Nos données de santé, « c’est de l’or pour ceux qui peuvent y accéder » Politiques Numériques

Une décision technologique, très politique, qui déchaîne les passions.

Delphine Sabattier : Bonjour à tous. Un épisode qui est consacré à une décision politique, touchant un choix technologique, un choix technologique très politique, on va le comprendre, je veux parler de cette délibération de la CNIL [1], qui ne passe pas, donnant son feu vert à la création d’un entrepôt de données de santé qui sera hébergé chez Microsoft. Une autorisation qui pose à nouveau cette question de notre totale dépendance aux acteurs du numérique américains.
Je suis Delphine Sabattier, je vais vous présenter tout de suite mes invités autour de la table.
Un politique engagé d’abord, le député Modem de Vendée, commissaire de la Commission nationale de l’informatique et des libertés, la CNIL, Philippe Latombe, qui n’en reste pas moins en colère face à cette décision, n’est-ce pas ?
L’Amiral Arnaud Coustillière nous a rejoints également, président du Pôle d’excellence cyber [2].
Autour de la table, aussi, le défenseur de la souveraineté numérique depuis une vingtaine d’années, Tariq Krim, dont on peut suivre des analyses sur cybernetica.fr [3]. Bonjour Tariq. Bonjour Amiral.
Et puis l’ingénieur français, expert indépendant du cloud, Guilhem Lettron, qui nous fait le plaisir d’être ici. Je suis très contente parce que vous avez participé à la conception de l’infrastructure technique du Health Data Hub [4] dont on va beaucoup parler, cette plateforme des données de santé hébergée chez Microsoft.
Et puis, il n’est pas autour de la table, mais il n’en est pas moins remonté sur le sujet. Je propose qu’on écoute tout de suite le plaidoyer de maître Haas.

Maitre Gérard Haas, voix off : La CNIL, gendarme de nos données personnelles, vient de donner son feu vert au fait que Microsoft puisse héberger de nos données de santé et celles des Européens. Autrement dit, l’autorité française, valide le choix d’un fournisseur américain de cloud, en l’espèce Microsoft, dans le cadre du projet d’entrepôt européen de données de santé appelé EMC2. C’est pathétique ! Dans cette décision, qui s’appuie sur l’évaluation faite par l’administration française, qu’aucun clouder français ou européen n’arrivait au niveau de Microsoft, car aucune des trois sociétés clouder en balance, OVHcloud, NumSpot, Cloud Temple, n’offrait des solutions de cloud suffisamment avancées pour remplacer Microsoft.
Cette décision pèse sur trois risques qu’elle ne neutralise pas, mais, au contraire, qu’elle augmente :

  • le risque de dégradation de notre indépendance numérique. Adieu souveraineté !
  • le risque extraterritorial de sécurité du fait de la divulgation, sans garde-fou, de nos données de santé ;
  • et puis un risque économique de réversibilité de migration des données dans trois ans, nous rendant otages d’une plateforme qui contrôle et définit les prix du cloud.

Pourtant, j’observe que la doctrine de l’État français, de la CNIL, imposait le choix d’un fournisseur de cloud non soumis aux lois extraterritoriales pour des données de santé, données, rappelons-le, classées comme sensibles et qui ont un caractère stratégique.
Alors, c’est la douche froide pour tous ceux qui défendent la souveraineté numérique, c’est-à-dire notre indépendance.
En effet Microsoft, en tant que société américaine, est soumise aux lois extraterritoriales des États-Unis, d’où le risque que nos données de santé puissent être accessibles aux services de renseignement américains, en vertu du CLOUD Act [5] ou de la FISA [6], que cette validation soit limitée à trois ans.
Comment, désormais, se détacher à court terme, voire à moyen terme, des offres des acteurs américains ? Le coût d’une migration sera le prix à payer de notre souveraineté. Est-ce vraiment acceptable ?

La CNIL a beau jeu de regretter cette situation, on dira même que dans la balance des intérêts innovation/protection elle a été pragmatique parce qu’il n’y avait pas d’autre solution en face. Mais je pense que l’occasion de faire monter en gamme l’offre française ou européenne d’un cloud souverain, via la commande publique, vient tout simplement d’être manquée.

Delphine Sabattier : Occasion manquée. Est-ce que vous trouvez cette décision de la CNIL pragmatique ou pathétique ? Qui veut commencer. Monsieur le Député.

Philippe Latombe : Je vais peut-être commencer, avec deux garde-fous préalables.
Le premier, c’est que je n’ai pas participé à la décision de la CNIL puisque je me suis déporté au moment de cette décision pour deux raison : d’abord parce que je voulais pouvoir la critiquer et puis, surtout, parce qu’il y a du transfert de données et, depuis que j’ai attaqué le DPF [7] devant le tribunal de l’Union, chaque fois qu’il y a une décision qui parle de cela, je me déporte.

Delphine Sabattier : Le DPF, c’est ce bouclier qui permet de garantir qu’on est protégé par un accord juridique dans le cadre des transferts de données entre les États-Unis et l’Europe.

Philippe Latombe : C’est un accord d’adéquation disant que les données personnelles sont traitées de la même façon et au même niveau de sécurité et de protection juridique des deux côtés de l’Atlantique, qu’on peut donc les envoyer d’un côté à l’autre.
La CNIL a pris une décision qui est une décision juridique. C’est là où je ne suis pas tout à fait d’accord avec l’intervenant précédent : la CNIL n’a pas le choix. Elle dit qu’elle regrette la situation parce qu’elle est obligée de la prendre. Elle est obligée de la prendre parce qu’il y a le DPF, donc qu’on ne peut pas s’opposer et la CNIL n’a pas le pouvoir de s’opposer au DPF.

Delphine Sabattier : Elle le regrette parce que, en fait, il était plutôt prévu, à l’origine, que l’on confie nos données de santé à un acteur qui serait certifié SecNumCloud [8], donc, qui serait immunisé contre toute loi extraterritoriale ?

Philippe Latombe : On va revenir sur l’historique. Mais oui la CNIL regrette parce qu’il a toujours été dit que le HDH serait hébergé en souverain, depuis le début, depuis sa conception.

Delphine Sabattier : Et, depuis le début, ce n’est pas le cas quand même !

