Cloud Act : la « loi du Far West »
Le « Clarifying Lawful Overseas Use of Data Act » ou Cloud Act est une loi fédérale américaine adoptée en 2018 sous l’administration Trump. Elle permet aux autorités américaines d’accéder à des données, dont des données personnelles, dans le cadre de leur procédure, en en faisant la demande auprès de fournisseurs de services, notamment cloud. Ses promoteurs y voient un cadre juridique pour une pratique de toute façon existante ; ses détracteurs, une porte ouverte au non- respect de la vie privée ou à l’espionnage industriel. Car le Cloud Act peut être invoqué sans aucune transparence sur la collecte et l’exploitation de données. Un juge n’est pas tenu d’informer les personnes concernées, ni de fournir des informations sur l’hébergement, l’utilisation et la sécurisation des données. « Le Cloud Act pose de nombreux problèmes. Il entre en conflit avec le RGPD et ne permet aucun recours, puisque son exploitation est totalement opaque » , déplore Alexandra Iteanu, avocate spécialisée dans L’IT. Comment être certain qu’un cloud provider, même français, n’est pas soumis à cette législation ? « Il ne faut pas avoir son siège aux États- Unis, mais pas non plus de filiales sur place qui pourraient servir à capter des données en dehors du sol américain. Un acteur français qui possède une ou plusieurs entités aux États- Unis doit donc garantir qu’elles sont totalement cloisonnées techniquement et juridiquement. » Il n’existe pas, à ce jour, de cas public d’exploitation du Cloud Act. « Mais il y a des chances que le texte ait été utilisé. Nous n’avons cependant aucun moyen de le savoir » , conclut Alexandra Iteanu.
gagner du temps que le choix s’est porté sur Microsoft. Car, d’après la direction du Health Data Hub, seul Microsoft était prêt à l’époque. « C’était le seul choix possible, au regard de nos attentes techniques et juridiques » , indique Stéphanie Combes. D’où le fait qu’aucun appel d’offres n’ait été lancé, car seule la firme de Redmond aurait rempli tous les critères. « Techniquement, Microsoft proposait les meilleurs outils managés et était le seul à être certifié HDS, ou Hébergeurs de données de santé, notamment au niveau des GPU » , rappelle pour sa part Stéphane Messika.
Un point de vue que ne partage pas le CNLL ( Conseil National du Logiciel Libre) qui a attaqué la Health Data Hub devant le Conseil d’état, début juin, avec une quinzaine d’autres organisations et personnalités, dont le collectif Interhop, Jean- Paul Smets chez Nexedi ou le médecin Didier Sicard : « Pourquoi ne pas avoir attendu quelques
mois afin qu’un ou plusieurs acteurs français puissent se positionner ? Microsoft était un choix facile, avec des solutions sur étagère, mais il est soumis au Cloud Act et cela pose tout de même un grave problème de souveraineté des données » , estime Pierre Baudracco, co- président du CNLL et CEO de la société Bluemind. Rappelons que le Cloud Act permet à une juridiction américaine de collecter des données personnelles sur des suspects, sans aucune transparence sur l’exploitation de ces données ( lire encadré). Autre problématique soulevée par les requérants, le projet n’intègre pas que la fourniture d’une plate- forme cloud « mais aussi une cinquantaine de services managés sur Azure, dont on ne connaît pas précisément la nature et qui posent la question de la réversibilité de la plate- forme. Comment changer de prestataire si celle- ci a été construite sur des technologies Microsoft ? » , pointe pour sa part Stéphane Fermingier, autre co- président du CNLL et CEO d’abilian. Pour Jean- Paul Smets, président de Nexidi, des alternatives étaient possibles : « Nous leur avons écrit pour leur dire que des technologies open- source étaient disponibles