr, payer nos impôts en France.
Ah ! Quel doux rêveur j’étais quand je pensais que la souveraineté numérique n’était pas qu’une rhétorique !
Objectivement, il me suffit de regarder ce que mes équipes AntemetA sont capables de faire, pour me dire, qu’en fait, nous avions toutes les compétences ! Rien que pour Météofrance, nous gérons 4 Millions d’utilisateurs permanents, nous supportons des pics à plus de 11 Millions lors d’événements climatiques critiques. Un projet comme le Health Data Hub, nous l’aurions porté, peut-être à plusieurs, nous l’aurions même incarné ! Je suis sûr que compte tenu du respect que nous avons tous aujourd’hui pour le personnel de santé, et pour tous nos compatriotes qui ont vécu comme nous des mois difficiles, nous aurions été fiers de prendre part à un sujet de cette criticité.
Mais alors, le réveil est encore plus terrible : si ce n’est ni un problème technique, ni un problème de compétences, ni un problème de volonté, ni un problème d’absence d’acteurs, alors où est-il, le problème ?
Monsieur Cédric O, Monsieur le Président de la République, vous m’avez perdu dans les méandres de vos choix numériques…
J’aimeJ’aime
Souveraineté Numérique, pourquoi ?
Emmanuel Mawet
8 juin 2020
Il m’a fallu un certain temps avant d’arriver à formaliser ce sentiment qui me taraudait. Constatant que le numérique en particulier, mais aussi toute l’industrie de hautes technologies devient le futur de notre économie, et que les seuls grands noms à de rares exceptions près qui monopolisent l’espace public sont américains, coréens et chinois, il est temps de rebattre les cartes… Même les japonais qui ont été pendant des décennies les leaders sur ce marché sont devenus des acteurs de second plan…
Pourtant en France et en Europe, nous avons des esprits brillants, et des universités et écoles d’ingénieurs qui les produisent. La France est d’ailleurs une terre d’innovation et d’inventions, mais qui voit souvent ses pionniers aller développer leurs découvertes sous des cieux plus propices…
Souveraineté et paysage numérique dans les différentes contrées
Si vous faites un tour dans le monde du numérique, ce nouveau territoire de conquête économique, que pouvons-nous observer comme type d’acteur ?
Tout d’abord une catégorie qui me semble importante, car issue de la philosophie fondatrice du web et du vent de liberté et de gratuité qui est surgi avec son développement : Les acteurs de l’Open Source. Il s’agit souvent de communautés de développeurs autour d’une technologie qui donne accès libre au code source. Leur rémunération repose à la fois sur des dons, dépendant du militantisme des utilisateurs, et sur leurs capacités à proposer des services sur l’installation et la maintenance des solutions proposées.
Nous avons ensuite des acteurs économiques « privés », mais qui en fonction de leur pays d’origine se retrouvent plus ou moins inféodés au pouvoir politique en place et à la doctrine qui a vu leur naissance.
Commençons par le premier d’entre eux, les Etats-Unis et les GAFAM, mais aussi toutes les start-ups innovantes gravitant dans leur écosystème. Le numérique a tout de suite été vu comme un nouvel outil de suprématie américaine (L’express), avec la volonté d’imprimer sa culture, son mode de vie et sa vision économique et morale du monde à l’ensemble de la communauté mondiale. Les instruments de cette hégémonie qui se manifeste plus particulièrement en Europe du fait de sa passivité, sont les GAFA (Touteleurope.eu), je dirais même les GAFAM, car n’oublions pas Microsoft qui a su devenir incontournable dans le domaine de la Suite Office pour les applications bureautiques professionnelles mais pas seulement… Grâce à l’engouement suscité par des produits innovants qui ont su séduire le grand public et par une approche de fausse gratuité, où ce sont vos données qui leur servent à se rémunérer. Ces données, nos données, sont à l’origine de la fabuleuse accumulation de cash (LesEchos) que ces entreprises ont réussi à générer, leur permettant l’éclosion d’un écosystème de start-up innovantes par des financements : Uber, AirBnB, etc… Mais surtout leur a permis de racheter un nombre de start-up innovantes US ou étrangères afin de les faire tomber dans leur giron : WhatsApp, Instagram par exemple pour Facebook, Fitbit pour Google, Skype pour Microsoft…
Nous continuerons par le meilleur ennemi des américains, la Russie. L’empire soviétique, mise à terre par les différentes courses technologiques et à l’armement, s’est désagrégé avec la chute du mur de Berlin, et la Russie a mis du temps à se relever. Cependant, depuis l’arrivée au pouvoir d’un homme fort, Poutine, le pays retrouve une certaine fierté de lui-même. Malgré une économie chancelante et encore trop dépendante des matières premières, Poutine en s’appuyant sur des oligarques a su reconstruire une Russie puissance à travers un rétablissement pragmatique de ses forces armées, où nombre d’innovations ont vu le jour, essentiellement dans le secteur de la défense. Mais Poutine a compris la menace que représentait la puissance numérique américaine et la dépendance qui en découlait, et pour la contrebalancer a mis en œuvre certaines initiatives comme la création d’un internet souverain (sputnik). Par ailleurs la Russie, grâce à un système éducatif qui a permis l’éclosion de grands mathématiciens, a aussi quelques pépites du numérique comme Kapersky pour les antivirus, mais aussi le concurrent Russe du moteur de recherche de Google qui est Yandex. Malgré une méconnaissance pour ma part de l’écosystème Russe, on s’aperçoit à l’aune de ces quelques exemples que l’on peut se libérer ou atténuer l’emprise numérique américaine, lorsqu’il y a une volonté politique forte.