Philippe Latombe : Et, depuis début ce n’est pas le cas. D’ailleurs, il y a eu une contestation au Conseil d’État [9] et le Gouvernement, à plusieurs reprises, a promis aux parlementaires, à l’Assemblée et au Sénat, avec deux ministres différents, puis au Conseil d’État, puis à la CNIL, qu’il y aurait une réversibilité, disant « à partir de 2020, d’ici 18 mois, il y aura une réversibilité ». 2022 est passée, pas de réversibilité, 2024, il n’y a toujours rien et là on nous dit « acceptez que ça soit chez Microsoft parce qu’on n’a surtout pas envie que ça soit ailleurs, parce que ce n’est pas facile, pour nous, de le gérer de cette façon-là — parce que ça revient quand même à ça — et on envisagera une réversibilité dans trois ans. » La CNIL a pris la seule marge de manœuvre qu’elle avait : la demande d’autorisation était une demande d’autorisation pour dix ans et la CNIL s’est appuyée sur le rapport, qu’elle n’a pas le droit de contester, de la mission qui dit qu’il n’y a pas d’hébergeur possible du niveau de Microsoft ou de AWS [Amazon Web Services] et elle dit : « Vous nous dites, dans le rapport, que dans trois ans ça sera le cas, donc on limite l’autorisation à trois ans. » Elle a utilisé, juridiquement, la seule marge de manœuvre qu’elle avait.
Maintenant, quand on lit la décision du début jusqu’à la fin, il y a des clés, il y a des serrures pour pouvoir attaquer cette décision.
Elle regrette le choix, elle dit que jamais au grand jamais il n’avait été prévu d’aller sur ce type de support, qu’on lui avait promis, un certain nombre de fois, que ça ne serait pas le cas. Et elle dit même, et c’est très important, c’est une clé pour le Conseil d’État et éventuellement pour ceux qui voudraient y aller, que le DPF n’empêche pas les services américains de pouvoir récupérer les données et les utiliser, ce qui est vrai. D’ailleurs, dans le nouvel executive order de Biden, il y a un nouveau motif, qui est le motif de pandémie, qui permet de faire de la récolte en masse d’informations. Qu’est-ce que la pandémie quand on a des données de santé ? C’est une concordance assez bizarre.

Delphine Sabattier : Vous, vous êtes opposé à ce DPF, à cet accord, mais la CNIL non.

Philippe Latombe : Elle ne peut pas, elle n’a pas loi le droit. Le DPF s’impose à la CNIL. Le DPF est un accord qui a été signé entre la Commission européenne et les États-Unis, c’est du domaine réglementaire de la Commission, donc, en droit français, il est de niveau supérieur à la loi.

Delphine Sabattier : Il faudrait qu’il ait une mobilisation des CNIL européennes pour imposer le RGPD [10]. La question c’est : est-ce que c’est compatible avec le RGPD ?

Philippe Latombe : Non, ce n’est même pas possible ! La seule façon de pouvoir le prouver dorénavant, sauf à ce que le tribunal de l’Union me donne raison et accepte qu’on puisse en discuter devant le tribunal, c’est d’aller devant la Cour de justice de l’Union pour faire une invalidation de ce DPF, comme on a une invalidation du Safe Harbor et du Privacy Shield. C’est la seule possibilité juridique. Les CNIL, contrairement à ce que tout le monde dit, n’ont pas la possibilité de faire une question préjudicielle à la Cour de justice de l’Union, on doit passer par l’ordre juridictionnel le plus élevé dans chacun des pays et, en France, c’est le Conseil d’État ou la Cour de cassation, mais ça ne concerne pas la la CNIL. Donc, la seule solution d’invalider le DPF c’est de demander au Conseil d’État de statuer sur la décision de la CNIL. Je ne doute pas une seule seconde qu’il y aura, dans les deux mois qui viennent, des dépôts de référés-suspensions devant le Conseil d’État.

Delphine Sabattier : Je voulais quand même qu’on revienne sur le projet, au départ, puisque c’est important de situer le contexte : de quoi parle-t-on ? Pourquoi cette polémique autour de l’entrepôt de données de santé est-elle importante ? C’est un projet, à l’origine, de l’Agence européenne du médicament qui souhaite travailler sur une nouvelle façon de surveiller la prise en charge des patients, pour cela elle a besoin de davantage de données. On est dans le cas d’un contexte européen et une partie de ce projet va s’appuyer sur des données françaises, détenues notamment par la Cnam, et nécessite la création d’un entrepôt de données de santé qui sera hébergé sur ce qu’on appelait le Health Data Hub.
Expliquez-nous, Guilhem. Vous vous êtes engagé sur ce Health Data Hub au tout début du projet.

Guilhem Lettron : Pas exactement au tout début. Je suis arrivé juste après la pandémie. Je vais déjà dire d’où je pars : je suis indépendant, je n’ai aucun lien, aujourd’hui, ni avec le HDH ni avec Azure ni avec aucun autre acteur.

Delphine Sabattier : Parce que votre contrat a pris fin il y a plus de deux ans.

Guilhem Lettron : Exactement, c’est ça, il y a plus de deux ans. Ie suis arrivé après la pandémie.

Delphine Sabattier : C’est bien, il n’y a plus de liens directs

Guilhem Lettron : Voilà ! Je ne vais pas donner des secrets industriels qui pourraient mettre en danger le HDH, mais on va pouvoir revenir, justement, sur cette partie sécurité.
Le HDH – et je parle vraiment de mon point de vue technique d’infra, de ce que j’en ai compris, donc il peut y avoir des incertitudes et des approximations – a comme but de mettre à disposition aux entreprises et aux chercheurs de la donnée pour pouvoir créer des modèles et, également, pouvoir analyser les données. En fait, il y a, derrière, un enjeu industriel pour l’État et pour toute l’économie française qui vient avec. On n’héberge pas les données des Français, la Cnam ne va pas utiliser le HDH directement, la Cnam continue d’avoir son entrepôt de données.
Le HDH est un hub, il y a les données de la Cnam et il y a également les données de plein d’autres centres de données, le but étant, pour les chercheurs, de recouper les données pour pouvoir analyser et trouver de nouveaux traitements à l’avenir ou des données statistiques.

Le projet c’est 2019, à peu près, on n’est pas encore dans le boom des IA. Aujourd’hui, on le voit avec ChatGPT depuis un an, la question des modèles est une question centrale. Si, demain, on enlève le HDH, si jamais, demain, on demande de repartir sur autre chose, ça veut dire repartir de zéro, ça veut dire des entreprises qui, aujourd’hui, sont sans données sur des patients français pour pouvoir créer des modèles qui vont permettre, demain, de soigner les Français.
En fait, le problème c’est qu’on est face à deux enjeux de souveraineté : la souveraineté industrielle des industries françaises du médicament et des chercheurs et cette souveraineté pseudo-numérique qui vient derrière.

Delphine Sabattier : Pseudo-numérique ! La souveraineté autour du cloud et de l’hébergement des données !

Guilhem Lettron : Exactement. Il faut voir que le HDH est fait par des Français, des ingénieurs, qui sont compétents et tout à fait à même de connaître tous ces sujets-là. Les données ne sont pas fournies de manière transparente aux acteurs, il y a, bien sûr, des garde-fous. En plus, on est dans la bonne journée pour ça, on a 30 millions de comptes, aujourd’hui, qui ont fuité depuis des mutuelles [11]. Il faut voir que le milieu de la santé n’est pas un milieu, aujourd’hui, très sécurisé, sécurisant, pour les données des patients.