afin de construire la plate- forme. Et nous aurions pu répondre à un appel d’offres en nous rapprochant d’un Cloud provider. Mais nous n’avons eu aucune réponse. Le pire, c’est que toutes les technologies du type de celles utilisées sur Azure viennent de Français, comme Scikitlearn, une bibliothèque libre D’IA qui a été développée par l’inria. C’est une négation des compétences françaises. » Le choix de Microsoft a également fait sortir de ses gonds Octave Klaba, le dirigeant D’OVH : « C’est la peur de faire confiance aux acteurs français de l’écosystème qui motive ce type de décision. La solution existe toujours. Le lobbying de la religion Microsoft arrive à faire croire le contraire. C’est un combat. On va continuer et un jour on gagnera » , a- t- il déclaré sur Twitter. Le 19 juin, le Conseil d’état a rendu une décision mitigée, qui est loin
d’avoir calmé les esprits. En résumé, la plus haute juridiction administrative française a estimé que le choix de Microsoft ne présentait pas de risques pour la protection des données privées. Il a cependant demandé au Health Data Hub de fournir de plus amples informations à la Cnil sur ses systèmes de pseudonymisation et de protection des données. « Cette décision conforte le fait que la plate- forme technologique ne constitue pas un risque pour la vie privée des personnes » , se félicite Stéphanie Combes. « C’est une victoire car plusieurs contre- vérités, portées par le Health Data Hub, ont été mises en lumière » , souligne pour sa part Stéphane Fermigier. « Par exemple : nous avons appris que les données ne sont pas hébergées en France mais aux Pays- Bas. Par ailleurs, Microsoft peut avoir accès aux clés de chiffrement. » Dans l’autre camp, on rétorque vouloir une localisation des données en Europe. « Et c’est le cas ! » , indique Stéphane Messika. Concernant les clés de chiffrement, « elles sont générées via un HSM, ou Hardware Security Module, externe et transmises à un HSM interne sur la plate- forme Azure de Microsoft. Le déchiffrement des clés est automatisé, il n’y a donc aucune intervention d’un administrateur de Microsoft dans cette opération. Et dans son contrat, Microsoft a l’interdiction d’utiliser ces clés » , indique la direction du Health Data Hub. Sur les risques du Cloud Act, c’est une loi très spécifique qui permet de « réquisitionner des données nominatives, à des fins d’enquête, et pas une base de données complète. Or, nous n’avons pas les données nominatives des patients. Elles arrivent déjà pseudonymisées dans la plate- forme » . Enfin, sur la nature des cinquante services cloud associés à l’offre d’hébergement Azure, ils couvrent notamment « la virtualisation de machines, la structuration des espaces de stockage, le déclenchement d’événements sur la plate- forme ou le transport des messages » , indique la
Health Data Hub. Environ quarante de ces services sont fournis par Microsoft et dix sont externalisés. « Nous travaillons avec une dizaine de fournisseurs pour ces services, dont Wallix, éditeur français de logiciels de sécurité informatique, ou CDC Arkhinéo, spécialiste de l’archivage et de la conservation à long terme des données électroniques » .
Dans ces conditions comment est- il possible de changer de prestataire ? « Le choix de Microsoft a permis à la plateforme une mise en production rapide, en moins de douze mois. Le moment venu, il sera possible de changer de prestataire, car la plate- forme technologique est conçue pour être réversible. En effet, nous utilisons la technologie Terraform pour scripter au maximum les travaux d’intégration et de déploiement dans une logique Infrastructure As Code. Le contrat passé avec Microsoft ne prévoit aucune clause d’engagement ou d’exclusivité » , assure Stéphanie Combes.
