Dépendances numériques : fiasco du Health Data Hub et limites de SecNumCloud au menu de la commission d'enquête
Philippe Latombe (Dem) et Cyrielle Chatelain (EcoS) ont poursuivi cette semaine leurs auditions pour faire la généalogie des dépendances numériques françaises. Ils sont revenus sur le fiasco du Health Data Hub, les limites du label SecNumCloud et les nouvelles dépendances qui se créent avec les IA génératives. Morceaux choisis d'auditions particulièrement denses.
© Capture vidéo Assemblée nationale / Audition de Laurent Vilboeuf et de Soizic Pénicaud
La comission d'enquête sur les dépendances numériques de l'Assemblée nationale enchaîne auditions et tables rondes pour tenter de remonter aux origines des dépendances numériques subies par la France. Si d'autres choix de la part de l'État auraient pu contribuer à les réduire, comme l'a expliqué la semaine dernière Henri Verdier (voir notre article), ce sont surtout des dépendances structurelles qui émergent.
Le fiasco de la plateforme des données de santé
Peu utilisée, la plateforme de données de santé (ex-Health Data Hub) a coûté cher. C'est la première leçon à retenir de l'audition de son directeur transitoire. Très précisément 105,47 millions d'euros pour la plateforme technique, ce à quoi il faut ajouter 100 millions pour l'accompagnement par Cap Gemini. 200 millions à comparer aux 500.000 euros de retour sur investissement chiffré par la Cour des comptes quand on en attendait 54 millions… Si le directeur remet en cause ce calcul, il admet que la "défiance" autour de la plateforme basée sur Microsoft Azure n'aura pas aidé à ce qu'elle soit utilisée. Comment en est-on est arrivé là ? Les parlementaires ont déploré une "opacité" autour de la procédure de sélection, allant jusqu'à se demander si tous les candidats avaient eu le même questionnaire. Arrivé "après la bataille", l'administrateur n'a guère pu les aider. Après l'abandon de la solution intercalaire Oracle, une procédure a été lancée le 9 février via le marché Ugap Nuage public. Le directeur a indiqué que le choix du nouveau prestataire cloud est attendu "mi-avril", pour une migration opérationnelle "fin 2026, début 2027".
Un risque structurel avec Microsoft ?
La commission s'est aussi intéressée à des points techniques. Que se passerait-il, par exemple, si Microsoft décidait de priver des acteurs européens des mises à jour de ses solutions, celles-ci comblant généralement des failles de sécurité ? Le directeur de la plateforme des données de santé a concédé l'existence d'un "risque structurel", ne sachant dire combien de semaines ou de mois le système serait en mesure de fonctionner sans. Par ailleurs, le stockage des données doit être distingué des traitements algorithmiques proposés par les "clouders" : quand Azure fait tourner ses services de calcul, où s'exécutent-ils ? et les données sont-elles chiffrées à ce moment-là ? Un sujet très technique sur lequel le haut fonctionnaire s'est engagé à apporter une réponse écrite.
Invité à se prononcer sur les solutions cloud SecNumCloud adossées à des technologies américaines - offres Bleu (Microsoft/Orange/Capgemini) et S3NS (Google/Thales) -, il a botté en touche du fait de l'appel d'offres en cours. Il a en revanche demandé à ce que le décret de la loi Sren portant sur le respect des lois extraterritoriales soit publié rapidement.
Le surcoût de SecNumCloud en cause
Les magistrats de la Cour des comptes ont pour leur part donné leur analyse sur les dépendances des administrations aux hyperscalers américains. Il s'avère que le référentiel SecNumCloud (17 prestataires qualifiés à ce jour) impose un surcoût de 25 à 40% par rapport au cloud classique, de quoi refroidir les acheteurs publics en période budgétaire contrainte. Depuis la révision de la doctrine en 2023, reprise dans la loi Sren 2024, le recours obligatoire à SecNumCloud est conditionné à deux critères qui doivent être réunis simultanément : les données concernées doivent d'abord relever d'un secret protégé par la loi ; et leur divulgation doit ensuite être susceptible de porter atteinte à l'ordre public, à la sécurité, à la santé ou à la vie des personnes, ou à la propriété intellectuelle. C'est pour cette raison que le ministère de l'Éducation nationale a pu justifier le fait d'héberger son application RH (données de 1 million d'enseignants) hors SecNumCloud.
Cartographier les besoins
La Cour pointe également l'absence de toute doctrine interministérielle définissant ce qui relève ou non de SecNumCloud, et recommande un travail de cartographie piloté par la Dinum et l'Anssi. En outre, les magistrats estiment que les deux clouds interministériels Pi et Nubo (55 millions d'euros en 9 ans) restent sous-utilisés du fait d'une gamme de services trop limitée. Quant aux outils privés déployés dans la sphère publique — la Cour cite Pronote, utilisé dans la quasi-totalité des collèges et lycées — ils échappent à toute exigence SecNumCloud, même lorsqu'ils traitent des données sensibles. Enfin, les espoirs d'une harmonisation européenne sont douchés : le schéma de certification européen du cloud (EUCS), en cours d'élaboration, n'intégrera pas de critères de souveraineté, malgré la demande française.
La transparence des algorithmes à l'heure de ChatGPT
L'audition de Soizic Pénicaud, cofondatrice de l'Observatoire des algorithmes publics (Odap), a été l'occasion de soulever les nouveaux défis posés par l'IA générative. La situation pour les IA classiques (calcul, détection de fraude…) n'est déjà pas optimale : seulement 14 systèmes publics fournissent des informations budgétaires sur les 120 recensés. Surtout, les administrations ne documentent ni les prestataires impliqués (potentiellement extraeuropéens), ni les données d'entraînement utilisées, ni les évaluations d'impact. L'IA générative ajoute une couche d'opacité supplémentaire. "On considère que ce sont des systèmes qui vont améliorer le quotidien des agents, automatiser des tâches répétitives. Et que de toute façon, quelqu'un va vérifier derrière", souligne Soizic Pénicaud. Or, c'est sous-estimer les biais inhérents à ces systèmes, estime-t-elle. Des recherches conduites au Royaume-Uni sur des IA génératives utilisées dans le secteur social ont montré, par exemple, que les problèmes de santé des femmes étaient minorés dans les comptes rendus d'entretiens générés par l'IA. Ces modèles reposent très majoritairement sur des modèles de fondation extra-européens dont les données d'entraînement et le code sont inaccessibles aux chercheurs. Et obtenir la transparence d'un acteur non européen sur ces éléments reste aujourd'hui difficile faute de cadre juridique. Quant à la norme SecNumCloud, elle protège contre les lois extraterritoriales et les risques cyber, mais reste muette sur la couche algorithmique.