Le but du HDH c’était justement de pouvoir garantir de la sécurité par rapport à ces hackers et par rapport à cela. Ça veut dire se protéger et de l’extérieur et de l’intérieur, et même se protéger des chercheurs. En fait, on donne des données à traiter à des chercheurs et ces chercheurs n’ont pas le droit de faire sortir les données. Il y a donc tout un travail qui est très compliqué. Je défie n’importe qui, faisant de l’informatique, de mettre à disposition des données sans que ces données puissent sortir, c’est extrêmement compliqué, il y a énormément de procédures sécurisées, et je pense que c’est cela le problème qu’on a aujourd’hui : personne ne prend la mesure exacte du but du HDH qui n’est pas d’héberger, c’est de traiter de la donnée.

Delphine Sabattier : Vous nous dites qu’avec ce souci de souveraineté numérique, technologique, finalement on pénalise un projet bien plus grand, bien plus vaste. Je voudrais avoir une réaction. Amiral. L’argument de la cybersécurité ne peut pas vous échapper.

Arnaud Coustillière : Non. L’argument de la cybersécurité n’est pas un argument. Les vrais arguments sont ceux qui ont été exposés par Monsieur le Député Latombe, c’est l’extraterritorialité, ce sont les rapports. Les données de santé ont une valeur, ce bien pour cela qu’il y a des attaques contre elles dans tous les coins. Il ne faut pas se leurrer : ces données de santé c’est de l’or pour ceux qui peuvent y accéder. On est clairement dans une compétition économique. On parle de souveraineté. On a déjà nos paysans qui sont dans la rue, c’est le même genre de choses, on a les affaires actuelles.
J’étais hier avec Frédéric Pierucci [12] qui a montré comment la machine administrative américaine, aussi, se déclenche dès qu’il y a des intérêts, qui montre aussi comment tous les services de renseignement américains, aujourd’hui, font de plus en plus d’efforts sur la guerre économique qui n’est pas nouvelle. Vous prenez les déclarations de monsieur François Mitterrand, hier, en 2014 : « une guerre à mort, une guerre sans morts ». À un moment donné, il faut que l’État français acte et puis assume un certain nombre de responsabilités. Vous prenez le rapport de 76 de Giscard d’Estaing sur l’informatisation de la société, relisez-le, tout est écrit, tout !, y compris les entrepôts de données. Vous prenez Cloudwatt [13], 2014, une bonne intention qui a été un échec.

Delphine Sabattier : Guilhem a aussi travaillé sur Cloudwatt.

Guilhem Lettron : Exactement. J’ai aussi cette casquette-là, du cloud français souverain. On pourra justement discuter de cette partie du sujet.

Arnaud Coustillière : Tout à fait. Ça veut dire que l’État a lancé un certain nombre de choses, mais n’y est pas allé jusqu’au bout et finalement, aujourd’hui, on se retrouve dans une situation qui n’est pas meilleure que celle de 2010 ou 2012 quand on lançait les choses.

Delphine Sabattier : Donc, le plus gros danger c’est aussi cette souveraineté technologique sur nos données de santé. C’est ce que vous pensez Tariq ?

Tariq Krim : Pas nécessairement. Je pense que c’est un des sujets. Je voulais un peu revenir au cœur des enjeux.

Delphine Sabattier : C’est la question qu’on se pose : finalement, en attaquant cette décision, ne privilégie-t-on pas la question de la souveraineté technologique plutôt que la question de la sécurité ? C’est ce que nous dit Guilhem.

Tariq Krim : Je ne pense pas. Je vais rembobiner un tout petit peu.
Ce qui est très intéressant avec le Health Data Hub, puisque nous avons été nombreux, ici, à l’avoir suivi depuis le départ, c’est que, soyons clairs, au départ c’est une décision politique et une volonté d’utiliser une plateforme plutôt que d’autres. Pourquoi ? Et c’est une question très intéressante parce qu’on est quand même aussi à l’ère de la Start-up Nation, c’est-à-dire une ère où on a dépensé 25 milliards d’euros, mais on n’a absolument pas les briques nécessaires pour construire les éléments dont on parle.

Guilhem Lettron : 25 milliards, ce n’est pas sur le HDH ! J’aurais aimé !

Tariq Krim : Oui, c’est en général.c’est 25 milliards sur les start-ups.

Delphine Sabattier : On va dire que c’est le financement de la French Tech.

Tariq Krim : C’est pour permettre à des jeunes sortis d’écoles de commerce de pouvoir faire leur première start-up et aussi, il faut le dire, d’avoir voulu transformer des services publics en services qui sont désormais automatisés, privatisés.
Il y a une vraie question qui me taraude avec le HDH. Vous vous souvenez des grandes privatisations qu’on a eues dans les années 80/90, aujourd’hui on ne privatise plus les entreprises, puisque, de toute façon, la valeur n’est plus forcément là, mais on a des assets importants que sont nos données, qui ont une valeur très importante, l’Amiral vient de le rappeler, ça vaut de l’or. Elles sont bien structurées, elles sont mieux structurées que celles des États-Unis, tout simplement parce qu’on a une administration centrale qui a centralisé les choses là où, aux États-Unis il y a plusieurs acteurs. Quand on me dit que des entreprises vont avoir accès à ces données pour faire des choses, découvrir de nouveaux médicaments, ça a l’air super, la question que je me pose, c’est d’ailleurs une question que j’avais posée, à l’époque à la directrice du HDS : en cas de découverte, que va t-il se passer si ces entreprises qui vont se créer, sont rachetées, demain, par des boîtes américaines ? C’est-à-dire qu’on a mis à disposition, gratuitement, nos données pour permettre à une industrie de fonctionner.
Derrière la question de la souveraineté, je voudrais juste revenir sur un point dont on ne parle jamais.

On a eu deux sujets de loi on va dire très controversés, la loi sur les retraites et la loi sur l’immigration.
Je vais prendre la première, la loi sur les retraites. Aux États-Unis, on a un système qui est différent du système français. En gros, son argent de retraite est placé, ce qu’on appelle un 401, à la bourse. Aujourd’hui, la croissance de la bourse c’est quoi ? Ce sont les Big Tech, ce qu’on appelle maintenant les Magnificent seven. Ça veut dire qu’à chaque fois que les entreprises américaines gagnent de l’argent et augmentent, les retraites des Américains sont garanties. Trump a touché à plein de choses, mais il n’a jamais touché à ça. Nous avons un modèle qui est différent, nous avons un modèle par répartition. Je ne suis pas là pour parler du fond ou de la forme, je pense que c’est un modèle qui ne fonctionne que quand la nouvelle génération de gens qui arrivent sur le marché du travail a ce qu’Obama appelait les good jobs, des jobs bien payés, en général des jobs d’ingénieur, de développeur. La question qui se pose c’est qu’à chaque fois qu’on investit de l’argent dans ces boîtes, d’une certaine manière on garantit les retraites des Américains, alors que quand on investit dans des boîtes françaises, avec des ingénieurs français, qui sont payés en France, qui paient leurs impôts, donc qui cotisent à des retraites, on a un modèle qui préserve notre modèle de retraite.
On parlait des agriculteurs, on a exactement le même problème.
Que ce soit des terres labourées ou que ce soit des terres numériques, la question qui se pose c’est, une fois qu’on a créé de la valeur, où va cette valeur ? Et aujourd’hui on a dépensé énormément d’argent.

