CRCANR5L17S2026PO878304N006

— 1 —

La séance est ouverte à quatorze heures trente.

M. le président Philippe Latombe. Les données de santé représentent un immense potentiel d’informations pour la recherche, pour la prévention et pour la gestion des comptes sociaux. Cependant, elles constituent des données sensibles dont il est nécessaire de protéger la confidentialité. La plateforme des données de santé (PDS), ou Health Data Hub, son ancienne appellation, est au cœur de ces enjeux puisqu’elle vise à faciliter l’accès aux données, tout en en préservant la sécurité. C’est la raison pour laquelle notre commission d’enquête accueille son directeur par intérim, M. Laurent Vilbœuf.

Avant de vous entendre, monsieur Vilbœuf, je vous remercie de nous déclarer tout autre intérêt public ou privé de nature à influencer vos déclarations. Je rappelle que cette audition est ouverte à la presse et fait l’objet d’une retransmission vidéo en direct. L’article 6 de l’ordonnance du 17 novembre 1958 relative au fonctionnement des assemblées parlementaires impose aux personnes auditionnées par une commission de prêter le serment de dire la vérité, toute la vérité, rien que la vérité.

(M. Laurent Vilbœuf prête serment).

M. Laurent Vilbœuf, directeur par intérim de la plateforme des données de santé. Je vous remercie, monsieur le président, pour cette invitation qui me permettra de vous communiquer des informations actualisées sur la plateforme des données de santé, que je tiens à nommer ainsi, non seulement parce que la loi Toubon l’exige, mais aussi parce que cela facilite la compréhension du rôle de cet organisme. Cependant, le terme « Health Data Hub » subsiste dans le cadre de nos relations avec les autres pays, qui l’identifient sous ce nom.

La PDS se trouve dans une phase où, à la faveur d’une impulsion donnée par le ministre de la santé et de la mobilisation de ses équipes, elle connaît une évolution positive au regard des enjeux qui sont ceux de cette commission d’enquête. J’ai accepté une mission de direction de transition à la tête de ce groupement d’intérêt public (GIP), pour laquelle j’ai été nommé le 1er décembre 2025. Pour être plus précis, j’ai été nommé directeur suppléant par le conseil d’administration du GIP le 9 octobre, puisque la directrice générale précédente devait mettre fin à son détachement à compter du 30 novembre. J’ai ainsi assuré la direction de la PDS sans capacité d’engager juridiquement la structure du 16 octobre au 30 novembre, avant de devenir directeur de plein exercice du 1er décembre jusqu’au 14 avril, date de la fin de mon détachement, puisque je suis inspecteur général des affaires sociales. Il me semblait important de vous apporter ces précisions.

La lettre de mission qui m’a été adressée le 6 novembre par le président du conseil d’administration de la PDS repose sur cinq piliers.

Premièrement, il m’appartient d’assurer le bon déroulement des chantiers prioritaires, parmi lesquels la solution dite intercalaire, conformément aux orientations des pouvoirs publics, et notamment à la stratégie nationale pour l’intelligence artificielle et les données de santé annoncée le 12 novembre 2025.

Deuxièmement, je dois suivre l’ensemble des chantiers nationaux et internationaux en cours, en l’occurrence les travaux de préfiguration de l’espace européen des données de santé (EEDS), sous la conduite du ministère de la santé et auxquels la PDS a été associée en tant qu’acteur sachant. Ces travaux ouvrent à la PDS la possibilité, encore hypothétique à ce jour et soumise à une décision politique, d’obtenir le statut d’organisme responsable de l’accès aux données de santé (Orad).

Troisièmement, la lettre de mission attend du directeur par intérim de la PDS qu’il veille au bon fonctionnement de cette structure, qui dispose d’un conseil d’administration et d’une assemblée générale composée de 56 membres réunissant une grande partie de l’écosystème impliqué dans l’utilisation secondaire des données de santé.

Quatrièmement, ma responsabilité porte également sur le dialogue social interne, et inclut la présidence du comité social et économique (CSE), puisqu’il s’agit d’une structure de plus de cinquante salariés. La PDS a grandi très vite, passant en quelques années d’une sorte de « start-up publique », si j’ose dire, à un GIP plus structuré, employant 110 personnes, ce qui fait naître un enjeu en termes de management des ressources humaines et de dialogue social. La PDS, en outre, a la particularité d’être un groupement d’intérêt public fonctionnant avec une comptabilité privée et des salariés de droit privé.

