Entre innovation et régulation, quel cadre pour les plateformes communes de données ?

L’émergence de plateformes communes de données est une excellente nouvelle. L'exemple du Health Data Hub démontre cependant que le chemin entre innovation et régulation est subtil, mais pourrait s'appuyer sur quelques principes essentiels : souveraineté juridique, plateforme réellement hégémonique, gouvernance par les communs

 

Photo by Hans-Peter Gauster on Unsplash © Hans-Peter Gauster Photo by Hans-Peter Gauster on Unsplash © Hans-Peter Gauster

 

La crise du COVID-19 nous ouvre les yeux sur la nécessité d’accéder aux informations qualifiées et sécurisées dont toute politique publique a besoin. Identifier les personnes contaminées, suivre les cas contact, déterminer les patients à risques, autant d’informations personnelles à portée collective dont nous manquons cruellement, faute de dispositifs élaborés de gestion des données de santé.

Comme nous le mentionnions dans notre précédent billet, des dispositifs existent qui permettent de rassembler des données de manière régulée, comme le Dossier Médical Partagé (DMP). Une nouvelle plateforme, le Health Data Hub (HDH) nouvellement créé en 2019, porte une ambition encore plus importante. Son fonctionnement pourrait préfigurer celui des autres plateformes de données (éducation, social, sécurité) qui seraient autant d’armes au service des politiques publiques. Cette plateforme est donc l’occasion de réfléchir à un cadre méthodologique autour des plateformes de données communes, entre innovation et régulation.

 

Une plateforme de données de santé serait une belle avancée, à certaines conditions essentielles

 

L’idée du HDH est de constituer une immense base de données de santé pseudonymisées, c’est-à-dire supprimant les données permettant d’identifier les individus. L’intérêt de cette base de données est de fournir à des acteurs de la recherche médicale ou technologiques des données raffinées sur une population générale. Il s’agit en résumé de fournir à l’intelligence artificielle un traitement de masse des données (big data). Des cas d’usage nombreux sont envisageables : appuyer le professionnel de santé dans un contexte clinique qui se complexifie ; prendre en charge les patients le plus tôt possible ; prédire les trajectoires individuelles des patients et améliorer les actions de prévention… Le projet est décrit de manière assez claire sur le site du projet.

Cette plateforme des données de santé est un bon exemple de ce qu’il faudrait mettre en place pour de nombreuses politiques publiques (éducation, social, sécurité, transports) qui manquent d’informations précises, globales et à jour. Par exemple, la Ville de Paris, en tant que département, pourrait améliorer les versements sociaux et également ses actions de politique sociale en reliant en temps réel les données de la CMU avec celles du RSA. La région Ile de France pourrait de son côté disposer d’un point de vue global sur toute la mobilité francilienne en reliant les données RATP, SNCF, taxis, VTC, trottinettes, Velib…

L’émergence de plateformes numériques, mêlant données publiques et privées, est une très bonne nouvelle pour une meilleure gestion de l’intérêt commun, moyennant le respect d’un certain nombre de conditions.

Sur la question juridique, il est évident que le respect du RGPD et de la souveraineté des données doit être garantie, et donc exclure les acteurs dépendant du Cloud Act américain ou de gouvernements non-démocratiques.

Concernant le modèle économique, il faut exiger une réciprocité de l’accès à la donnée par des tiers afin d’éviter l’appropriation des données publiques par un acteur privé (une entreprise comme Google est malheureusement assez avancée dans ce domaine).

Sur le plan de la gouvernance, il est nécessaire de disposer d’une autorité de pilotage associant toutes les parties prenantes et notamment les collectivités locales pour ce qui les concerne.

 

Les risques juridiques et de souveraineté sont systématiquement négligés

 

Les risques juridiques du projet ressortent clairement dans cet article de Mediapart, bien qu’ils ne soient pas spécifiques au sujet de la santé. Dès lors que l’hébergement des données est assuré par un acteur américain, les données sont soumises à deux risques majeurs :

  • Non-respect du RGPD puisqu’il n’y a pas de transposition réelle du RGPD aux États-Unis
  • Application du Cloud Act : obligation de fournir les données stockées sur les serveurs américains ET étrangers, sur simple mandat ou assignation par les forces de l’ordre américaines 

Il est inenvisageable que les données françaises de santé, mais au fond que les données françaises tout court, soient ainsi librement accessibles à une puissance étrangère, fut-elle les États-Unis. De ce point de vue les alertes remontées par la CNIL sont absolument légitimes, tant sur le plan juridique que politique.

Pour nous, les choses doivent être dites de manière très claire : il n’est pas possible de prendre le risque de voir les données de santé, ou toutes autres données collectives, être utilisées et manipulées par une autorité étrangère sur lesquelles nos lois n’ont pas de prise.

 

Se positionner comme écosystème et non comme sous-traitant

 

Il y a un autre risque, plus insidieux et plus sournois. Le dispositif HDH semble être conçu pour d’une part, centraliser les données publiques et parapubliques et d’autre part, les mettre à disposition à des acteurs privés pour études ou développement d’application de santé. Le HDH est donc cantonné à un rôle de sous-traitance de données, au service d’acteurs européens ou extra-européens bénéficiant d’une convention, ladite convention étant autorisée par un comité (le CESREES) dont les membres et les critères de sélection sont à notre connaissance assez flous.