Delphine Sabattier : Cette valeur peut aller dans la recherche publique française, elle peut se retrouver entre les mains d’entreprises françaises dans le médicament, dans la santé.

Tariq Krim : Oui, mais dans la pratique, aujourd’hui, on a un modèle où tout doit être une start-up : l’État doit être une start-up, les entreprises doivent être des start-ups. Alors qu’on est en train de découvrir, dix ans après, avec le crash d’une grande partie de la Start-up Nation qui est en train de se passer, que tout ne peut pas être une start-up. Les start-ups sont des entreprises rares, j’en ai monté deux, qui ont un potentiel de croissance incroyable, avec des équipes techniques de qualité, qu’on est capable d’assembler, vous l’avez vu dans l’IA, tous les bons ingénieurs sont Français, on le voit avec Mistral [14] et avec toutes les entreprises qui se créent, et on a voulu généraliser ce modèle. Je pense que c’est une erreur parce que, aujourd’hui, une des questions que je me pose c’est pourquoi cet argent n’a pas été utilisé pour développer les briques en France. Ça fait maintenant cinq ans, on nous dit à chaque fois « on n’a pas le temps, on a pas le temps », mais depuis maintenant cinq/dix ans on aurait pu développer des choses. Pour cela, il faut une vision technologique, une vision que, malheureusement, nous n’avons pas toujours au sein de l’État.

Delphine Sabattier : Justement. On a évoqué Cloudwatt [12], Synergy [15]. On a quand même essayé de les créer ces briques !

Tariq Krim : C’est le contre-exemple intéressant. Je me permets d’intervenir rapidement. Au lieu de donner ça à des entreprises, à des entrepreneurs, à des petites entreprises, des gens qui ont la capacité technique, on a dit le cloud c’est de l’infrastructure, on va donner ça à Orange et à SFR, alors que le cloud c’est du logiciel, et le logiciel ça veut dire du talent, donc il faut investir dans les gens qui ont le talent pour créer ce logiciel.

Delphine Sabattier : Il y avait du talent, il y avait Guilhem. Il y avait des ingénieurs autour es projets.

Guilhem Lettron : En fait, il va falloir écouter un peu, un jour, les ingénieurs qui peuvent en parler et qui ont été dedans.

Delphine Sabattier : Je vous voyais bouillir.

Tariq Krim : Il faut rappeler que tout a été vendu aux Chinois, c’est Huawei qui en a récupéré une partie.

Guilhem Lettron : On peut revenir sur l’histoire de Cloudwatt [12], je peux vous la faire. Cloudwatt est un projet qui vient du projet Andromède, qui est donc la création d’un cloud souverain, justement pour ne pas mettre tous ses œufs dans le même panier – comme font les Américains notamment sur leur navette pour rejoindre l’ISS [International Space Station] –, prendre deux acteurs, SFR d’un côté, Orange/Thales de l’autre, donc on a deux acteurs qui partent.
Il faut voir que le projet Cloudwatt est le projet qui, techniquement, était sans doute le meilleur cloud européen qui existait et l’est encore aujourd’hui si jamais il ressortait, c’est-à-dire en termes de sécurité, en termes de logiciels et en termes de fiabilité, en tout cas sur la fin.

On parlait tout à l’heure de dépense publique, sur mes souvenirs, à la fin, on avait une dépense publique d’à peu près 1000 euros, c’était en tout et pour tout la dépense publique qu’il y a eue. Donc Orange, à un moment, a décidé d’arrêter les frais, tout simplement d’un point de vue industriel. Huawei est arrivé en mettant de l’argent sur le tapis et, en effet, Orange s’est dit « on va prendre Huawei, OK, on part chez eux. » C’est un échec industriel. En fait, on aurait dû le soutenir comme on a soutenu d’autres projets qui étaient pourtant extrêmement décriés. Je parle souvent du Rafale, pour les gens qui étaient là au début des années 2000, c’était une risée partout, disant « c’est un avion qui ne se vend pas, qui ne marchera jamais ! ». On est bien contents, aujourd’hui, de l’avoir et on voit à quel point c’était une logique intéressante à avoir.
Ce qui a été fait pour Cloudwatt [12] peut être refait. Cloudwatt a fonctionné. Est-ce que la start-up fonctionne ? Comme je le rappelle, le HDH aujourd’hui fonctionne.

Tariq Krim : Cloudwatt n’a jamais eu de clients majeurs.

Guilhem Lettron : FranceConnect, par exemple, si jamais vous l’utilisez, était sur Cloudwatt. Si vous voulez, je peux vous raconter aussi – c’est l’avantage d’être indépendant, on connaît beaucoup de choses à la fin – comment ça s’est passé pour eux de décider de migrer de Cloudwatt pour essayer d’aller dans les clouds publics existants, c’est-à-dire ceux du ministère de l’Intérieur, ceux de Bercy, etc., toutes les instances sont connues. À la fin, ils ont fini par le faire eux-mêmes, en allant chercher des serveurs et en faisant le week-end sur leur temps libre.

Aujourd’hui HDH est une réussite, c’est-à-dire qu’il fonctionne. On parle beaucoup de projets publics qui ne finissent pas et qui n’y arrivent jamais, aujourd’hui le drame du HDH c’est qu’il fonctionne et qu’il y a des ingénieurs.

Delphine Sabattier : Techniquement.

Guilhem Lettron : Techniquement, bien sûr, mais il y a déjà des données, il y a déjà des chercheurs qui l’utilisent. On a, aujourd’hui, des projets qui utilisent HDH. Dans la décision de la CNIL, on ne parle que des données de la Cnam. Il y a déjà d’autres données qui sont traitées, utilisées, et on a des chercheurs français qui arrivent à faire des découvertes avec. Il faut le rappeler, c’est vraiment, aujourd’hui, une réussite.
Je veux bien qu’on aille sur d’autres clouds européens ou clouds français. Aujourd’hui, j’attends juste qu’on me prouve que ces opérateurs-là feront une plateforme et je suis sûr – là je parle en mon nom et pas du tout au nom du HDH – que le HDH sera bien content de passer, parce que quand on parle d’investissement, etc., le HDH, c’est très peu d’ingénieurs, c’est vraiment très peu. Quand on parle de gros investissements, on en parle énormément, mais ça n’a rien à voir avec le niveau d’investissement qu’on a dans d’autres acteurs. Je rappellerai juste que toute la recherche d’AWS est équivalente à toute la recherche française en termes d’investissement. C’est important de voir les différences d’échelles.

Tariq Krim : Je me permets juste de préciser : des ingénieurs des Mines ont fait un rapport, qui n’est d’ailleurs, malheureusement, pas sorti, qui prouvait que dans la R&D d’Amazon on mettait également les immobilisations comme les immeubles, des choses comme ça. En fait, quand on revenait à l’investissement réel, il était beaucoup plus modeste, donc assez proche de ce qu’on fait en Europe.