Passons maintenant du côté de la zone Asie avec des situations bien différentes entre la Corée du Sud et le Japon d’une part, alliés des US et la Chine d’autre part, nouveau meilleur ennemi des américains.
Pour la Corée et le Japon, leur spécialisation s’est plutôt tournée vers le matériel, processeurs, écrans, et smartphone. Ils ont aussi quelques licornes, mais c’est un marché que je connais beaucoup moins bien et qui semble à l’heure actuelle assez restreint à cette zone géographique. Il y existe néanmoins quelques acteurs emblématiques comme la messagerie instantanée nippo-coréenne Line, qui a généré un chiffre d’affaire supérieur à WhatsApp (2014).
Pour la Chine, c’est une toute autre histoire. Forte d’une population de plus d’un milliard d’habitants, d’une économie à la fois hyper libérale et administrée et sous contrôle total du pouvoir, la Chine s’est vu confier la fabrication de tout le « hardware » (pc, smartphone, puces, etc…) et a pu ainsi dans un premier temps copier puis innover dans le domaine des nouvelles technologies. La chine est à la fois le fournisseur de matériels informatiques et télécoms (5G…) du monde occidental, mais a su développer des géants de l’internet plus puissants par certains côtés que les GAFAMS, comme TikTok, Alibababa, Baidu, Xaomi, Huawei, WeChat, filiale de Tecent, , etc… Dans le cas de ces applications, une chose est certaine, vos données seront exploitées par le gouvernement chinois et le concept de données privées n’existe pas dans la terre du milieu…
Parlons de l’Europe, mais cela va être court… Non pas qu’il n’existe pas de solutions françaises ou européennes de qualité, ce site essaie justement de les mettre en avant, mais il n’y a aucune volonté politique de construire une Europe puissante dans le numérique. Peut-être la pandémie qui nous a frappé durement, a- t-elle permis une prise de conscience intellectuelle chez nos décideurs, mais cela ne se traduit hélas pas encore dans les faits comme le montrent ici deux décisions que je trouve emblématiques du malaise français et européen : la Commission Européenne qui recommande comme messagerie sécurisée, la messagerie américaine Signal! Alors qu’il existe des solutions françaises comme Olvid… Et le deuxième exemple peu glorieux est celui du cloud Microsoft pour la plateforme des données de santé, alors qu’il existe des solutions souveraines et certifiées pour les données de santé comme OVH ou Outscale…
Pourquoi la souveraineté est un concept important ?
Si la lecture du paragraphe précédent n’a pas commencé à vous faire prendre conscience de l’intérêt de reprendre la destinée numérique de l’Europe en main, voici quelques éléments explicites.
La possibilité de maitriser nos données tout d’abord pour des raisons économiques. Comme vu précédemment ce qui a permis aux GAFAM de s’enrichir au point d’être plus puissants que certains états dans le monde, c’est le fait que nous leur avons « librement » donné accès à nos données et les droits d’usage en échange d’une gratuité des services proposés. Ces données qui concernent vos habitudes d’achats, votre santé, vos habitudes ou non d’exercice physique, vos déplacements, vos photos, etc… sont toutes une source d’intérêt pour différents acteurs du marketing, du commerce, de la santé. Elles le sont aussi pour les forces de sécurité plutôt américaines où elles peuvent être exploitées en termes d’espionnage afin de favoriser les intérêts géopolitiques ou économiques américains.
Et leur laisser à eux seuls bénéficier de la manne que représente l’exploitation de ces données c’est leur donner par exemple les moyens d’acheter toute entreprise numérique européenne qui aurait l’heure de leur faire de l’ombre…
L’autre point clé, c’est la législation, au risque de me répéter, le Cloud Act et le Patriot Act, offrant la capacité à imposer l’extraterritorialité de sa législation. Cela impacte notre capacité à nouer des relations diplomatiques avec des pays qui seraient dans le collimateur US et ce quelques soient nos intérêts, et leur permet d’impacter les marchés avec lesquels nous pourrions faire affaire. Preuve en est, les différentes amendes imposées à des entreprises européennes (toujours sanctionnées plus fortement que les entreprises américaines) dans les affaires de contournement d’embargo…
Si nous prenons les concurrents chinois des GAFAMS, la situation n’est hélas pas meilleure voire pire. En effet le régime chinois est un régime dictatorial, qui n’a aucun goût pour les libertés individuelles ou la contestation à l’intérieur de ses frontières, mais aussi à l’extérieur… Choisir une application chinoise comme TikTok c’est fournir des sources d’images phénoménales à l’état chinois qui aura tout loisir de se créer des bases de données gigantesques des photos de la population mondiale, et quand on voit l’utilisation faite de la vidéosurveillance et de l’IA pour contrôler la population chinoise, il y a de quoi s’inquiéter.