Cinquièmement, j’ai pour mission de réarrimer en quelque sorte la PDS à l’écosystème de la santé, c’est-à-dire de renouer des contacts avec l’ensemble des partenaires du monde hospitalier, du monde de la recherche, et du monde institutionnel. Depuis mon arrivée à la PDS, j’ai ainsi rencontré une trentaine d’acteurs de l’écosystème, et renoué des liens avec des institutions telles que l’Assistance publique-Hôpitaux de Paris (AP-HP), l’Institut national de la santé et de la recherche médicale (Inserm) ou encore l’Institut national de recherche en sciences et technologies du numérique (Inria).

La PDS a pour origine le rapport sur l’intelligence artificielle et les données de santé, présenté en 2019 par le député Cédric Villani et le sénateur Gérard Longuet, qui mettait en évidence la difficulté éprouvée par les chercheurs à accéder aux données de santé. Sa vocation est donc la mobilisation des données de santé à des fins de recherche, qui requiert une facilité d’accès à de grands volumes de données de qualité standardisée.

La PDS a été créée par la loi du 24 juillet 2019 relative à l’organisation et à la transformation du système de santé. Elle doit remplir cinq missions : faciliter l’accès aux données de santé en proposant un accompagnement juridique et technique aux projets de recherche ; contribuer à l’animation de cet écosystème, notamment en lançant des appels à projets ; valoriser les données de santé à l’échelle nationale et à l’échelle européenne ; favoriser l’accès des citoyens aux données de santé, à travers une direction citoyenne qui travaille en permanence avec des acteurs tels que le réseau France Assos Santé ; rendre accessibles des bases de données volontaires de référence, via une infrastructure solide et une technologie renforcée.

Je tiens à préciser que la PDS n’est pas à l’arrêt, comme on a pu l’entendre. Au contraire, j’ai pu constater, depuis mon arrivée, que son activité est intense. Nous accompagnons par exemple environ 250 projets de recherche, depuis leur conception jusqu’à la mise à disposition des données de santé. Une trentaine de projets finalisés ont déjà produit des avancées. Je pourrais vous adresser, si vous le souhaitez, d’autres chiffres qui témoignent de cette forte activité.

Cependant, la PDS se heurte à certaines difficultés. Il convient d’abord de rappeler qu’il s’agit d’une structure relativement récente, qui lors de sa création constituait un projet inédit ne bénéficiant pas de références solides et d’éléments de comparaison historique. Elle a été par ailleurs tributaire de sa dépendance à un cadre réglementaire très exigeant, mais indispensable, qui a contribué à ralentir sa progression. En outre, son démarrage a été contrarié par la crise sanitaire, et le recours initial à un hébergement cloud Microsoft Azure l’a rapidement handicapée en raison de l’inquiétude engendrée par ce choix. Compte tenu de ces différents éléments, les délais d’accès aux données restent encore excessifs, en dépit de nos efforts.

Je vais naturellement m’arrêter sur cette question de l’hébergement, qui est au cœur des préoccupations de votre commission d’enquête. La migration vers une solution dite cible, consistant à héberger au sein de la plateforme non seulement la base principale des données de santé, dont nous partageons la responsabilité avec la Caisse nationale de l’assurance maladie (Cnam), mais aussi le traitement, l’analyse et la mise à disposition de ces données dans des bulles sécurisées pour les porteurs de projets, est un sujet quasiment consubstantiel à la PDS depuis sa création. Les alertes ont été lancées très tôt, et des réflexions sur la stratégie de migration et la réversibilité ont été initiées dès 2020.

La stratégie interministérielle de novembre 2023, dans le prolongement du rapport « Fédérer les acteurs de l’écosystème pour libérer l’utilisation secondaire des données de santé », dit rapport Marchand-Arvier, prévoyait une solution intercalaire, à savoir la réplication de la base de données de la Cnam sur une base Oracle au sein de la PDS. Un marché négocié avait été lancé, mais nous l’avons interrompu. En effet, la Dinum nous a interpellés à propos des possibilités de l’informatique en nuage, et une analyse approfondie nous a permis de conclure qu’il était possible de procéder à une migration vers une solution cible dans des délais similaires et pour des coûts plus raisonnables.