Delphine Sabattier : C’est compliqué de comparer. Ce qui est intéressant quand même, Monsieur le Député, on parle d’un rendez-vous politique qui a été manqué, maintenant, il ne faut pas qu’on rate celui-ci !

Philippe Latombe : En fait, dans l’histoire du HDH, tout est un choix politique. Il faut un HDH, il nous faut, aujourd’hui, une capacité pour faire de la recherche. Je ne reviens pas là-dessus et personne ne revient sur l’existence même du HDH.
Là où je ne suis pas d’accord avec vous c’est quand vous dites qu’il y a pas de données hébergées au HDH. Si, il y a une copie du SNDS [Système national des données de santé], il y a une copie d’un certain nombre de données issues d’entrepôts de données de santé des CHU, il y a donc ce risque d’extraterritorialité, il faut qu’on l’intègre.
Ensuite, il y a deux choses. La première c’est que nous avons un vrai problème de gouvernance du HDH qui n’a jamais su s’imposer dans l’écosystème médical, y compris vis-à-vis de la Cnam, des universités, des centres hospitaliers universitaires. Et il existe des contre-exemples du HDH qui fonctionnent bien : le Ouest DataHub [16] fonctionne bien, fait de la recherche.
Vous dites que le HDH fonctionne très bien et que c’est son drame, en volume — et c’est là où je suis pas d’accord avec vous —, il ne fonctionne pas du tout par rapport à ce que ça devrait être. Le Ouest DataHub produit plus de résultats de recherche que le HDH, parce que la gouvernance a toujours été un peu à la Panzer : on avance, je me fiche de savoir comment ça fonctionne, vous êtes obligé de me fournir vos données. La Cpam l’a bien dit à plusieurs reprises « nous ne voulons pas vous transférer les données parce qu’il y a Microsoft, mais aussi parce qu’il y a un problème de gouvernance ». Tout cela est donc un choix politique.

Il faut donc, là, aujourd’hui, que politiquement nous puissions remettre l’église au milieu du village : qu’est-ce que nous voulons ? Nous avons une mine d’or, des données extraordinairement bien raffinées qui pourraient nous servir à développer notre recherche hospitalière d’abord, universitaire et hospitalière. Que parfois on puisse l’utiliser pour aider des entreprises qui ont envie de développer de nouveaux produits, très bien !, mais il faudrait aussi qu’on ait ce retour sur investissement, comme le disait Tariq, si on met à disposition des données d’une profondeur extraordinaire. On a les données de santé de nos concitoyens sur plus de 40 ans et sur la totalité de leur vie. On a tout ce qu’il nous faut pour pouvoir le faire.

Delphine Sabattier : On a un trésor national.
J’avais une question quand même sur la sécurité. D’ailleurs, on en a parlé souvent ensemble, Philippe Latombe : faut-il davantage de mesures de sécurité autour de nos données ? Est-ce que le statut d’hébergeur de données de santé est suffisant ? Est-ce qu’on ne devrait pas davantage se tourner vers une certification SecNumCloud [8] ?
Finalement, est-ce qu’on ne se tire une balle dans le pied en voulant toujours ajouter des surcouches de sécurité qu’on n’est pas capables, aujourd’hui, de proposer, c’est ce que nous dit Guillaume Poupard : on manque d’offres françaises, aujourd’hui, pour faire un choix.

Philippe Latombe : On manque d’offres parce que là, en l’occurrence sur le HDH, les entreprises françaises ont été interrogées uniquement sur les briques SecNumCloud [8]. Elles ne les ont pas développées.

Delphine Sabattier : Oui mais, finalement, on a un peu réclamé ça, c’est ce que je veux dire. Je pose la question : est-ce qu’on ne se tire pas une balle dans le pied ? J’ai aussi entendu à la conférence NumSpot les responsables dire « il faut effectivement protéger nos données de santé avec cette certification SecNumCloud, sauf qu’il faut beaucoup d’argent pour y arriver et il faut deux ans, donc on n’est pas prêts. »

Arnaud Coustillière : Pour prendre un petit peu de recul, les données de santé, c’est quand même quelque chose d’extrêmement sensible, en particulier en France. Il y a quelques années, la donnée de santé était échangée entre médecins, le patient n’avait pas son mot à dire. Aujourd’hui, elle est l’objet d’un débat public qui mériterait probablement un rapport d’information du député, ou ainsi de suite, pour faire le bilan de toute cette affaire. Il y a quand même quelqu’un qu’on oublie, c’est le citoyen. Quand je donne mes données de santé, comme monsieur Tout-le-monde, à un médecin, ce n’est pas pour que, ensuite, elles soient mises sous un statut d’extraterritorialité ou qu’elles servent des intérêts qui ne sont pas forcément ceux de la nation et on est bien sur des problèmes de fond que Monsieur le Député Latombe a évoqués : quelle est la solidarité nationale entre les différentes générations ? Qu’est-ce qui va faire que notre modèle de santé va continuer à perdurer si on est challengé par des modèles qui sont différents ?

Delphine Sabattier : Donc, il faut renforcer les mesures de sécurité.

Arnaud Coustillière : Non, ce n’est pas de la sécurité. Il y a deux choses : il y a la confiance, il y a le cadre juridique et, après, il y a la sécurité.

Delphine Sabattier : Oui, mais les deux ne sont pas compatibles aujourd’hui. On n’a pas d’opérateurs français SecNumCloud [8] pour héberger cet entrepôt de données EMC2, on n’en a pas !

Philippe Latombe : On n’a pas cherché. Désolé de le dire, mais sur le rapport de la mission, Microsoft et AWS ont été interrogés en tant qu’hébergeurs de données de santé, avec une exigence plus basse. Les clouders français sollicités ont dit « nous sommes capables de vous répondre tout de suite en HDS [Hébergeur de Données de Santé] et, si vous voulez du SecNumCloud [8], on a 50 % possible de ce référentiel à six mois et on aura le solde à 12 et 18 mois ». La réponse a été « on ne vous demande pas de répondre en HDS, on vous demande de répondre en SecNumCloud. » Comment faire en sorte que les sociétés françaises et européennes répondent à ce genre de cahier des charges quand ils ont deux boulets aux pieds, ce n’est juste pas possible !

Delphine Sabattier : N’est-ce pas nous qui avions demandé cela ?

Philippe Latombe : C’est la mission qui l’avait défini comme cela parce qu’elle cherchait très clairement, je vais le dire et le poser, à trouver une explication à éviter la migration et elle voulait avoir EMC2 sur la même plateforme que le Health Data Hub, prévue avant, parce que c’était plus simple à gérer.
On a un vrai problème, en France, de volonté politique de simplification. On a le syndrome IBM des années 80, on veut un truc qui marche tout seul, on appuie sur le bouton ça se déploie, pas grand-chose à faire.

Delphine Sabattier : Si on ne veut pas prendre le risque de la migration déjà aujourd’hui, j’imagine dans trois ans, c’est impossible, c’est mort !