En conclusion
Arrêtons d’être naïfs, si la globalisation des marchés nous a donné l’impression que le monde était un grand village, chaque joueur sur l’échiquier géopolitique mondial joue sa partition, celles des US n’est pas celle des Chinois, ni celles des Russes, et elles ne devraient pas être celle de l’Europe que cela soit en termes de défense ou de numérique.
Pour le numérique, il faut prendre conscience que le gratuit n’existe pas vraiment, et qu’il faut accepter de payer le prix juste pour le service désiré. Il est à rappeler que ce qui se retrouve à notre disposition pour notre usage est le résultat du travail et de la créativité d’ingénieurs ou d’inventeurs, et qu’il est juste qu’ils en tirent une rémunération équitable, sinon cela sera par l’exploitation de vos données collectées lors de l’utilisation de ces différents outils.
Encore une fois, c’est à nous conso-acteurs de faire nos choix en conscience. Mobilisons-nous !
J’aimeJ’aime
RAPPEL/ LE COMMUNIQUE DU 12 octobre 2018
Agnès Buzyn, ministre des Solidarités et de la Santé,
annonce la création d’un « Health Data Hub »
À la suite de la remise du rapport Villani, le Président de la république avait annoncé que la santé
serait un des secteurs prioritaires pour le développement de l’intelligence artificielle. Le 16 mai
dernier, Agnès Buzyn avait lancé une mission de préfiguration afin de créer un « Health Data Hub » et
d’élargir le système national de données de santé. Cette mission a rendu ses conclusions à la ministre
ce vendredi 12 octobre 2018, en présence de Mounir Mahjoubi, Secrétaire d’Etat auprès du Premier
ministre, chargé du Numérique. Agnès Buzyn a confié à M. Jean-Marc Aubert, directeur de la DREES, la
mission de mise en place de ce Hub des données de santé à l’horizon du premier trimestre 2019. Cette
initiative doit permettre de faire de la France un leader dans l’utilisation des données de santé, au
service du bien commun, dans le respect du droit des patients et en totale transparence avec la société
civile.
Concrètement, le « Health Data Hub », prendra la forme d’un guichet unique, sécurisé dans l’objectif de
permettre le partage des données de santé dans le respect du droit des patients et en assurant la
transparence avec la société civile. Il mutualisera des ressources technologiques et humaines et
constituera un outil de promotion de l’innovation pour faire de la France un leader des données de
santé.
La mission a été pilotée par trois experts : Dominique Polton, présidente de l’Institut national des
données en santé (INDS), Marc Cuggia, professeur d’informatique médicale et praticien hospitalier au
CHU de Rennes et Gilles Wainrib, président fondateur de la start-up Owkin. La mission a entendu, tout
au long de l’été, un très grand nombre d’acteurs de l’écosystème des données de santé qui ont
activement contribué à ces réflexions.
Près d’une centaine d’idées concrètes pour mettre le patrimoine national de données de santé au
service de la recherche, des professionnels de santé, des citoyens, des start-ups, des medtechs et de la
puissance publique ont été proposées.
Les données de santé financées par la solidarité nationale ont ainsi été reconnues comme faisant
partie d’un patrimoine commun devant être mises pleinement au service du plus grand nombre dans
le respect de l’éthique et des droits fondamentaux de nos concitoyens.
J’aimeJ’aime
Nous vivons dans un monde géopolitique complexe, avec des questions aigues de gouvernance et de souveraineté. Imaginez que, pour des raisons géopolitiques, les États-Unis décident de couper leurs #cloud services aux entreprises européennes. Nous devons avoir des solutions européennes équivalentes sur lesquelles il sera possible de changer. De la même manière que l’Europe produit son électricité et son eau, elle doit aussi avoir son propre nuage.
La France et l’Allemagne défendent un cloud souverain européen, ils parrainent un catalogue d’offres de stockage et de traitement de données porté par des acteurs transparents en matière de sécurité des données.
Florian Dèbes 4 juin 2020 Les Echos
L’Europe de l’informatique en ligne est née… entre deux écrans de visioconférence. En cours d’élaboration depuis quelques mois entre Berlin et Paris, et encore plus ces dernières semaines en plein confinement, la première forme d’un cloud européen de taille critique est sur les rails. Deux ministres de l’Economie, le Français Bruno Le Maire et l’Allemand Peter Altmaier, s’en sont félicités jeudi 4 juin.
