Hébergement des données de santé : « C’était Microsoft ou rien […] On ne m’a donné aucun choix », affirme Agnès Buzyn sous serment

Le Sénat n’entend pas lâcher le dossier controversé du Health data hub (HDH), la Plateforme des données de santé, en bon français. Créée par la loi relative à l’organisation et à la transformation du système de santé du 24 juillet 2019, cette base centralise plusieurs bases de données médicales du pays, anonymisées, à des fins de recherche et de pilotage du système de santé. Elle est née à la suite de la remise du rapport du député Cédric Villani en 2018, sur l’intelligence artificielle. Le mathématicien recommandait la création d’une plateforme « adaptée » aux usages de cette technologie alors en plein essor.

Depuis son lancement, cette plateforme ne cesse de faire parler d’elle en raison du choix de l’exécutif de recourir à l’américain Microsoft Azure, pour héberger les données, une option régulièrement pointée du doigt ces dernières années au Sénat en particulier. La commission d’enquête sur les coûts et les modalités effectifs de la commande publique, installée par le groupe Les Indépendants – République et territoires en a fait l’un de ses axes d’investigation.

« On a pris toutes les préoccupations possibles pour savoir si vraiment il n’y avait aucune alternative », insiste Agnès Buzyn

Auditionnée sous serment ce 10 juin, Agnès Buzyn, qui était à la tête du ministère concerné à l’époque, a expliqué que le choix du géant des services numériques s’était imposé faute d’alternative viable en France comme dans le reste de l’Union européenne. « On a pris toutes les préoccupations possibles pour savoir si vraiment il n’y avait aucune alternative. Clairement la DREES [direction de la recherche, des études, de l’évaluation et des statistiques] et les services m’ont remonté, après avoir vu tous les opérateurs possibles, y compris également des équipes de recherche, que ça n’était pas possible, sauf à perdre plusieurs années », a relaté l’ancienne ministre des Solidarités et de la Santé.

Agnès Buzyn s’est notamment appuyée, au cours des échanges, sur une note produite par son ancien cabinet, ou encore sur une contre-expertise menée par la Direction interministérielle du numérique et du système d’information et de communication de l’État (DINSIC). « Aucune des notes qui me sont remontées de mes services n’a à aucun moment mis en balance le fait que l’on avait d’autres possibilités », a-t-elle ajouté. « L’arbitrage, je l’ai pris en pleine connaissance de cause, sur le fait que c’était Microsoft ou rien […] Les notes étaient formelles sur le fait qu’aucun acteur n’apportait ni la capacité de stockage, ni les conditions de sécurité de Microsoft, de ce fait, on ne m’a donné aucun choix », a-t-elle assuré face aux sénateurs.

« J’ai l’impression qu’on a fléché volontairement, d’un certain côté », s’interroge le rapporteur Dany Wattebled

Le duo sénatorial conduisant les débats, le socialiste Simon Uzenat et Dany Wattebled (Les Indépendants), relate de son côté que les opérateurs rencontrés n’ont pas eu le sentiment d’avoir fait l’objet d’une réelle consultation. Il y a plusieurs semaines, la commission s’est notamment rendue à Roubaix, siège du spécialiste français de l’hébergement de données OVH, qui s’était positionné pour prendre le relais de Microsoft pour le Health Data Hub. « Des acteurs nous ont confirmé qu’ils étaient en capacité de le faire, sauf qu’on les a pris entre deux portes », a témoigné le rapporteur Dany Wattebled, sénateur du Nord. « Ce qu’on me dit, c’est qu’ils étaient moins performants du côté de la sécurité. Je ne suis pas capable d’aller au-delà », a répondu l’ancienne ministre, indiquant faire « confiance » à son administration. Et d’ajouter : « Je n’ai absolument pas la capacité de savoir quelles ont été les consultations faites par mes services et la DRESS de façon formelle. »

La commission d’enquête a d’ailleurs soulevé la question de la présence de Capgemini dans la préparation du Health data hub, un choix retenu « avant même le lancement de la mission de préfiguration » en 2018, selon le rapporteur. Il y a trois ans, la commission d’enquête sur l’intervention des cabinets de conseil dans les politiques publiques avait déjà mis le doigt sur l’appel fait à cet important prestataire dans les transformations numériques.

« Je n’ai aucun souvenir d’avoir jamais travaillé avec une société de conseil lorsque j’étais ministre. Il est tout à fait possible que le ministère de la santé ait eu un marché à l’époque », a indiqué Agnès Buzyn, précisant n’avoir ni « contractualisé », ni réceptionné de notes sur le sujet. « Je n’étais même pas au courant que Capgemini ait été plus ou moins dans la boucle de cette préfiguration. »

« À force, je me demande si je ne suis pas l’ennemie publique numéro 1 de cette nation » s’interroge Agnès Buzyn

Agnès Buzyn l’a répété à plusieurs reprises, elle « n’aurait pas pris une décision différente sur la base des documents » fournis à l’époque. « Je considérais que l’on avait besoin de souveraineté en intelligence artificielle et notamment d’entraînement de nos intelligences artificielles sur des données françaises […] C’est pour cela qu’on a créé le Health data hub, pour ne pas dépendre l’algorithme américain ou chinois », a-t-elle assuré. « À l’époque, nous avions considéré que l’intérêt général était plutôt de se doter des bons outils. En 2025, peut-être que l’arbitrage n’est plus le même. »

Lorsque la décision a été prise de travailler avec Microsoft, l’ancienne ministre se savait toutefois sur un « sujet compliqué et potentiellement polémique ». « Je peux remarquer maintenant, avec mon expérience, que quand on fait de la politique, et notamment quand on est ministre, moins on prend de décision, moins on est attaqué. Je dois en être à ma 8e ou 9e commission d’enquête parlementaire, à force je me demande si je ne suis pas l’ennemie publique numéro 1 de cette nation », a ensuite lâché la médecin.

Six ans après le vote de la loi, la Plateforme des données de santé est toujours dépendante d’un choix non souverain en matière d’hébergement des données, même si les serveurs ne sont pas situés aux États-Unis et les données sont anonymisées et cryptées. Un élément sur lequel a cependant tiqué le président de la commission. « A priori, Microsoft aurait fourni la clé de cryptage d’Outlook [une messagerie de courrier électronique] à la NSA [le renseignement américain, ndlr] », a indiqué Simon Uzenat.

Le sénateur socialiste du Morbihan a considéré que le Health data hub traduisait « les ambiguïtés, les atermoiements et les contradictions de l’action publique ». « Vos successeurs ont pris des engagements répétés en 2020, 2022, 2023, 2023, et six ans après cette promesse d’un HDH souverain, nous n’y sommes pas », a-t-il résumé. « Si c’était une erreur manifeste de mon cabinet ou de moi, ou des services quand j’étais ministre, peut-être que les ministres qui m’ont succédé auraient pu rectifier le tir. S’ils ne l’ont pas fait, c’est probablement que la solution n’était pas si simple à trouver », a réagi l’ancienne ministre. « Il se peut aussi que la longueur et l’absence de réalisation concrète en matière de migration des données soient liées aussi à une succession d’erreurs, ou dans le pire des cas, à une absence de volonté politique », a enchaîné le socialiste.