On touche ici à la limite plus large de la philosophie de l’open data public : partager les données publiques (de santé ou de n’importe quelle nature) est indispensable pour faire éclore un écosystème d’innovation, mais si les acteurs privés n’ont pas d’obligation de réciprocité (partager eux-mêmes leurs données avec la plateforme), alors rapidement ce sont les grands acteurs de la donnée (en l’occurrence les GAFAM) qui vont pouvoir profiter des données publiques ET de leurs propres données privées, renvoyant l’HDH à un rôle de sous-traitant parmi d’autres. 

Le risque majeur de ce fonctionnement est de contribuer à créer une plateforme privée, alimentée par des données en partie publique, qui nous seraient ensuite refacturées. C’est l’un des risques déjà existant dans le domaine juridique, où les décisions de justice, publiques, sont consultables de manière payante sur certains sites qui se contentent de les remettre en forme. Appliqué aux données, c’est le principe de la privatisation des profits et de la socialisation des pertes.

Il est possible sans difficulté technique de partager les données tout en préservant leur propriété et l’anonymat ou le pseudonymat des individus. Sur le plan intellectuel, il s’agit de distinguer les niveaux de données individuel, collectif, généraux (concept du démembrement des données dont nous avons discuté dans notre précédent billet). Sur le plan informatique, des bases de données décentralisées et reliées par API permettent de partager et faire transiter les informations sans pour autant les livrer à d’autres.

Il nous semble donc essentiel que toute plateforme évite, par naïveté ou ignorance, de tomber dans une logique de privatisation des données, par une mutualisation incomplète. Tout au contraire, il est utile et pertinent de mettre sur pied une plateforme commune qui centralise de manière libre et harmonieuse les données de toutes les sources possibles.

 

Périmètre et gouvernance

 

La masse d’informations que cette base de données pourra regrouper et mettre en relation est d’un immense intérêt pour les politiques publiques, à tous les niveaux de décision. C’est au plus près des citoyens que celles-ci se déploient. Il est donc important de permettre une visualisation des données à l’échelle des collectivités locales et pas uniquement de manière consolidée et globale.

Aussi la question de la gouvernance et celle des territoires sont-elles liées, et ce pour l’ensemble des plateformes de données qui, et nous le souhaitons, pourraient émerger. Il est essentiel que les acteurs locaux puissent avoir un regard sur les données et les analyses sur lesquelles ils vont fonder leur politique.

Les données communes ainsi rassemblées dans une plateforme unique doivent être pilotées par une gouvernance commune, c’est-à-dire associant les différentes parties prenantes (experts, scientifiques, administration, citoyens à travers leurs représentants…). Les risques d’une prise de décision uniquement par un entre-soi administratif ou médical sont réels, depuis le manque de perception de l’intérêt général ou une vision fonctionnelle trop restreinte jusqu’aux conflits d’intérêts potentiels.

C’est pourquoi une véritable gouvernance par les communs, démocratique et décentralisée, est indispensable pour qu’une telle plateforme soit comprise, acceptée et utilisée. Cela ne veut pas dire diluer les responsabilités ou affaiblir l’exécutif du projet, simplement permettre à tous les acteurs de participer aux orientations stratégiques et à la réflexion collective. 

 

On ne peut qu’être favorable à l’innovation et à l’utilisation du numérique pour éclairer et faciliter les politiques publiques. Le projet de plateforme numérique des données de santé, dénommé Health Data Hub (HDH) s’appuie sur une analyse solide : rassembler les données actuellement éparses en un seul système ; bâtir un écosystème autour de ces données pour permettre l’émergence de nouvelles entreprises et projets ; améliorer la vie concrètes des habitants grâce à des avancées scientifiques ou d’études.

Mais le bien commun que constituent les données numériques, a fortiori dans le domaine de la santé, impose une réflexion politique élaborée pour éviter les 2 pièges habituels de projets de ce type : un excès de bureaucratisation d’une part, par un verrouillage par l’État et l’administration publique ; un excès de privatisation, laissant les bénéfices à quelques acteurs puissants capables de capter une rente de plateforme.

C’est pourquoi nous appelons de nos vœux à l’émergence de plateformes communes de données, dans le respect de quelques principes essentiels :

  • Garantir le respect parfait des principes du RGPD et du contrôle juridique, territorial et opérationnel de la donnée
  • Créer une plateforme réellement hégémonique et pas uniquement vouée à supporter les frais et coûts de collecte des données
  • Gouverner avec toutes les parties prenantes et de manière décentralisée

Entre innovation et régulation, ces quelques principes favoriseraient sans doute une véritable capacité numérique, dans l’intérêt des politiques publiques, d’un écosystème public et privé, et des citoyens eux-mêmes. 

Le Club est l'espace de libre expression des abonnés de Mediapart. Ses contenus n'engagent pas la rédaction.