Les deux pays se sont mis d’accord pour parrainer un catalogue de services numériques portés par des hébergeurs et des éditeurs de logiciels qui se seront préalablement engagés sur des standards de nature à renforcer la confiance de leurs clients en matière de sécurité des données mais aussi de transparence des contrats. Les fournisseurs de services référencés dans ce projet Gaia-X devront proposer des technologies interopérables d’un hébergeur à l’autre, afin de garantir la possibilité pour les clients de changer de partenaire s’ils ne sont plus satisfaits.
Atos, OVHcloud, Outscale, Orange à la manoeuvre
Les hébergeurs devront aussi clairement indiquer s’ils doivent ou non se soumettre à des réglementations extra-européennes. Initiée en Allemagne, l’idée d’un cloud européen a pour vocation de favoriser le partage des données au sein des filières. Il s’agit aussi de protéger les secrets industriels des entreprises contre les lois extraterritoriales qui autorisent, dans certains cas, la perquisition de données par des justices étrangères, américaines ou chinoises.
Concrètement, une PME ou un grand groupe qui voudra souscrire à une offre d’informatique en ligne pourra l’année prochaine rentrer ses critères dans un comparateur et se voir proposer différents services. OVHcloud, Outscale, Scaleway, Orange Business Services, SAP et d’autres y présenteront leurs offres, tandis qu’Atos ou T-Systems s’assureront que les différents services communiquent bien entre eux, l’ambition étant qu’ainsi une équipe de fournisseurs de services européens soit aussi performante et aussi complète qu’un géant américain ou chinois du cloud gérant seul tous les services.
« Gaia-X n’est qu’un point de départ », a souligné Peter Altmaier. A terme, le projet doit fédérer une grande partie de la tech européenne. « Gaia-X ne pouvait pas arriver à meilleur moment alors que l’épisode du Covid-19 a montré l’importance du ‘cloud computing’ pour les entreprises en télétravail », a de son côté relevé Bruno Le Maire.
Casser un oligopole
En vingt ans, l’Europe a su faire émerger des champions du cloud comme OVHcloud, présent dans le Top 10 mondial, et des outsiders comme Outscale ou OBS. Mais en dépit de précédentes tentatives politiques pour les tirer vers le haut – et notamment en France un catastrophique projet de cloud souverain -, les acteurs européens ne boxent pas dans la même catégorie que leurs rivaux américains ou chinois.
« Amazon, Microsoft et Google pèsent à eux trois 65 % du marché, Gaia-X va permettre aux acteurs européens de se montrer auprès d’entreprises qui peuvent avoir du mal à les identifier », espère Servane Augier, la directrice générale déléguée d’Outscale. A Bercy, on voit aussi en Gaia-X l’occasion de casser un oligopole et de donner leur chance aux acteurs européens. « Il n’y a pas de raison pour que les Européens ne puissent pas tenir 30 % du marché du cloud », calcule de son côté Yann Lechelle, le directeur général de Scaleway.
Néanmoins, Gaia-X ne sera pas fermé aux géants américains du secteur. Ils pourront eux aussi proposer leurs services via le comparateur européen. Signe qu’ils pourraient être prêts à respecter les principes de transparence de Gaia-X, ils auraient déjà participé à des groupes de travail technique d’après plusieurs sources. Microsoft confirme être en discussion.
« Les innovations dans le numérique ne viennent pas majoritairement d’Europe, si nous voulons aider les entreprises européennes à rester compétitives, les acteurs non européens doivent avoir une place », explique Cédric Prévost, le directeur des solutions « cloud de confiance » chez OBS. Fondée par 11 sociétés françaises de la tech et 11 sociétés allemandes, la Fondation Gaia-X officialisée ce jeudi fixera dans le détail les règles de bonne conduite au sein de l’écosystème européen.
Florian Dèbes
J’aimeJ’aime
ARTICLE USINE NOUVELLE
Que reproche-t-on au Health Data Hub, attaqué devant le Conseil d’Etat ?
Le déploiement du Health Data Hub est attaqué devant le Conseil d’Etat. Les requérants estiment que cette base de données médicales portent atteinte à la vie privée des 67 millions de Français. Le choix de l’hébergeur, Microsoft, est au centre des plaintes.
ALICE VITARD 09 JUIN 2020
Une quinzaine d’organisations et de personnalités – dont le Conseil National du logiciel libre, le collectif InterHop et le médecin Didier Sicard – ont déposé un référé-liberté devant le Conseil d’Etat contre le déploiement de la base de données « Health Data Hub », révèle Mediapart dans un article publié le 9 juin 2020.
Les signataires du référé estiment que la mise en place du Health Data Hub « porte une atteinte grave et sûrement irréversible aux droits de 67 millions d’habitants de disposer de la protection de leur vie privée notamment celle de leurs données parmi les plus intimes, protégées de façon absolue par le secret médical : leurs données de santé ».