Le 9 février dernier, nous avons publié une expression de besoins sur la plateforme d’achat public spécialisée sur le cloud, opérée par l’Union des groupements d’achats publics (Ugap) et la direction interministérielle du numérique (Dinum). Ce marché à procédure d’aide au choix a été lancé, et nous avons laissé jusqu’au 9 mars aux fournisseurs de services de cloud pour soumettre leurs offres. Nous avons reçu ces offres et nous sommes en train de les analyser dans le respect des procédures propres aux marchés publics, en garantissant une égalité de traitement maximale. Nous sommes très attentifs à éviter toute fuite, aussi, pour garantir la sérénité des débats, je vous propose de vous transmettre par écrit la liste des fournisseurs, afin d’éviter une diffusion qui pourrait altérer le processus. Nous pensons être en mesure d’annoncer notre choix d’un fournisseur vers la mi-avril, avec pour perspective de procéder à la migration fin 2026 ou début 2027, et de commencer les premières extractions ensuite.

Aujourd’hui, j’estime que la PDS se trouve sur la bonne voie. Nous avons opéré un choix fort, qui répond à un enjeu exprimé par la ministre de la santé dans son communiqué de presse du 6 février, et qui se situe à la fois dans l’esprit et dans les intentions de l’article 31 de la loi n° 2024-449 du 21 mai 2024 visant à sécuriser et à réguler l’espace numérique, dite loi Sren, afin de nous protéger contre les risques de l’atteinte liée aux lois extraterritoriales et aux pressions exogènes de toute nature.

M. le président Philippe Latombe. Je vous remercie, monsieur Vilbœuf, et avant de céder la parole au rapporteur, j’aimerais savoir – et là je m’adresse à vous en tant que directeur par intérim –, dans quelle situation vous avez trouvé la PDS à votre arrivée, laquelle est intervenue après un rapport de l’Inspection générale des affaires sociales (Igas), dont vous êtes vous-même issu. Où en étaient les discussions ou les relations de la PDS avec ses partenaires français et européens, qu’il s’agisse des chercheurs ou des partenaires institutionnels tels que la Commission nationale de l’informatique et des libertés (Cnil), l’Agence du numérique en santé (ANS) ou la Cnam ?

Sur le plan technique, dans quel état se trouvait la PDS ? La réversibilité annoncée par les ministres de la santé et du numérique avait-elle été anticipée ? Comment la loi Sren et son article 31 avaient été intégrés en dépit de l’absence du décret d’application ? Dans quel état se trouvent les relations internes et le niveau de technicité des équipes ? Sont-elles en mesure de procéder à la réversibilité à l’échéance, très brève, de huit mois ?

M. Laurent Vilbœuf. Je m’efforcerai de vous livrer l’appréciation la plus juste possible, n’étant actif dans cette structure que depuis cinq mois. L’écosystème des données de santé est particulièrement complexe. Le système national des données de santé est un trésor national, certes, mais les données de santé sont aussi un trésor pour ceux qui les détiennent, notamment les entrepôts de données de santé. Aussi, tous les partenariats doivent être construits dans une logique de transparence et de redevabilité des données. Alors que le débat autour de l’hébergement chez Microsoft Azure avait assurément nuit à la qualité du dialogue avec nos partenaires, nous avons su renouer des contacts très positifs avec l’ensemble des acteurs, en nous montrant disposés à trouver des articulations dans le respect du rôle de chacun, tant avec nos partenaires hospitaliers des entrepôts de données de santé, qui sont regroupés dans un organisme fédéral, qu’avec le monde de la recherche.

Sur le plan technique, la PDS peut compter sur des professionnels d’un excellent niveau. Sur les 110 personnes qu’emploie la structure, une trentaine de développeurs travaillent sur l’infrastructure, et 18 sur la gestion des données. Notre équipe est donc très solide, mais nous éprouvons certaines difficultés à en fidéliser les membres : ces techniciens sont jeunes, talentueux, et naturellement ils ne sont pas insensibles aux offres du marché de l’emploi.

