Health Data Hub

Bonjour,

je viens de déposer une demande à la CADA suite à la non-réponse du Ministère de la Santé de donner suite à notre demande de transmission de:

  1. l’intégralité des codes sources de la plateforme Health Data Hub.

  2. l’étude de réversibilité dont il est fait mention par le Ministère dans sa réponse à la question écrite n° 14130 du Sénateur Claude Raynal publiée dans le JO Sénat du 30/01/2020 - page 5042.

Ci-dessous l’A/R de la CADA:


Soumis le Lundi, 4 janvier, 2021 - 07:57

Soumis par l’utilisateur:

Les valeurs soumises sont:

Civilité : Monsieur

Prénom : Stefane

Nom : Fermigier

Adresse courriel : sf@fermigier.com

Pour le compte de : CNLL (Conseil National du Logiciel Libre)

Adresse: 172 Bd du Montparnasse

Code postal : 75014

Localité : Paris

Pays: France

Administration concernée : Ministère des Solidarités et de la Santé

Adresse : 14 Avenue Duquesne

Code postal : 75350

Localité : Paris

Votre demande porte sur : 1: le code source du Health Data Hub et 2: l’étude de réversibilité du Health Data Hub

Document(s) objet de la saisine :

Premièrement, l’intégralité des codes sources de la plateforme Health Data Hub. L’article 2 de la loi n°2016-1321 du 7 octobre 2016 pour une République numérique a en effet fait des codes sources des logiciels utilisés par les personnes publiques des documents administratifs communicables au titre de l’article L311 du Code des relations entre le public et l’administration. Or, si nous avons bien noté sur l’annuaire des codes sources de l’Etat, l’excellent code.etalab.gouv.fr, la présence de 11 dépôts liés au HDH, dont 10 actifs et 1 archivé, il nous paraît inconcevable que ces 10 dépôts constituent l’intégralité des codes sources produits et utilisées par le HDH depuis sa création: ils ne contiennent que 4000 lignes de code (Python), soit la production d’un seul ingénieur pendant 3 à 6 mois. Nous souhaitons pouvoir étudier librement l’intégralité du code source qui constitue la plateforme.

Deuxièmement, l’étude de réversibilité dont il est fait mention par le Ministère dans sa réponse à la question écrite n° 14130 du Sénateur Claude Raynal publiée dans le JO Sénat du 30/01/2020 - page 5042. Votre Ministère avait répondu il y a 9 mois (le 13 février 2020): “Dans cette optique, une étude de réversibilité a été menée afin de faciliter la migration dès lors qu’une offre française performante sera disponible et sera régulièrement actualisée.”

Date de la demande à l’administration : 24/11/2020

Observation :

Demande envoyée le 24 novembre par mail au directeur adjoint du cabinet d’Olivier Véran (en charge du Health Data Hub) ainsi que par lettre recommandée A/R au Ministère.

Accusé de réception daté du 27 novembre (en PJ).

Pas de réponse reçue du Ministère à ce jour.

4 J'aime

Bonjour,

je viens d’avoir la réponse du Health Data Hub qui répond positivement à la deuxième demande (étude de réversibilité) et négativement à la première (code source de la plateforme).

Du coup j’ai deux questions:

  1. Concernant l’étude, elle porte la mention « Document de travail confidentiel - ne pas diffuser ». Sur quelle base juridique ?

  2. « S’agissant du code source qui constitue la plateforme technologique, votre demande ne nous semble pas pouvoir être satisfaite en application du d) du 2° de l’article L311-5 du code des relations entre le public et l’administration, étant donné le risque d’atteinte à la sécurité des systèmes d’information. » -> Est-ce contestable ?

S.

  1. La mention « Document de travail confidentiel - ne pas diffuser » n’a aucune valeur juridique. C’est le contenu du document qui vaut. D’ailleurs, étant donné que ce document t’as été communiqué, l’administration est tenue de le publier en ligne (Article L312-1-1 : « les administrations […] publient en ligne […] 1° Les documents qu’elles communiquent en application des procédures prévues au présent titre, ainsi que leurs versions mises à jour »

  2. Argument sempiternel, il est évidemment contestable. D’ailleurs, la CADA elle-même s’émeut que le secret de la sécurité des systèmes d’information soit aussi facilement invoqué. Là dessus, une saisie de la CADA éclaircirait ce point.

@sfermigier pour info il est maintenant possible de faire un recours TA sans attendre l’avis CADA (le délai est de 2 mois après la saisine). Mais l’avis CADA aide en général à la rédaction du recours.

Voici l’avis (négatif :frowning_face: ) de la CADA

(Bon pas possible d’attacher un fichier, voici l’essentiel):

En réponse à la demande qui lui a été adressée, le ministre des solidarités et de la santé a également informé la commission que la communication des codes sources produits et utilisés par la plateforme des données de santé « Health Data Hub » était susceptible de porter atteinte à la sécurité des systèmes d’information des informations prévue au d) du 2) de l’article L. 311-5 du 6 du code des relations entre le public et l’administration dès lors que cette plateforme est configurée selon le principe de « Infrastructure as code » ce qui signifie que la divulgation du code source revient à décrire techniquement l’ensemble des éléments déployés pour la sécurité et la gestion fonctionnelle de l’infrastructure. Ainsi une telle divulgation des codes sources aurait pour conséquence de rendre détectables les dysfonctionnements et vulnérabilités potentiels de la plateforme technologique et donnerait une vision précise des capacités de détection et de remédiation d’attaques de la plateforme technologique, facilitant les intrusions dans la plateforme et compromettant, en conséquence, l’efficacité des moyens déployés pour assurer la sécurité des données de santé.

La commission, qui prend acte de ces éléments, émet, en conséquence en l’état des informations en sa possession, un avis défavorable à la communication sur ce point de la demande.

Avis CADA (56,8 Ko)