Un recadrage en bonne et due forme. C’est l’impression que donne une note, envoyée en 2023 au comité relatif à l’intelligence artificielle générative par le Health Data Hub (HDH), que viennent de dévoiler nos confrères de Contexte. La note, publiée par Contexte et qu’Acteurs publics a pu consulter, est en particulier destinée à la Commission nationale de l’informatique et des libertés (Cnil), que le Health Data Hub accuse, entre autres, d’aller au-delà de ses missions et de freiner l’avancée de la recherche, notamment liée aux données de santé, en France.
Le comité relatif à l’intelligence artificielle générative, créé en 2023, contribue à orienter les décisions gouvernementales liées à cette technologie. Il a notamment été l’auteur d’un rapport, l’année dernière, proposant des recommandations pour adapter la politique gouvernementale en matière d’IA, auquel le HDH a participé.
Des recommandations à charge
“Malgré ses difficultés à assurer les missions qui sont les siennes, la Cnil déborde sur des considérations politiques et prend des positions excessives ou sans lien avec ses attributions, que personne n’a le courage de réfuter.” Autant dire que le ton est donné par le Health Data Hub, qui n’a pas souhaité commenter cette note auprès d’Acteurs publics. La plateforme française de données de santé accuse la Commission d’agir “en autarcie”, de manière “conservatrice” et sans visibilité pour les acteurs, portant “un frein” à la recherche sur les données de santé.
Pour le député vendéen Philippe Latombe, membre du collège de la Cnil depuis 2022, le Health Data Hub “se moque du monde”. “C’est hallucinant qu’ils se permettent de donner des leçons alors qu’ils sont empêtrés dans des dysfonctionnements, et ils viennent imputer ça à la Commission”, s’insurge le député auprès d’Acteurs publics.
L’entité formule une liste de recommandations à l’attention de la Commission, dont la principale pour l’intéressée : “renoncer au régime d’autorisation systématique par la Cnil des traitements de données, et fonctionner par exception pour les cas les plus sensibles”. Une recommandation matérialisée dans le rapport émis par le comité pour l’IA générative, qui indique de “faciliter l’accès aux données : en matière de données à caractère personnel, modernisation du mandat de la Cnil et de son collège, suppression de certaines procédures d’autorisation préalable d’accès aux données de santé, et réduction des délais de réponse”.
Elle a par la suite été en partie été accueillie dans le projet de loi “Simplification”, présentée en mars à l’Assemblée : un amendement, déposé par le député Éric Bothorel, visant à assouplir la politique d’accès aux données a été adopté en ce sens. Une situation qui ne surprend pas Philippe Latombe : il rappelle qu’Éric Bothorel faisait partie du comité de préfiguration de la création du Health Data Hub et connaît, par ailleurs, sa directrice actuelle, Stéphanie Combes. Sollicité à ce sujet, Éric Bothorel n’a pas encore répondu à nos questions.
Rififi sur les données
Car c’est bien au sujet des données que le bât blesse entre les deux entités. Le Health Data Hub est, par nature, l’interlocuteur identifié pour gérer les données de santé française et notamment en utilisation secondaire, c’est-à-dire leur utilisation pour la recherche. Mais, depuis sa création, le groupement d’intérêt patauge, c’est le moins qu’on puisse dire, dans les démarches administratives, et les temps d’accès aux données, pour les chercheurs, sont particulièrement longs : dix-huit mois en moyenne. La Cnil intervient dans le processus : elle a le pouvoir de délivrer ou non les autorisations d’accès aux données, le tout selon une codification bien précise, et surtout, laborieuse. Auprès d’Acteurs publics, elle rappelle tout de même qu’“en 2024, 619 demandes d’autorisation ont été formulées pour des traitements de données en santé – avec, à la clé, 3 refus seulement, et un traitement en moins de trente jours pour 40% des cas”.
“La généralisation de la recherche par le Health Data Hub devait se faire par un décret du gouvernement, et aurait pu contribuer à ce que la Cnil n’ait plus à donner son avis. Mais ce décret a été abandonné, tout simplement parce que le Health Data Hub ne fonctionne pas depuis sa création”, abonde Philippe Latombe. Il fait référence, entre autres, à l’hébergement, par la plateforme, des données de santé par la solution de cloud de Microsoft : une situation qui n’évolue pas, et qui inquiète beaucoup, en raison de la soumission de Microsoft au droit extraterritorial américain, qui peut obliger légalement les entreprises à fournir les données qu’elle héberge à l’administration américaine.
Philippe Latombe fait état d’un “énervement global” chez les membres de la Cnil. “Ce n’est pas pour rien qu’on rend ces avis. Mais dans les derniers avis rendus, on le dit bien : ça suffit. On autorise aujourd’hui, parce qu’il y a un intérêt pour la recherche, que ça sauve des vies, mais il faut aussi que le Health Data Hub balaye devant sa porte.” Les dernières années n’ont pas contribué à une ambiance au beau fixe entre les deux entités, c’est le moins qu’on puisse dire. C’est d’ailleurs ce qui ressort des recommandations assez mordantes du HDH.
L’entité demande notamment de “remettre à plat” les missions de la Cnil afin de les “concentrer sur un rôle important de conseil aux acteurs”, d’opter pour un contrôle en aval et non plus en amont, et de “s’assurer qu’elle ne prenne pas position sur des sujets qui n’entrent pas directement dans ses attributions”. Dans cette même note, le Health Data Hub recommande de revoir la composition de la Cnil, “afin que celle-ci intègre également des utilisateurs de données – chercheurs, représentants du monde de l’innovation, association de patients”. Une demande entendue. Le collège de la Cnil devrait ainsi évoluer, à travers le projet de loi “Simplification” : cinq de ses membres devraient désormais être issus du monde de l’entreprise.
