Quel bilan pour l'utilisation des données de santé pendant le Covid-19 ?

Plus d'une année après le début de la crise du Covid-19, quel bilan peut-on faire de l'exploitation des données de santé en Europe, aux Etats-Unis et en Chine ? C'est à cette problématique qu'on tenté de répondre Julie Martinez, avocate au barreau de Paris spécialisée dans les nouvelles technologies, et Clément Tonon, haut fonctionnaire. Ils ont publié le 8 juillet 2021 une étude, intitulée "La gouvernance des données de santé", sous l'égide de l'Institut français des relations internationales (Ifri).

LA CRISE, RÉVÉLATRICE DE CARENCES
D'après les auteurs, cette crise a révélé "les carences des modèles de gouvernance préexistants dans chaque région du monde" tout en déclenchant "un mouvement tectonique dans la recomposition des modèles de gouvernance et de protection des données".

La gouvernance des données pendant le Covid-19 au sein de l'Union européenne a été marquée par l'échec de la mise en place d'un système commun de contact tracing permettant de détecter les chaînes de contamination, notent les auteurs. Ainsi, alors que la majorité des Etats membres ont adopté une architecture décentralisée sur le modèle proposé par Apple et Google, la France et l'Allemagne plaidaient pour l'instauration d'un système décentralisé malgré les risques pour la confidentialité.

Berlin a finalement reculé mais l'hexagone, avec le soutien de l'Institut national de recherche en informatique et en automatique (Inria), a fait cavalier seul et a été le seul pays à ne pas utiliser la technologie proposée par les deux entreprises américaines. Ce qui fait dire aux auteurs que "les adversaires du projet ont paradoxalement renforcé le monopole des géants américains sur le traçage numérique (...)".

LE FLOP DU HEALTH DATA HUB
En France, s'est également posé la question du stockage des données de santé issues de la crise sanitaire à travers le sujet du Health Data Hub, cette base publique regroupant l'ensemble des données de santé des Français. Le déploiement de ce dispositif s'est accéléré avec le Covid-19, rappelle l'étude. C'est l'hébergement du Health Data Hub par Microsoft Azure qui a cristallisé les tensions. Hébergement considéré comme illégal depuis l'invalidation du Privacy Shield, ce texte qui facilitait les transferts de données entre l'Union européenne et les Etats-Unis en reconnaissant que la législation américaine offrait les mêmes garanties que le droit européen.

Cette crise a donc révélé "les vulnérabilités de l'approche française et européenne des technologies de santé, notamment la difficulté à faire émerger une alternative aux acteurs du cloud américain pour assurer un niveau de service conforme aux attentes des pouvoirs publics, des professionnels et des patients", concluent les auteurs.

DE GRAVES DYSFONCTIONNEMENTS AUX ETATS-UNIS
Les Etats-Unis ont également connu des dysfonctionnements en matière de collecte et de traitement des données de santé. Traditionnellement, les Centres américains de contrôle et de prévention des maladies (CDC) utilisaient un système de surveillance allant d'un niveau local vers le niveau fédéral pour suivre la propagation des épidémies. "Cette méthode a rencontré de nombreuses difficultés avec des remontées lacunaires et une analyse trop lente face au rythme de propagation du virus", note l'étude.

L'administration Trump a donc décidé d'instaurer un système confié directement au ministère de la Santé, dont l'aspect technique était opéré par TeleTracking et Palantir, sur la base de 200 data sets issues des trois quarts des 8000 hôpitaux du pays. En matière de traçage, sans grande surprise, c'est le modèle proposé par Apple et Google qui a été utilisé. L'étude conclut donc que "les géants du numérique américains ont réussi à imposer l'image de réactivité de leurs services en ligne face à des systèmes publics jugés trop lents ou défaillants".

UNE NOUVELLE RÉGLEMENTATION AUX ETATS-UNIS ?
Face à ces dysfonctionnements, Joe Biden souhaite revoir le modèle de gouvernance et veut promouvoir un interventionnisme fort dans les données de santé. Il suggère par exemple d'imposer aux fournisseurs de soins de proposer aux patients leur dossier médical à jour dans un délai de 24 heures sous peine de sanction pénale, de constituer un portail unique permettant de stocker, de lire et d'échanger les données des assurés...

En Chine, le Covid-19 a permis de "renforcer le contrôle des Centres chinois de contrôle et de prévention des maladies (CCDC), institutions gouvernementales responsables de la gestion technique du contrôle des maladies et de la santé publique, sur les acteurs de santé", écrivent les auteurs. Aussi, Pékin a eu massivement recours aux bases de données publiques et privées et fait le choix de suivre minutieusement les citoyens et de leur appliquer un régime strict en cas de contamination.

L'OMNIPRÉSENCE DES BATX
Les BATX (Baidu, Alibaba, Tencent et Xiaomi), l'équivalent des Gafam en Chine, ont été mobilisés par le régime pour traiter les informations disponibles. Un système numérique de prévention des épidémies, développé conjointement par Alipay, Dingding et Alibaba Cloud123, a par exemple permis d’analyser les données médicales de cas diagnostiqués dans chaque hôpital du pays et d’identifier les personnes ayant acheté des médicaments contre la fièvre en pharmacie au cours du mois écoulé.

L'étude conclut sur la nécessité de faire de l'Europe "une puissance du numérique en santé" afin de ne plus dépendre des technologies américaines. C'est ce que la Commission européenne tente de faire avec sa proposition de règlement sur l'intelligence artificielle ou encore le paquet DSA/DMA. La France, qui assurera la présidence du Conseil de l'Union européenne à partir du 1er janvier 2022, semble poursuivre les mêmes objectifs.

Alice Vitard

Lire l'article sur le site de L'Usine Digitale