CRÉÉ POUR REMPLACER LE SYSTÈME NATIONAL DES DONNÉES DE SANTÉ (SNDS)
Créé par la loi du 24 juillet 2019, le Health Data Hub est une plateforme d’exploitation des données de santé. C’est un groupement d’intérêt public (GIP) qui reprend les missions actuelles de l’Institut national des données de santé (INDS), tout en les élargissant. Le Health Data Hub va remplacer le Système national des données de santé (SNDS) qui contient les données de l’Assurance maladie, des facturations hospitalières, des causes médicales de décès, des données médico-sociales des personnes handicapées et d’un échantillon de données de remboursement des organismes complémentaires.
À terme, toute donnée collectée dans le cadre d’un acte remboursé par l’Assurance-maladie sera centralisée dans le Health Data Hub. L’objectif final de cette plateforme est d’offrir des datasets pour développer des algorithmes d’apprentissage automatique.
L’ETAT ACCÉLÈRE LE DÉPLOIEMENT DE LA PLATEFORME
Pourquoi avoir lancé une telle procédure ? Elle fait en réalité suite à un courrier envoyé par les requérants en mars 2020 au ministère des Solidarités et de la Santé. Ils demandaient l’ouverture d’une enquête pour « favoritisme » sur le choix fait par le gouvernement de confier l’hébergement du Health Data Hub au service de cloud computing Azure de Microsoft.
Les requérants n’ont pas eu de réponse satisfaisante. Et le 23 avril 2020, l’État a pris un arrêté accélérant au nom de l’état d’urgence sanitaire le déploiement de la plateforme. Il autorise le Health Data Hub, ainsi que la Caisse nationale de l’assurance-maladie (Cnam), à collecter, « aux seules fins de faciliter l’utilisation des données de santé pour les besoins de la gestion de l’urgence sanitaire et de l’amélioration des connaissances sur le virus Covid-19 », un nombre considérable de données.
Ont été intégrées à la plateforme les données du Système national des données de santé (SNDS) qui regroupe lui-même les principales bases de données de santé publique, les « données de pharmacie », les « données de prise en charge en ville telles que des diagnostics ou des données déclaratives de symptômes issues d’applications mobiles de santé et d’outils de télésuivi, télésurveillance ou télémédecine », les données des laboratoires, celles des services d’urgence, « des enquêtes réalisées auprès des personnes pour évaluer leur vécu »…
Enfin, le Health Data Hub a également récupéré des données issues des enquêtes épidémiologiques instaurées par la loi de prolongation de l’état d’urgence sanitaire, dont celles du Système d’information national de dépistage populationnel (SIDEP), un fichier spécialement créé pour centraliser les résultats d’analyses des laboratoires.
POUR LA CNIL, DES INTERROGATIONS
La Commission nationale de l’informatique et des libertés (Cnil) a rendu un avis plutôt sévère sur ce passage en force. Elle pointe notamment du doigt cette accélération inattendue du calendrier et s’interroge sur « les conditions de démarrage anticipé de la solution technique dans un contexte où la plateforme de données de santé a dû accomplir en quelques semaines des opérations, dont certaines structurantes, pour garantir la sécurité des données traitées, étaient prévues pour s’étaler sur plusieurs mois ».
L’autorité protectrice de la vie privée affirme également que « les dispositions contractuelles de sous-traitance (…) stipulent que les données traitées peuvent être transférées vers les États-Unis pour y être stockées et traitées ». En théorie, cela signifie que les autorités américaines pourraient avoir à accès aux données médicales des Français en application du Cloud Act. Mais la Cnil rappelle que toute demande d’accès d’une juridiction ou d’une autorité administrative d’un pays tiers » adressée au sous-traitant, en dehors d’un accord international applicable, ne pourrait donc être considérée comme licite ». Dans tous les cas, elle recommande que « la plateforme des données de santé assure un hébergement et un traitement des données sur le territoire de l’Union européenne ».
MICROSOFT VS OVH
Interrogée par Mediapart, la directrice du Health Data Hub, Stéphanie Combes, a démenti les affirmations de l’autorité française. « Nous ne sommes pas alignés sur cette phrase de l’avis. Le contrat prévoit en effet que des données peuvent être transférées par l’hébergeur dans certains cas, sauf indication contraire. Or, nous avons bien spécifié que les données ne devaient pas sortir du territoire français », affirmait-elle.
Mais pourquoi le gouvernement n’a pas choisi une solution d’hébergement française ou européenne ? L’Usine Digitale a eu l’occasion d’interroger Bernard Ourghanlian, directeur technique et sécurité chez Microsoft France, qui nous a expliqué qu’à l’époque, seul Microsoft avait été agréé « hébergeur de données de santé « (HDS). Un label désormais obligatoire pour stocker des données de santé. « Quand il a fallu faire un choix, il s’est naturellement orienté vers la seule solution qui était disponible sur le marché à l’époque », a-t-il conclu. Même son de cloche du côté de Stéphanie Combes, qui a indiqué à plusieurs reprises que l’hébergeur français OVH « n’offrait pas les mêmes fonctionnalités » que l’entreprise américaine. « OVH est d’accord avec nous sur le fait qu’ils ont encore des efforts à faire », arguait la directrice du Health Data Hub.