La réversibilité a été anticipée dès 2020, et ne devrait pas entraîner de surcoût. En effet, le cloud est comparable à l’électricité : hormis le coût de l’abonnement, on paie ce que l’on consomme. Dès lors que l’on quitte le cloud, on cesse de consommer. Nous avons un engagement jusqu’en octobre 2026, mais si notre consommation décroît progressivement en sortant de Microsoft Azure, nous n’aurons pas de coût de réversibilité à proprement parler.

Quant à la loi Sren, j’ai constaté lors de mon arrivée que ce sujet était omniprésent dans l’esprit de l’équipe, et fortement poussé par le ministère de la santé. Le fait de sortir de la solution intercalaire pour aller vers un fournisseur de cloud souverain nous place dans une situation favorable pour respecter la loi Sren. C’est un point déterminant pour nous.

Enfin, s’agissant des relations sociales, j’ai trouvé à mon arrivée une équipe mobilisée. Je pense simplement que l’on ne peut pas passer d’une équipe de 10 ou 15 personnes à une équipe de 110 personnes sans changer profondément de mode de management. Le management collectif qui avait été adopté n’était peut-être plus adapté. Il fallait de la transparence sur les objectifs, de la délégation, de la confiance dans les équipes de direction intermédiaire et de la clarté dans les choix. Se montrer vigilant, par exemple, sur la manière dont on accompagne les jeunes collaborateurs qui intègrent la structure. J’ai donc souhaité que l’on responsabilise à tous les niveaux pour garantir un bon accompagnement.

Il a fallu rassurer et restaurer la confiance à tous les étages, ce qui n’exclut pas l’exigence. Cela passe par des séances de CSE qui ne sont pas expédiées en une heure, mais qui, le temps d’un après-midi, permettent un véritable échange et une réelle transparence. Pour donner un exemple, nous coconstruisons actuellement avec les représentants du personnel, et sur la base des besoins exprimés par les salariés, un cahier des charges pour faire appel à un cabinet qui fournira un appui psychologique confidentiel aux salariés qui le souhaitent. Aujourd’hui, je trouve que les relations sociales sont d’excellente qualité.

Mme Cyrielle Chatelain, rapporteure. Monsieur Vilbœuf, pourriez-vous revenir plus précisément sur le modèle économique de la PDS, ses ressources et ses dépenses ? Confirmez-vous l’analyse de la Cour des comptes, qui a estimé que les obstacles liés à l’hébergement par Microsoft Azure avaient généré un impact financier important ? La Cour des comptes évoque un retour sur investissement attendu de 54 millions d’euros, qui ne s’élèverait en réalité qu’à 500 000 euros. Quels sont, selon vous, les éléments qui expliquent cet écart entre les résultats attendus et les résultats constatés ?

M. Laurent Vilbœuf. La PDS bénéficie de quatre sources de financement. La première et principale ressource est un financement assuré par l’assurance maladie, dans le cadre de l’objectif national de dépenses d’assurance maladie (Ondam). Cette ressource est vitale pour notre GIP. Elle a fortement varié au fil des années : 12,61 millions d’euros en 2023, 29,61 millions d’euros en 2024, 20,61 millions d’euros prévus en 2025 et 12,61 millions d’euros en 2026. Nous savons que l’Ondam est une source de financement précieuse mais très sollicitée, et qu’elle se trouve sous contrainte.

Notre deuxième ressource est le fonds pour la transformation de l’action publique (FTAP), qui a été sollicité au lancement du projet. Vous l’avez indiqué, madame la rapporteure, le rapport de la Cour des comptes pointe une sorte de gabegie, et un retour sur investissement extrêmement faible. En réalité, et je tiens à le souligner, nous avions fourni des chiffres très différents sur ce retour sur investissement. Je m’en étais d’ailleurs ouvert à la direction interministérielle pour la transformation de l’action publique (DITP). J’ajoute que calculer le retour sur investissement de l’utilisation secondaire des données de santé est un exercice assez périlleux. Il est en effet particulièrement difficile de démontrer que telle ou telle étude, s’appuyant sur cette utilisation secondaire des données de santé, a permis d’éviter des traitements ou d’épargner des vies. Nous avons fait savoir à la DITP que nous aurions souhaité des indicateurs plus précis.