Face à la polémique, Cédric O, secrétaire d’état au Numérique a déclaré qu’il « serait normal que, dans les mois à venir, nous puissions lancer un appel d’offres » . Un avis partagé par Guillaume Poupard, DG de l’anssi, dont l’agence a participé au projet : « Dans une phase de prototypage, le choix d’une solution facile d’emploi a été privilégié. Nous sommes maintenant dans une phase opérationnelle, et le fait de revenir sur une solution européenne idéalement qualifiée par l’anssi et non soumise à des lois extra- territoriales européennes serait de bon goût. » Plusieurs acteurs sont déjà sur les rangs, dont OVH qui a rappelé disposer aujourd’hui de la certification HDS et de celle de L’ANSSI. En lice également : Scaleway, le cloud d’iliad. « Le Health Data Hub peut même et d’ores et déjà travailler avec plusieurs fournisseurs de Cloud, simultanément, dont Scaleway et Microsoft ! Le choix n’est pas binaire » , confie Yann Lechelle, son directeur général. Autre acteur positionné : 3DS Outscale ( Dassault Systèmes) : « Ce qui était vrai il y a un an, ne l’est plus. Aujourd’hui, nous sommes en mesure de répondre. Nous avons obtenu les certifications HDS et ANSSI fin 2019 » , souligne son directeur de la stratégie, David Chassan. Quant à Orange : « Au cas où l’état déciderait de lancer un appel d’offres pour le Health Data Hub, dans les prochains mois, Orange Business Services est en capacité de répondre aux exigences fonctionnelles, techniques et de sécurité connues à date sur les services cloud » , confie Éric Pieuchot, directeur d’orange Healthcare. Outre leurs diverses certifications, tous ces acteurs rappellent être membres fondateurs du projet de Cloud européen, Gaia- X ( lire notre encadré). Microsoft aurait donc de la concurrence en cas d’appel d’offres.
Malgré ce démarrage sous pression, le projet Health Data Hub entend poursuivre son développement, avec un rythme soutenu. « C’est un projet de santé publique, mais il est aussi question de donner un avantage compétitif aux acteurs français de la santé. Or, dans le domaine des applications numériques de santé, qui évoluent très vite avec L’IA, les États- Unis et la Chine sont déjà très avancés. Il faut donc aller vite. C’est une question de souveraineté numérique » , souligne Stéphanie Combes. D’ici à 2021, la plate- forme devrait accueillir une trentaine de projets. Une dizaine a déjà été retenue par le Health Data Hub sur plus de 180 candidatures. Ils portent notamment sur l’évaluation et l’amélioration des parcours de soins après un infarctus du myocarde, la prédiction des trajectoires individuelles des patients parkinsoniens ou encore la quantification de la proportion de patients touchés par un effet médicamenteux indésirable. En cet été 2020, un seul a obtenu l’autorisation de la Cnil, celui d’implicity ( lire encadré).
L’interface devrait également prochainement évoluer pour gagner en ergonomie. « Nous sommes pressés d’avoir des retours utilisateurs pour faire évoluer la plate- forme » , indique Stéphane Messika. Le Health Data Hub prévoit aussi d’étoffer ses effectifs, aujourd’hui composés de 35 collaborateurs internes et d’une quinzaine de prestataires. Environ 25 recrutements sont prévus dans les six prochains mois, avec comme objectif d’atteindre 70 collaborateurs en 2021. Le Health Data Hub recrute notamment des juristes, des développeurs, des ingénieurs infrastructure cloud, des administrateurs système et des chefs de projets.
Mais l’enjeu principal pour la plateforme est surtout d’étoffer son catalogue de données. « D’ici à 2022, nous espérons proposer un catalogue suffisamment large pour être attractif visà- vis de l’écosystème de la recherche et de l’innovation » , confie Stéphanie Combes. Elle évoque également sa participation à l’action conjointe de la Commission européenne pour la construction d’un European Data Space qui doit fédérer tous les Health Data Hub d’europe. « Le projet Findata, en Finlande, présente beaucoup de similarités avec le nôtre » , conclut- elle. D’ici moins de 10 ans, un Health Data Hub européen pourrait ainsi voir le jour. Un projet qui ne manquera pas d’alimenter de nouveaux débats sur la souveraineté numérique et le respect des données personnelles ! ✖