Un ensemble d’entreprises et d’organisations « opérant dans le monde des logiciels libres et des données ouvertes » a annoncé une lettre adressée au ministre de la Santé. Avez-vous été ciblé ? Health Data Hub et son lien avec Microsoft.
Health Data Hub est une plateforme de gestion de données de santé créée après la soumission du rapport Villani. Défi? Selon une présentation faite par le ministère de la Santé, il facilitera « le partage en mettant en relation les producteurs avec les utilisateurs publics et privés, selon un processus standardisé, facile à lire et non discrétionnaire ».
Le HDH, créé par l’article 41 de la loi du 24 juillet 2019 relative à l’organisation et à la transformation des systèmes de santé, est géré par un organisme d’intérêt public. L’objectif est de fournir de nouveaux éléments pour la recherche médicale, d’aider à déterminer « des traitements appropriés et efficaces pour les maladies rares en agrégeant des observations provenant de sources multiples » et de contribuer à « faire avancer la voie grâce à l’intelligence artificielle ». L’objectif est de faciliter le « dépistage ». pour des raisons de santé. »
« Si un fichier unique contenant les données de santé de tous nos concitoyens est une grande avancée, cela pose la question de savoir comment ces données sont stockées », réagit un groupe réuni sous la bannière du site Santenathon.org. Microsoft a été choisi comme fournisseur de services pour de bonnes raisons.
Vendredi dernier, ces acteurs français du logiciel libre ont adressé une lettre au ministre des Solidarités et de la Santé Olivier Véran. Les signataires (NEXEDI, CNLL, Ploss Auvergne Rhône Alpes, SoLibre) expriment des doutes « sur la légalité de l’attribution de marchés publics pour l’hébergement de données de santé publique sur Microsoft Azure ».
« Le choix de recourir à la société américaine Microsoft pour l’hébergement des données, sans appel d’offres ni mise en concurrence préalable, pose question aux acteurs français du logiciel libre », affirment-ils. Ils ont indiqué que l’appel d’offres et la mise en concurrence n’avaient pas été publiés, « ce qui soulève des inquiétudes quant au manque de connaissance des règles européennes en matière de marchés publics ».
Lettre adressée au Ministère de la Santé
Dans cette lettre adressée au ministre de la Santé et au Premier ministre, que nous avons pu consulter, nous estimons que l’entreprise française de cloud a été exclue d’office d’un appel d’offres qui n’a jamais vu le jour. Et comme l’écrit leur avocat Jean-Baptiste Soufron, ils ne comprennent pas les choix de Microsoft. Cela dit, ils considèrent cette situation comme un acte de favoritisme, mais cherchent en vain la moindre trace de cet appel sur le site officiel.
Ainsi, sur la base de l’article 40, alinéa 1 du Code de procédure pénale, l’entreprise demande au procureur de « demander la nullité du contrat conclu avec Microsoft Azure » et une indemnisation pour les opportunités perdues. « Cette décision, à travers le Cloud Act adopté le 23 mars 2018, impose au gouvernement américain de fournir aux fournisseurs de services américains un système de transfert de données. Cela a été fait dans le contexte de la possibilité d’imposer le transfert de données aux autorités américaines.
Cependant, dans Media Part, la directrice du projet, Stephanie Combs, a proposé une explication possible : [l’Union des groupements d’achats publics] Elle fonctionne comme une centrale d’achat et joue un rôle dans la création de concurrence. L’offre faisait partie du contrat de sécurité du ministère. Tout cela est strictement légal. »
Le bureau d’Olivier Veran a déclaré à ses collègues : « Le choix de Microsoft a été fait dans le cadre du marché libre. Nous pensons que c’est la seule option qui répond aux normes que nous nous sommes fixées en matière de sécurité. » C’est ce que je pensais. .
Les choix de Microsoft condamnés par le Sénat
Au Sénat le 30 janvier, l’ADN du prestataire a également suscité des inquiétudes. Claude Reynal (SOCR) a interrogé le gouvernement sur le choix de conserver ce « hub » chez Microsoft, une « entreprise soumise au Cloud Act américain ».
Le 13 février, le ministre de la Santé a répondu que Microsoft était certifié comme hébergeur de données de santé « selon les normes de la Digital Health Authority » et que « les centres de données utilisés sont situés au sein de l’Union européenne ». Les traces de cette certification sont visibles sur le site esante.gouv.fr.