La troisième source de financement de la PDS, qui est d’une bien moindre ampleur, est la contribution des membres du GIP, qui s’élève à environ 850 000 euros par an. Enfin, la quatrième ressource est constituée de financements liés à des projets, notamment en provenance de l’Union européenne. En 2025, le total de ces financements s’élevait à 1,826 million d’euros.

Vous le voyez, le GIP reste très dépendant de l’Ondam, ce qui constitue un sujet de préoccupation. La masse salariale de la PDS est d’environ 13 millions d’euros. Face à la baisse des dotations, nous avons pu faire appel à des réserves constituées grâce à une sous-exécution vertueuse les années passées, due à des économies sur l’achat de licences et de services de cloud. La question d’autres financements, par exemple des redevances versées par les utilisateurs, pourrait être examinée dans le cadre de l’espace européen des données de santé, même si nous manquons de visibilité à cet égard. Je cherche à savoir si d’autres financements sont possibles, par exemple du côté de France 2030, pour appuyer le projet de sortie de Microsoft Azure.

Mme Cyrielle Chatelain, rapporteure. Dans votre analyse, vous avez évoqué les difficultés liées à l’hébergement sur Microsoft Azure. Le débat public et une forme de défiance vis-à-vis de cet outil ont-ils constitué un obstacle ? Ma seconde question, toujours sur l’aspect économique, porte sur le coût global qu’a représenté l’hébergement par Microsoft Azure, en incluant l’abonnement, l’utilisation du cloud, la maintenance et les éventuels services additionnels.

M. le président Philippe Latombe. Permettez-moi, madame la rapporteure, d’ajouter une question à votre question, et d’interroger M. Vilbœuf sur les prestations des cabinets de conseil ayant participé à l’élaboration de la PDS. À combien s’est élevé le coût de cet accompagnement stratégique ? De quel type d’entreprises de services du numérique (ESN) s’agissait-il ? Ont-elles joué un rôle au-delà du simple conseil pour devenir prescripteur, voire davantage ?

M. Laurent Vilbœuf. Le coût du recours à Microsoft Azure sur l’ensemble de la période, de 2019 à février 2026, s’élève à environ 10,5 millions d’euros hors taxes. Au démarrage, en 2019-2020, ce coût était pris en charge par la direction de la recherche, des études, de l’évaluation et des statistiques (Drees), avant qu’une convention ne transfère les engagements à la PDS.

Concernant les cabinets de conseil, il s’agissait essentiellement de Capgemini. Le coût global de l’accompagnement par ces cabinets sur l’ensemble du processus s’élève approximativement à 10 millions d’euros. Ces cabinets ont fourni un appui à la conception et à l’organisation, sous les instructions de la PDS. Les consultants, essentiellement ceux de Capgemini, étaient intégrés aux équipes pour aider à la construction et au pilotage, à l’élaboration des tableaux de bord et à la préparation des réunions. Au début, les cabinets ont été fortement sollicités pour la construction de la plateforme elle-même, dépêchant sur place jusqu’à dix personnes par mois. Aujourd’hui, le recours aux consultants est minime, avec un taux journalier moyen de 0,6 personne. Je souhaite d’ailleurs contenir ce taux, car nous avons atteint une maturité suffisante pour nous le permettre. Je distingue ces consultants des prestataires techniques, qui travaillent au développement au sein des équipes. Les consultants ont travaillé sous l’autorité des cadres de la PDS et ont contribué à la coproduction de documents.

M. le président Philippe Latombe. Vous faites allusion aux documents estampillés Health Data Hub à l’époque et qui, en réalité, étaient produits par Capgemini, comme le prouvaient les notes en bas de page…

M. Laurent Vilbœuf. Ils les coproduisaient, pour être plus précis.

M. le président Philippe Latombe. Ils les coproduisaient, dont acte. Mais êtes-vous en mesure de nous dire si Capgemini a également participé à la décision initiale de recourir aux services de Microsoft Azure ?