PAS D’APPEL D’OFFRE SELON OVH
Mais l’entreprise française avait émis des doutes sur ces arguments. Le fondateur et directeur général d’OVH Octave Klaba a finalement pris la parole sur Twitter : « c’est la peur de faire confiance aux acteurs français de l’écosystème qui motive ce type de décisions. La solution existe toujours. Le lobbying de la religion ‘Microsoft’ arrive à faire croire le contraire. C’est un combat ». Il accuse même le gouvernement de ne pas avoir respecté la procédure réglementaire : « Pas de cahier des charges. Pas d’appel d’offres. Le POC avec Microsoft qui se transforme en solution imposée. Tout ceci à la limite je m’en fous. Mais de là dire que l’écosystème qu’on représente est incapable de proposer mieux et moins cher, c’est non ! »
Cet échange a finalement débouché sur une conversation téléphonique entre les deux protagonistes. Octave Klaba a affirmé que Stéphanie Combes avait pris l’engagement de publier prochainement la liste « des services tech qui sont nécessaires au projet » à défaut de publier l’intégralité du cahier des charges.
Le rapport consacré « au numérique en santé » commandé par le gouvernement au Conseil national du numérique (CNNum) sera publié ce jeudi. La partie consacrée au Health Data Hub apportera peut-être des réponses. La décision du juge est également attendue le 11 juin.
Pour rappel, la procédure de référé-liberté permet de demander à la plus haute juridiction administrative de prendre en urgence une mesure nécessaire à la sauvegarde d’une ou de plusieurs libertés fondamentales si l’administration y porte atteinte de manière grave et illégale.
ALICE VITARD
J’aimeJ’aime
commentaire reçu ce jour 10 06 20
« la souveraineté des données est un leurre.
Internet est globalisé et il suffit de savoir un minimum coder ou utiliser la partie réservée aux développeurs de Facebook, Google, Twitter… pour savoir que tout ce que vous faites sur internet est tracé. Comptez le nombre d’applications, sites internet que vous visitez chaque jour et vous vous apercevrez du nombre d’informations que vous laissez.
Éduquer les utilisateurs, mettre en œuvre des systèmes de navigation en mode privé, convaincre les marketeurs d’appliquer des méthodes de tracking responsables, définir des labels de qualité et de respect de la vie privée… serait sans doute plus profitable. Pourrait-on vivre avec son temps sans agiter les drapeaux de la peur en permanence. La protection est-elle la seule méthode que nous ayons en réserve ? INNOVATION ! L’application StopCovid utilise un API Google ! »
J’aimeJ’aime
The conversation 25 mai 2020
Auteur : Bernard Fallery
Professeur émérite en systèmes d’information, Université de Montpellier
Le projet de traçage socialement « acceptable » à l’aide des smartphones dit StopCovid, dont le lancement était initialement prévu pour le 2 juin, a focalisé l’intérêt de tous. Apple et Google se réjouissaient déjà de la mise en place d’un protocole API (interface de programmation d’application) qui serait commun pour de nombreux pays et qui confirmerait ainsi leur monopole.
Mais la forte controverse qu’a suscitée le projet en France, cumulée au fait que l’Allemagne s’en est retirée et à l’échec constaté de l’application à Singapour, où seulement 20 % des utilisateurs s’en servent, annoncent l’abandon prochain de StopCovid.
« Ce n’est pas prêt et ce sera sûrement doucement enterré. À la française », estimait un député LREM le 27 avril auprès de l’AFP.
Pendant ce temps-là, un projet bien plus large continue à marche forcée : celui de la plate-forme des données de santé Health Data Hub (HDHub).
Health Data Hub, la forêt qui se cache derrière l’arbre
Dès la remise du rapport Villani sur l’intelligence artificielle (IA) en mars 2018, le président de la République annonce le projet HDHub. En octobre de cette même année, une mission de préfiguration définit les traits d’un système national centralisé regroupant l’ensemble des données de santé publique, un guichet unique à partir duquel l’IA pourrait optimiser des services de reconnaissance artificielle et de prédiction personnalisée.
Mais l’écosystème de l’IA s’apprête aussi à franchir une nouvelle marche en obtenant l’accès à des données massivesprovenant des hôpitaux, de la recherche, de la médecine de ville, des objets connectés, etc., et à un marché massif de la santé (prestigieux et à valeur potentielle énorme dans la mesure où il pèse plus de 12 % du PIB). La France, avec son assurance maladie, et le Royaume-Uni, avec son National Health Service (NHS), font ici figure de test, puisque des données cohérentes et fiables y sont maintenues depuis des décennies : Amazon a déjà accès à l’APIdu NHS pour alimenter son assistant vocal, et Microsoft a déjà signé l’hébergement de toutes les données de santé françaises (stockage, gestion des logs et des annuaires, puissance de calcul et conservation des clés de chiffrement).