Philippe Latombe : C’est pour cela qu’on est tous vent debout. On nous a baladés depuis 2020 en nous disant « ça sera avant 2022 ». 2022 se passe, il ne se passe rien jusqu’en 2024 et, en 2024, on dit « on avait commencé à y penser pour le trimestre 3 de 2025, c’est dans la feuille de route du HDH », ils n’ont même pas commencé à réfléchir à comment ils allaient migrer, je ne vois pas comment on peut le faire en 18 mois et on nous dit « maintenant c’est dans trois ans ». Le politique que je suis et un certain nombre d’entre nous, je pense notamment à une sénatrice, Catherine Morin-Desailly qui mène le même combat au Sénat, avons eu deux promesses dans chacune des chambres du Parlement, par deux ministres différents, un courrier envoyé au Conseil d’État pour arrêter l’action d’InterHop [17] vis-à-vis du HDH, le même courrier envoyé à la CNIL en promettant la main sur le cœur que fin 2022 ça aurait basculé. Bon ! Les promesses du Gouvernement ! Gabriel Attal nous l’a dit, il faut des preuves d’amour, il ne faut pas simplement des mots. Eh bien demandons ces preuves d’amour et c’est le rôle du parlementaire. Pour redire ce que dit l’Amiral, ce sont nos citoyens, nos concitoyens qui sont derrière, qui nous demandent, aujourd’hui, de faire quelque chose. Et on voit bien le scandale de Viamedis [11]. Quand on voit l’émoi que ça provoque d’avoir 33 millions de données médicales, de données concernant la partie médicale de nos concitoyens qui sont dans la nature [11], on comprend que c’est un vrai sujet, au-delà de la partie économique et industrielle.

Guilhem Lettron : Nos concitoyens demandent aussi de la simplification. Ils étaient dans la rue avec des tracteurs il n’y a pas longtemps. Ils demandent de la simplification, ils demandent aussi de l’efficacité en fait. Et aujourd’hui l’argent des Français a été utilisé, bien utilisé, et fonctionne.

Arnaud Coustillière : Vu d’un citoyen, quelle est la simplification apportée par le Health Data Hub ?, j’ai du mal à comprendre. Je veux bien qu’on me parle d’architecture technique dans tous les sens, mais, à un moment donné, il faut être capable de prendre du recul et savoir quel est le fond. On est sur un problème éminemment politique. Dans ma carrière, j’ai expliqué suffisamment de trucs par la technique, personne ne comprend rien, et je vous explique que c’est absolument impossible de faire autrement.

Guilhem Lettron : On parlait de SecNumCloud [8]. Malheureusement on a mis « sec » dans le nom, ce qui n’est peut-être pas du tout la bonne chose, SecNumCloud ne garantit absolument pas la sécurité.

Delphine Sabattier : Quand même !

Guilhem Lettron : Du tout ! Ça garantit juste l’hébergeur, c’est-à-dire que l’application qui est dedans peut être totalement non sécurisée, avec des failles absolument partout, SecNumCloud ne garantit pas la sécurité de l’application.

Delphine Sabattier : Je crois que nous ne sommes pas d’accord là-dessus.

Arnaud Coustillière : Ceci est faux. Vous pouvez avoir un hébergement SecNumCloud sur l’infrastructure et, aujourd’hui, un certain nombre d’applications, je pense à Whaller [18] et à d’autres, sont au niveau de l’applicatif et vont être SecNumCloud au niveau de l’applicatif ; la partie infrastructure représente, en gros, 40 % de la charge.

Delphine Sabattier : Tariq, quand même, il faut essayer de voir les choses clairement. Est-ce que, aujourd’hui, on a des acteurs français qui seraient capables de répondre à cet appel d’offres en assurant le même niveau de qualité, de sécurité ?

Tariq Krim : Je vais aller un peu dans le sens de Guilhem. Avant ça, je pense qu’il faut revenir à la question du pourquoi. En fait, le Health Data Hub met en exergue toutes les contradictions du système français. En gros, on veut faire du protectionnisme sans vraiment pouvoir en faire puisque l’Europe nous interdit de le faire, donc on a dit « on va faire un SecNumCloud, parce que si vous êtes SecNumCloud vous allez avoir accès à plein de choses incroyables. » SecNumCloud est une procédure très lourde.

Delphine Sabattier : Et c’est 100 % franco-français.

Tariq Krim : Bien sûr. Les Allemands ont un système similaire, SiFive je crois, et chaque pays en a pour ses questions de sécurité.

Guilhem Lettron : On a un référentiel européen qui arrive.

Delphine Sabattier : Qui ne sera peut-être pas tout à fait aligné.

Tariq Krim : Oui. Je pense que c’est important de revenir là-dessus. Des niveaux de sécurité existent, il y a des niveaux de sécurité militaires qui sont extrêmement importants, qui prennent en compte, de facto, les questions de l’extraterritorialité parce que ce n’est pas nouveau, la loi FISA [6] date de fin des années 70, j’allais dire que c’est un souvenir la guerre froide quand la NSA espionnait les Russes. Il se trouve que toute l’architecture juridique existe depuis l’époque et elle est utilisable avec le PATRIOT Act [19] et après le CLOUD Act qui sont, en fait, des outils l’extraterritorialité dont les États-Unis peuvent se servir ou pas.
Ce qui est intéressant, et c’est là où il y a un paradoxe : on a voulu, d’une certaine manière, dire « on va faire du protectionnisme », c’est-à-dire aider un ensemble d’acteurs, les protéger par des référentiels, alors que tous les acteurs du numérique, et c’est le vrai sujet, vous disent « on veut des contrats, on ne veut pas des subventions, c’est compliqué, ça met un temps fou et puis, à la fin, vous avez des miettes, on parle de quelques millions d’euros, là où, encore une fois, les start-ups ont eu avec des subventions des sommes plus importantes ». Je ne dis pas que des start-ups n’auraient pas dû avoir ces sommes, je dis simplement qu’on aurait dû prendre en compte l’idée que, pour avoir une architecture indépendante, ça vaut le coup d’investir. Et là se posent d’autres questions.
Les acteurs français sont effectivement en sous-financement, sont souvent, on va dire, émiettés – j’ai écrit un article qui avait fait un peu polémique –, ont du mal à travailler ensemble. Pour moi, l’offre complète existe, mais elle est structurée, émiettée dans un ensemble d’acteurs, là où les clouds américains ont ce qu’on appelle un turnkey, vous avez tout.

La question que je pose n’est pas que celle de la sécurité ; on parle toujours du cloud américain en disant la sécurité, il y a la question du prix. Je regardais, aujourd’hui l’Europe a payé 56 milliards de surtaxe de gaz aux États-Unis pour l’énergie. J’aimerais savoir combien l’Europe paye en termes de surtaxe. On est dans un monde géopolitique, aujourd’hui on a Biden qui est plutôt OK avec l’Europe et dur avec la Chine, mais si c’est demain on a Trump et que les prix du cloud augmentent, on n’a aucun contrôle. Si demain Trump dit « on veut une taxe de 40 % sur toutes les données européennes hébergées aux États-Unis », ça paraît complètement fou, mais quand on met Trump à côté de la phrase, ça devient peut-être un peu plus…

Delphine Sabattier : On se dit pourquoi pas !