Microsoft possède des certifications allant des rangs 1 à 6. Autrement dit:
« Fournir et maintenir en état opérationnel un site physique permettant l’hébergement de l’infrastructure physique des systèmes d’information servant au traitement des données de santé » « Traitement des données de santé » « Fournir et maintenir en état opérationnel un hébergement d’application de système d’information plateforme » « Maintenance » « Fourniture d’infrastructure virtuelle et maintenance de l’état de fonctionnement des systèmes d’information utilisés pour traiter les données de santé » « Gestion et exploitation » « Sauvegarde des systèmes d’information incluant les données de santé » « Sauvegarde des données de santé.
Le ministre relativise néanmoins dans sa réponse, affirmant que les éditeurs « ne fournissent qu’une des solutions techniques qui permettent de construire cela et que leurs équipes n’y ont pas accès ». Cependant, si votre hub est hautement sécurisé avec une logique compartimentée, vous savez que les données stockées ne sont pas totalement anonymes. Cependant, ce choix est accepté. « Une anonymisation complète n’est pas souhaitable dans le contexte d’un centre de données médicales, car elle entraverait le travail réel de recherche et d’innovation. »
Justifiant le choix de Microsoft, il a en outre déclaré : « Actuellement, c’est la seule solution suffisamment mature pour assurer la mise en place d’un environnement de recherche sécurisé tout en répondant également aux besoins fonctionnels des utilisateurs cibles. » » il prétend.
« Les risques liés à l’irréversibilité de la solution résident davantage dans l’utilisation de formats propriétaires que dans l’utilisation de licences payantes (qui sont également disponibles dans les logiciels open source). Ce n’est pas le cas des hubs de données des plateformes de technologies médicales. » l’infrastructure est basée sur des « formats portables couramment utilisés dans la communauté » (ces formats ne sont pas décrits en détail).
De même, la plateforme est conçue pour être « facilement redéployable vers une autre solution d’hébergement ». Le gouvernement prévient que la transition sera « régulièrement mise à jour avec des offres françaises efficaces au fur et à mesure de leur disponibilité » (sur le site Essante par exemple, OVH se classe 1, 2, 3, 4, 6).
Quant aux inquiétudes concernant la loi Cloud, le ministère estime que cette disposition ne s’applique qu’aux enquêtes judiciaires sur les délits graves. « En particulier, cela ne s’applique pas à l’espionnage ou aux enquêtes commerciales. »
Il prévient par ailleurs : [a] La Loi Cloud précise explicitement qu’elle ne s’applique que lors de l’obtention de données explicites (y compris les nominations directes) de la personne faisant l’objet d’une enquête judiciaire, et donc toutes les données stockées sur la plateforme. Elle ne s’applique pas au contexte du hub de données de santé car déployé. chaque jeu de données est stocké indépendamment dans un espace dédié à son créateur et chiffré avec une clé à laquelle Microsoft n’a pas accès. Enfin, il rappelle : « Les données sont soumises au RGPD, qui prévoit des sanctions en cas d’utilisation abusive. »
HDH et Microsoft initialement en phase de test
« En ce qui concerne Microsoft, HDH souhaitait commencer les tests. » [Minimum Viable Product et proof of concept, ndlr] « Nous demandons que nos services en ligne Azure soient desservis en termes d’opérations prévues dans le cadre de notre mission », explique un collaborateur d’un éditeur de Redmond. « HDH a fourni Azure Online Services via une place de marché existante référencée dans l’UGAP. HDH est donc entièrement conforme aux réglementations en matière de marchés publics et a fourni les services Azure Online Services référencés (par notre partenaire SCC) dans l’UGAP. J’ai souscrit à un Microsoft. accord et Azure provisionné.
La même source confirme également que « l’environnement Health Data Hub est composé presque entièrement de solutions open source ». En effet, la majorité des solutions HDH sont constituées de machines virtuelles Linux open source (DSVM – Data Science Virtual Machine), à l’exception de certains composants de sécurité, pour la plupart non-Microsoft (fabriqués par Thalès). Des composants comme Linux, XGBoost, Python, JupyterHub, Rattle, PostgreSQL, Spark… »
Par conséquent, « Azure n’exclut pas l’utilisation de l’open source, en fait, les outils dont disposent les data scientists, qui seront les principaux utilisateurs de HDH, sont comparables à ceux utilisés par les data scientists du monde entier. Non : Python, Jupyter, PyTorch, Scikit-learn, Caffe, Keras, Spark, etc. Pour le confirmer, jetez un œil à la liste des outils intégrés en standard dans les machines virtuelles de science des données. Vous constaterez que presque tous les outils sont open source (. cela est vrai si votre VM est Linux, comme les data scientists l’apprennent généralement dans un environnement Linux…).
Conclusion : « Nos amis de l’open source se battent pour obtenir ce qui existe déjà dans l’environnement. »
