C’est une cyberattaque qui a purement et simplement touché 33 millions d’assurés sociaux. Soit près d’un français sur deux. Le 07 février dernier, la Commission nationale de l’informatique et des libertés (CNIL) rapportait que les opérateurs Viamedis et Almerys – qui s’occupent de la gestion du tiers payant pour diverses mutuelles – avait été ciblés par un piratage survenu fin janvier. Ces organismes disposent notamment d’une base de données des assurés sociaux, afin d’assurer la mise en œuvre du tiers payant. Des données dont le récent piratage a mis en exergue la vulnérabilité. Les informations pillées concernent ainsi – pour les assurés et leur famille – l’état civil, la date de naissance, le numéro de sécurité sociale, le nom de l’assureur santé ainsi que les garanties du contrat souscrit. Elles pourraient notamment exposer les assurés sociaux à diverses fraudes – notamment à des faux emails ou SMS les invitant à communiquer des informations supplémentaires, comme leurs coordonnées bancaires par exemple.

Microsoft, hébergeur par défaut

Si la CNIL a dans la foulée annoncé mener des investigations pour vérifier si les mesures de sécurité de ces opérateurs étaient conformes à leurs obligations, cet épisode met l’emphase sur la nécessité de davantage maitriser et sécuriser les données de santé des assurés sociaux. En un sens, il fait parallèlement écho à une décision du conseil de la Caisse nationale d’Assurance Maladie (CNAM) : ce 1er février, l’organe exécutif de l’assurance maladie – où siège notamment la CFTC aux côtés d’autres partenaires sociaux – avait annoncé s’opposer à la prolongation de l’hébergement par Microsoft des données de santé des citoyens Français. Ces dernières sont regroupées au sein d’une base de données commune, la plateforme des données de santé, plus communément appelée Health Data Hub (HDH). Or, depuis 2020, c’est Microsoft qui héberge l’ensemble des données du HDH. Des données que le géant du numérique américain pourrait, sous certaines circonstances, communiquer au gouvernement étatsunien, si les autorités américaines en font la demande. Olivier Véran, alors ministre de la Santé, avait pourtant promis, fin novembre 2020, que l’hébergement de ces données par Microsoft prendrait fin d’ici deux ans. Si elle partage certaines des inquiétudes soulevées par la CNAM, La CNIL – qui fait autorité sur ce dossier – a pourtant décidé fin janvier de confirmer pour trois ans supplémentaires ce partenariat avec Microsoft. Selon elle, aucun fournisseur de Cloud européen n’offre à l’heure actuelle de solutions suffisamment avancées pour remplacer la firme américaine.

Autonomie numérique et enjeux sanitaires

Pour la CFTC, la potentielle appropriation par un pays tiers de la quasi-totalité des informations sanitaires des français pose légitimement question : toute récupération potentielle pourrait non seulement enfreindre le secret médical, mais aussi mener à une instrumentalisation des données de santé des français, par un autre Etat. Le HDH, de par l’ampleur des informations sanitaires qu’il rassemble, fait en effet figure de base de données unique en Europe, voire au monde, au service de la recherche médicale. Il doit notamment permettre d’améliorer le dépistage et le diagnostic de maladies ou d’analyser les effets secondaires des traitements, notamment en étant à terme couplé avec des systèmes d’intelligence artificielle. “Grâce à l’intelligence artificielle, il sera possible d’analyser ces données, pour mieux soigner demain”, décrypte ainsi Christine Lecerf, secrétaire générale adjointe de la Confédération chargée de la protection sociale.

Ces IA devraient en effet être capables de faire des pronostics sur l’état de santé des patients ou encore d’indiquer quel médicament fonctionnera le mieux sur tel ou tel malade. Néanmoins, pour ce faire, un système d’IA a besoin de compiler et de croiser de très grandes quantités de données, pour ensuite en générer par lui-même et dégager des axes d’améliorations ciblés. Les contenus du HDH constituent précisément, par leur volume, une matière première inestimable pour développer de tels systèmes. Permettre que ces données soient exportables dans un système autre qu’un dispositif souverain comporte ainsi des risques stratégiques majeurs. A cet égard, la CFTC rappelle la nécessité de développer rapidement une souveraineté numérique française – voire européenne – dans l’hébergement de données numériques. Les engagements pris par le gouvernement quatre ans plus tôt de parvenir à une indépendance technologique dans le domaine n’ont manifestement pas pu être tenus. S’affranchir des solutions technologiques américaines dans le Cloud fait pourtant aujourd’hui figure de nécessité, notamment dans l’optique de sécuriser, protéger et utiliser à bon escient les données de santé des français, en toute autonomie.