Tariq Krim : Pourquoi pas ! On parlait du gaz de Poutine qui disait, en gros, « je vous contrôle, je contrôle surtout l’Allemagne avec le prix du gaz », on a aussi notre gaz de Poutine qu’est le cloud américain dont la partie commerciale n’est pas contrôlable. On a un vrai sujet : l’Europe est la variable d’ajustement.

Delphine Sabattier : On a donc aussi un sujet – je voudrais qu’on revienne quand même là-dessus, c’est important – sur notre écosystème, sur sa capacité à répondre, de manière collective, à un appel d’offres aussi important.

Philippe Latombe : Là où je suis d’accord avec Tariq, c’est que nous avons, aujourd’hui, la capacité à répondre, mais avec des morceaux de briques qu’il faudrait assembler. On a un vrai problème : très peu de ces solutions, très peu de ces entreprises veulent former des consortiums, veulent travailler ensemble, parce qu’elles ont l’impression qu’elles sont concurrentes, alors qu’en plus elles ne travaillent même pas sur les mêmes briques. Elles devraient simplement s’associer pour ; s’associer, ça ne veut pas dire se bouffer, ça veut simplement dire travailler ensemble.

Delphine Sabattier : On en voit. Je citais NumSpot [20], c’est une initiative justement collective.

Philippe Latombe : C’est une entreprise qui a été créée à partir de, pour faire de l’argent et elle a envie de tout faire en interne, là où, parfois, il faudrait qu’elle puisse se dire « je n’ai pas de Kubernetes [21] managé, je ne sais pas faire, or il y en a besoin parce que plus personne ne fonctionne sans ça, je vais donc m’associer avec une start-up ou une petite entreprise qui sait le faire et je vais travailler avec elle. »

Delphine Sabattier : C’est ce que fait Guilhem.

Guilhem Lettron : Ça me va très bien. Pour le coup, je fais du Kubernetes depuis 2015. J’ai contacté Scaleway et OVH pour leur proposer justement, en 2017, de faire du Kubernetes managé, on m’a fermé la porte !

Philippe Latombe : Maintenant ils ont compris qu’il fallait.

Guilhem Lettron : Non, ils le font en interne. Ils ne sont pas capables d’aller chercher. Aujourd’hui, ils ont plein de problèmes en interne pour ça, ils ne sont pas capables aller chercher.
Je suis complètement d’accord avec vous sur cet écosystème qui n’arrive pas à se créer, qui est très isolationniste, qui est très fermé sur lui-même, ce qui fait qu’aujourd’hui on n’a pas des produits au niveau, même sur les briques basses. Demain, même si on ajoute tous les acteurs les uns à côté des autres, il n’y en a aucun qui fournit les structures basses qui permettent d’avoir la sécurité en profondeur et c’est un énorme problème !

Delphine Sabattier : Il y a aussi des problèmes de sécurité chez Microsoft ! Tariq.

Tariq Krim : Je reviens sur la mission que j’avais faite pour le Gouvernement il y a dix ans. À l’époque on me disait « mais pourquoi un CTO ? ». Le CTO, ce n’est pas la personne qui va définir les cahiers des charges, des choses comme ça. Il faut quelqu’un, au plus haut niveau de l’État, comme on a un chef d’état-major. Quand il arrive, un président ne connaît rien à l’armée, il faut quelqu’un qui lui explique « si vous voulez faire ça, je vous prépare des plans et vous allez pouvoir le faire. » Je pense qu’on aurait dû avoir une vision industrielle. La vision industrielle, ce n’est pas l’État qui dit « c’est comme ça », c’est l’État qui prend tous les acteurs autour de la table, qui leur dit « aujourd’hui, voilà l’état de l’art. » Ça se passe comme ça chez Google, il y a trois/quatre langages de programmation, tout est fait à partir de briques. On travaille à définir quelles sont les briques dont on a besoin de façon à ce que les gens sachent que quand ils vont dans cette direction, ils ne vont pas faire fausse route. Il faut aussi savoir innover quand il y a des nouvelles techniques, des nouveaux outils. En France, on est très bon dans l’edge computing [22], c’est dommage qu’on n’ait pas mis ça plus en avant. Il faut donc que quelqu’un siffle la fin de la récré, parle à tous ces acteurs.

Delphine Sabattier : Du côté de l’État, c’est l’État qui doit piloter cette politique numérique ?

Tariq Krim : Je n’ai pas dit qu’on doit piloter. On doit être capable de mettre les gens autour de la table et de leur dire « si vous allez dans cette direction, on va vous financer », mais il faut les financer avec des contrats et pas avec des subventions. Aujourd’hui, on laisse un peu les choses aller dans tous les sens et, à la fin, on a des acteurs qui se disent opérateurs de cloud mais qui sont, en fait, des excellents outils d’hébergement, et la couche software est faite par d’autres acteurs qui sont très bons, mais qui sont tout petits, qui sont souvent des boîtes avec deux/trois personnes. On a un vrai problème là-dessus, on n’a pas su !

Delphine Sabattier : Mais là, vous imaginez le niveau de compréhension que ça demande aux politiques ! Alors oui, tout le monde ne creuse pas ce sujet en profondeur comme vous, Philippe Latombe.

Philippe Latombe : C’est une question de politique publique. Qu’on ne soit pas tous au point – je ne suis pas un spécialiste de la retraite –, il n’empêche qu’on nous demande de nous y intéresser parce que c’est une politique publique.
Là, il faut qu’on ait une définition d’une politique publique du numérique, une politique publique de la souveraineté. On voit que c’est morcelé entre l’agriculture d’un côté, la souveraineté industrielle, la souveraineté numérique, même si c’est regroupé à Bercy, il y a des intérêts divergents parce que Bercy veut récupérer une partie des choses mais pas tout, on voit que c’est Bercy qui a récupéré l’énergie parce qu’ils veulent la souveraineté énergétique en plus. Il faut donc qu’on arrive à poser les choses, il faut qu’on arrive à avoir une vraie définition de politique publique.
Ensuite, le pilotage est totalement différent, on peut piloter de façon proche de l’État mais pas directement par l’État lui-même. Il faut donner des perspectives, ce qu’ont fait les Américains depuis le début. Ils ont la DARPA [Defense Advanced Research Projects Agency] qui les a drivés sur un nombre de choses, ça a irrigué l’intégralité de la sphère publique.

Delphine Sabattier : Ça veut dire que ça passe par le militaire ?

Philippe Latombe : Non pas forcément. La recherche spatiale ce n’était pas simplement que du militaire.

Delphine Sabattier : Aujourd’hui c’est un sujet au ministère de l’Économie, est-ce que c’est la bonne place ?