Le projet HDHub mené « au pas de charge »
En novembre 2018, Stéphanie Combes est nommée cheffe de projet. Fin 2018, le choix de Microsoft est déjà acté (en « dispense de marché public »), alors même que la définition des principes de HDHub attendront juillet 2019 (dans la Loi Santé) et que ses missions ne seront définies qu’en avril 2020, par arrêté ministériel. La CNIL, malgré ses échanges avec Stéphanie Combes, continue à se poser de nombreuses questions.
D’autres voix se sont inquiétées de la gestion si hâtive du projet (comme le Conseil national des barreaux, l’Ordre national des médecins ou encore un député LREM) ; des collectifs ont lancé des alertes argumentées, comme les professionnels de InterHop ou les entreprises du logiciel libre ; et certains médecins ont mis en ligne des vidéos exprimant leur révolte.
Health Data Hub, un cas d’école sur toutes les problématiques du numérique
Contourner l’arbre qui cache la forêt, c’est découvrir toute l’étendue des questions posées par la « transformation numérique » dans la société, et ici dans la santé.
Les questions politiques se cristallisent ici autour du choix de Microsoft, que Stéphanie Combes justifie très classiquement par l’urgence, sans publication des délibérations : « Microsoft était le seul capable de répondre à nos demandes. On a préféré aller vite, pour ne pas prendre de retard et pénaliser la France. »
C’est une question de politique nationale, déjà soulevée dans The Conversation France, puisqu’il s’agit de faire gérer un bien public par un acteur privé, et sans espoir de réversibilité. Mais aussi une question politique de souveraineté numérique européenne puisque cet acteur étasunien se trouve soumis au Cloud Act, loi de 2018 qui permet aux juges américains de demander l’accès aux données sur des serveurs situés en dehors des États-Unis.
Les questions techniques se révèlent ici dans un vif débat entre centralisation ou interopérabilité des bases de données. La centralisation définit des architectures de « défense en profondeur » avec des barrières successives par exemple dans le nucléaire ; dans le projet HDHub, cette défense est sous-traitée chez Microsoft.
Stéphanie Combes observe que « si l’on veut faire du traitement de données à cette échelle, on doit centraliser, c’est la seule solution ». À l’opposé, la vision technique des architectures de l’interopérabilité vise à « ne pas mettre tous ses œufs dans le même panier » : d’une part, la majorité des attaques ne viennent pas de l’extérieur mais de l’intérieur, avec un risque plus élevé en cas de centralisation, et d’autre part l’anonymat ne résiste pas à la ré-identification d’une personne par croisement de données.
Cette architecture décentralisée consiste alors à gérer les échanges en réseau entre des bases de données qui restent hétérogènes et entre des traitements distribués sur plusieurs serveurs, mais en intégrant ces échanges par des couches d’interfaces qui sont aujourd’hui standardisées et en Open source. À titre d’exemple, c’est une option qui a été choisie dans le projet eHop pour un groupe d’hôpitaux. Elle présente l’avantage de maintenir localement les compétences des ingénieurs et des soignants, nécessaires à la qualification des données de santé.
Les questions juridiques concernent ici le consentement et le secret médical. Les principes européens du RGPDorganisent le consentement dès la conception des systèmes d’information (privacy by design) et par une culture de transparence interne dans les organisations (via le délégué à la protection des données). Les données des patients touchent bien sûr à leur intimité, mais la durée, le droit de retrait et surtout la finalité claire d’une utilisation de ces données, sont des principes intangibles fixés par la CNIL.
Stéphanie Combes a donné des perspectives sur ce point :
« Les données ne sont censées être stockées que durant la période de l’état d’urgence sanitaire. À sa fin, elles devront être détruites, SAUF SI un autre texte prévoit cette conservation lors de la mise en place finale du Health Data Hub. »
Dans la pratique, et sans compter les problèmes futurs de responsabilité individuelle du médecin, les patients pourraient être soumis à une rupture du secret médical, un principe juridique mais aussi une règle éthique qui fonde la confiance basée sur le serment d’Hippocrate. Une rupture de cette confiance présenterait bien sûr des risques en termes de santé publique.
Les questions économiques se cristallisent autour des enjeux de la transformation numérique. Les tenants du néo-libéralisme voient surtout dans le numérique une force de destruction créatrice : la dérégulation et le désengagement des États favorisent l’innovation disruptive et la croissance par des start-up. Au-delà du seul intérêt scientifique, un développement rapide de l’IA grâce aux GAFAMI, les six géants américains qui dominent le marché du numérique, peut donc être considéré comme relevant de « l’intérêt général », une finalité introduite en 2019 dans la Loi santé.
À l’opposé, les tenants d’une politique économique alternative voient surtout dans le numérique une possibilité de gestion des communs numériques, en suivant les analyses de Elinor Ostrom : des ressources immatérielles non rivales, dont les règles d’accès et d’usage sont gérées par des communautés auto-organisées très diverses (par exemple, depuis Internet, en passant par Wikipedia et jusqu’à l’Open data, le logiciel libre ou les énormes bases scientifiques de type Protein Data Bank). Ceux qui partagent cette vision dénoncent l’idée de la séparation entre d’une part la qualification des données médicales, qui se fait grâce à un long travail de collecte et de tri financé par le secteur public et soumis aux traités de libre circulation des données, et d’autre part la valorisation de ces données, avec une marchandisation de la santé par le secteur privé que protègent les traités sur les brevets.
Le contrôle des « data santé » vu par les penseurs d’hier et d’aujourd’hui
La question sociale du contrôle sanitaire de nos comportements ne peut pas être analysée sans les concepts forgés par les sociologues. Michel Foucault a décrit le passage progressif à la société disciplinaire en utilisant les concepts de « biopolitique » (qui porte sur les formes d’exercice du pouvoir sur les corps) et de « gouvernementalité » (qui associe gouvernement et rationalité, dans des technologies du gouvernement des individus et de soi, pour assurer l’autodiscipline : hier déjà, le confinement, l’école, l’hôpital, les statistiques et maintenant les panoptiques du drone et du bracelet).
Gilles Deleuze a décrit un nouveau passage vers la société de contrôle par le collier électronique, avec les concepts de « langage numérique » d’accès à la réalité. Alors que Kafka a forgé la notion d’« atermoiement illimité » : il ne s’agit plus de discipliner et d’ordonner, mais de contrôler en gérant tout désordre.
Aujourd’hui, des sociologues comme A. Rouvroy ou D. Quessada montrent un prochain passage à la société des tracesavec les concepts de gouvernementalité algorithmique (qui va au-delà d’une maîtrise du probable ; il s’agit d’une maîtrise du potentiel lui-même, pour « ajuster » nos comportements) et de sousveillance, qui n’est plus une sur-veillance, mais une sous-veillance par un quadrillage discret, immatériel et omniprésent de tous les types de traces que nous laissons, comme nos signaux, nos productions, nos empreintes, nos passages et nos liens…
J’aimeJ’aime
POLITIQUE SOCIÉTÉ
La blockchain, grande absente des questions de souveraineté numérique
Publié le 22/06/2020 Marianne
Député MoDem de la première circonscription de la Vendée et membre de la Commission des Lois.
Le député Philippe Latombe regrette que la blockchain soit systématiquement oubliée dans les discussions sur la souveraineté numérique en France.
En Estonie, 99% des services publics sont accessibles en ligne. Depuis 2004, le nombre de services dématérialisés y a été multiplié par 15, grâce à la mise en place d’un système informatique décentralisé. Développé en 2001, celui-ci, appelé X-Road, permet ainsi à plusieurs systèmes d’information d’échanger des données de manière décentralisée et sécurisée. Ainsi, tous les services publics estoniens partagent leurs données.
L’importance de la blockchain
Pour assurer des transferts sécurisés, toutes les données sortantes sont signées électroniquement et chiffrées. Les données entrantes, elles, sont authentifiées et enregistrées dans les différents systèmes d’information. Il suffit que l’utilisateur entre une seule fois cette donnée sur le site d’un service public pour que tous les autres sites enregistrent automatiquement l’information. Les citoyens de ce petit Etat balte peuvent donc effectuer une multitude de démarches sans sortir de chez eux, un modèle d’efficacité et de rapidité. L’Estonie a ainsi pu supprimer de nombreux postes et redéployer certains fonctionnaires pour les employer là où la relation humaine reste indispensable.
La blockchain a longtemps été assimilée à tort aux crypto-monnaies,
« Etre une société numérique entraîne une exposition aux cybermenaces », peut-on lire sur e-estonia. Être le pionnier de la e-administration a effectivement valu à cet Etat balte d’être, le 27 avril 2007, la première structure étatique victime d’une cyberattaque d’envergure. Depuis, l’Estonie a su en tirer les leçons et est devenu le 1er pays à utiliser la blockchain au niveau national pour garantir l’intégrité des données stockées par ses services administratifs.
La blockchain a longtemps été assimilée à tort aux crypto-monnaies, alors qu’elle est avant tout une technologie de contrôle de la fiabilité de l’information, dont les crypto-monnaies ne sont qu’une des éventuelles applications. La Chine en a pris conscience : si elle s’oppose encore vivement aux crypto-monnaies, elle a compris l’intérêt de la technologie blockchain pour la sauvegarde de ses données nationales, qu’elles soient publiques ou privées, surtout dans le contexte actuel particulièrement tendu avec les Etats-Unis.
La blockchain est une technologie collective de données très efficace, en plus d’être un système extrêmement bien sécurisé. A juste titre, Yves Caseau et Serge Soudoplatoff parlent à son sujet de « confiance distribuée ». Il est très compliqué de manipuler des données au sein d’un système blockchain bien conçu, également difficile de cacher l’évidence qu’une attaque s’est produite. La multiplication des « nœuds » permet d’éviter la constitution d’un point de défaillance unique (single point of failureou SPOF) et le risque d’effondrement du système qui va avec. Le sujet mériterait donc l’intérêt de notre administration.
J’aimeJ’aime