Philippe Latombe : C’est totalement transversal aujourd’hui. C’est à la fois de la Défense, du ministère de l’Intérieur, du ministère de l’Économie, du ministère de la Culture, c’est partout. Le vrai problème c’est qu’il n’y a pas de politique publique, sur cette partie-là, qui soit transversale. Rattacher un ministre du Numérique directement à Bercy en permanence, sans administration propre, ne montre pas cette capacité transversale et il faut que nous soyons transversaux. Les Américains le font, le président des États-Unis a systématiquement un briefing, toutes les semaines, et un truc un peu plus important tous les mois, pour lui expliquer quelles sont les nouvelles technologies qui sont en train d’arriver, quels pourraient être les impacts pour qu’il les ait en tête chaque fois qu’il discute ou qu’il a un projet, on n’a pas ça aujourd’hui ! On ne l’a pas au niveau du Parlement, je ne pense pas qu’on l’ait au niveau du Gouvernement.

Delphine Sabattier : On n’a même plus un ministre délégué aujourd’hui, depuis le remaniement, nous sommes le 8 février 2024.

Tariq Krim : Ce que dit le député sur les États-Unis est très important. En Europe, on vient de voter l’IA Act [23]. Biden avait fait un office sur l’IA, une agence. Elizabeth Kelly vient d’être nommée, une personne compétente, donc il y a une vision. C’est le cas aussi dans le cyber. C’est toujours la même la même idée, l’idée ce n’est pas que l’État dise « vous allez faire comme ça ». L’idée c’est que quelqu’un soit un point de contact qui permette aux acteurs de comprendre où on va.

Quand l’État est acheteur, il ne faut pas se leurrer, on est dans un monde où l’État, le service public, est le principal acheteur. Regarder Amazon, les meilleurs coups qu’ils ont faits, c’est la CIA, dix milliards, le département la Défense, dix milliards, le département du Commerce, un milliard et demi, c’est là qu’il y a beaucoup de budget. Il faut qu’on ait des gens qui soient capables de formaliser la manière dont on va travailler, les briques dont on a besoin pour avoir des budgets. Un des sujets qu’on a aujourd’hui, qui pose la question autour de la souveraineté, c’est qu’on ne peut pas directement investir dans telle ou telle technologie parce qu’on se fait taper sur les doigts par l’Europe, parce qu’il faut des appels d’offres et des choses comme ça.
Aux États-Unis, c’est pour cela que le budget de l’armée aussi important, on peut financer le dernier porte-avions, le F-35, et plein de choses dans le domaine du logiciel, et ce qu’on finance dans le logiciel, comparativement au budget, c’est finalement relativement petit.
Il faudrait qu’on trouve une façon pour qu’il y ait de l’efficacité : que ce soit bien fait entre l’argent qu’on investit dans la recherche et, ensuite, l’argent qu’on investit en tant que client. Aujourd’hui, comme vous savez, on passe malheureusement beaucoup par des boîtes de conseil externes, le savoir est dilué, on a des consultants externes, no fines, et on se retrouve avec des projets un peu...

Delphine Sabattier : Guilhem n’était pas consultant.

Guilhem Lettron : J’étais indépendant.

Tariq Krim : On se retrouve souvent avec des projets Frankenstein, c’est-à-dire qu’on a branché des choses parce qu’on n’a pas de vision globale, technologique, les gens passent, partent et on considère que la technologie c’est toujours annexe, alors que dans le monde dans lequel on vit la technologie c’est le cœur.

Guilhem Lettron : Justement, c’est extrêmement bien de parler de tout cela. Je pense que nous sommes tous d’accord sur l’état de l’écosystème et, dans le HDH, il n’y avait pas de consultant. C’était des équipes de techniques, de gens qui s’y connaissent dans le cloud.

Tariq Krim : Mais il y avait des y avait des SS2I, on appelle ça maintenant ESN [Entreprise de services du numérique], européennes par exemple.

Guilhem Lettron : Oui exactement. En fait, il faut passer par un contrat-cadre, mais après, derrière, on avait des gens qui étaient plutôt compétents, typiquement Kinaps [24] qui est une boîte d’open, qui faisait ça et en sous-traitant de sous-traitance de sous-traitance de sous-traitance, encore un autre sujet.
Aujourd’hui, on est d’accord sur le constat général de l’état de l’écosystème, mais on ne peut pas demander aux HDH de créer cet écosystème à lui tout seul. Je serais d’accord pour dire « très bien, on crée cet écosystème et, le jour où il existe » et là on s’est mis d’accord sur le fait qu’il existe.

Delphine Sabattier : Mais si le jour où il existe c’est dans deux ans, dans trois ans, c’est trop tard, c’est ce qu’on en dit.

Guilhem Lettron : Et ce serait trop tard pour l’IA, si jamais on n’a pas ces données, qu’on ne traite pas. En fait, c’est tout le problème aujourd’hui : on est face à deux problématiques.

Philippe Latombe : Je suis d’accord, mais je reviens sur quelque chose : il y a une promesse gouvernementale en 2020, d’une migration et d’une réversibilité avant la fin de l’année 2022, ce n’est toujours pas suivi, ça ne serait suivi, d’après le HDH, qu’au trimestre 3 2025 et maintenant on apprend que c’est 2027. On ne peut pas se permettre d’attendre et la parole publique doit primer sur le reste, là, aujourd’hui, maintenant, pour madame Michu, monsieur Dupont, tout le monde autour de cette table. Nous avons une responsabilité politique sur le sujet et il faut l’assumer.

Tariq Krim : Je voulais juste, pour conclure. On a souvent tendance à parler de ce projet comme d’un projet technique. On a la technologie, il y a la sécurisation. Ce n’est pas un projet technique, c’est un projet politique, c’est une vision du monde. Aujourd’hui, on est dans un monde où la médecine va devenir ultra-personnelle, ce qui veut dire que des gens auront accès au top de la médecine – ça commence déjà aux États-Unis avec ces fameux endroits où on peut tout faire avec de l’IA – à un système global. Aujourd’hui, la question c’est que ce projet qui a été présenté comme une problématique purement technologique est un projet politique. C’est pour cela qu’il y a autant de passion.

Delphine Sabattier : Le conseil scientifique du Health Data Hub plaide pour une approche bénéfice/risques. Ce que vous nous dites c’est que les risques ne sont pas surévalués. Quand on confie, aujourd’hui, cet hébergement à un acteur extra-européen, c’est un risque et le politique doit se positionner.

Merci beaucoup pour vos éclairages et aussi vos désaccords parce que ça nous a permis d’avoir une vision à 360 de ce sujet, Philippe Latombe, Guilhem Lettron, Tariq Krim, Arnaud Coustillières. Merci d’être venus dans POL/N.
Aujourd’hui, c’est Julien Gola qui était avec nous, derrière la fenêtre, à la régie, à la réalisation.
Politiques Numériques, alias POL/N, sera de retour dès la semaine prochaine. Pour ne rater aucun épisode, pensez à ajouter POL/N à vos favoris.