M. Laurent Vilbœuf. Je n’ai pas de visibilité sur ce qui s’est passé avant 2020. À partir de cette date, c’est-à-dire après le transfert des documents de la Drees à la PDS, j’ai pu consulter des bons de commande à Capgemini pour des appuis au pilotage, à l’élaboration de tableaux de bord ou à l’infrastructure technique. Capgemini se trouvait donc en permanence dans un rôle d’appui. L’anecdote du diaporama avec un sigle Capgemini en bas de page s’explique par cette coproduction, ce travail en commun. À partir du moment où la PDS a récupéré le marché antérieur et le prototype qui avait été lancé avec Microsoft Azure, j’ai pu voir que des équipes de consultants, assez importantes, étaient certes présentes, mais intégrées au sein des équipes de la plateforme pour aider au pilotage. Je vous livre ce que j’ai été en mesure de constater, mais je continue à approfondir le sujet pour répondre à certaines interpellations qui me sont faites.

Mme Cyrielle Chatelain, rapporteure. Pour poursuivre sur Capgemini, les paiements effectués à Capgemini incluent-ils la mission de Project Management Officer (PMO) qu’un de leurs consultants a assurée, comme l’a indiqué votre prédécesseure devant la commission d’enquête du Sénat ? Ce rôle, qui consiste à coordonner le chantier et à formaliser les exigences, ne relève-t-il pas déjà de la prise de décision, et non plus seulement de l’appui et de la coconstruction ?

Par ailleurs, alors que nous sommes en période de transition, que ce soit pour le projet intercalaire abandonné ou pour le nouveau marché, est-ce que Capgemini ou une autre entreprise de conseil intervient à un titre ou à un autre ?

M. Laurent Vilbœuf. Sur la solution intercalaire, qui portait sur la réplication de la base de la Cnam avec une technologie Oracle et non Microsoft Azure, il y a eu effectivement l’appui d’un consultant de Capgemini, mais limité à un accompagnement de l’exécution.

Aujourd’hui, sur la solution dite cible, le travail est mené par les seules équipes de la PDS. Comme le prévoyait la stratégie nationale pour l’intelligence artificielle et les données de santé, nous avons bénéficié de l’aide de la sphère publique : l’Inria, la Dinum et la délégation du numérique en santé (DNS) nous ont appuyés pour préparer ce marché Ugap avec procédure d’aide au choix. Capgemini n’est jamais intervenu. Compte tenu du niveau de compétences techniques en interne et de l’appui de l’écosystème public, je suis très rassuré et satisfait du travail qui a été mené et, comme je l’ai indiqué, la présence des consultants a été considérablement réduite.

M. le président Philippe Latombe. Puisque vous évoquez l’appui de l’écosystème public, j’aimerais revenir sur l’épisode de l’appel à projets de 2024, pour lequel Microsoft a été retenu. Ce choix se fondait sur une étude menée par la Dinum, la DNS et la PDS. Les auteurs de cette étude, qui a fait l’objet de nombreux recours au Conseil d’État, expliquaient qu’aucun fournisseur de cloud français n’était en mesure de répondre à la demande spécifique de la PDS, désignant même AWS et Azure comme les seules options possibles, faute de concurrence crédible parmi les acteurs européens.

Que pensez-vous de cette étude ? A-t-elle été, selon vous, conduite de manière objective ? Il est permis de s’interroger à ce sujet, puisqu’un an et demi plus tard, vous décidez de basculer sur une solution totalement souveraine, sans même passer par la phase intercalaire de réplication sous Oracle. Qu’est-ce qui a changé dans l’écosystème ou dans les spécifications que vous demandiez à l’époque, au point de vous conduire à changer radicalement de solution ? Il me semble pourtant que les questions étaient les mêmes, en particulier celle de la certification SecNumCloud, que ni AWS ni Azure ne possèdent. N’y avait-il pas à l’époque des spécifications mises en avant, dont vous n’avez finalement pas besoin, ce qui justifie aujourd’hui, outre l’aspect réglementaire, de privilégier une solution cible souveraine ?

M. Laurent Vilbœuf. Je m’efforcerai de vous répondre le plus précisément possible, mais dans la mesure où je suis arrivé après cette bataille, je le ferai en me fondant sur ma compréhension du dossier.

Plusieurs études de marché ont été menées depuis 2019, et elles semblaient démontrer à chaque fois que les fournisseurs de services de cloud n’étaient pas prêts à assumer toutes les fonctionnalités requises par la plateforme, ni à satisfaire les exigences de sécurité liées à notre statut d’hébergeur de données de santé (HDS) et à notre homologation pour le système national des données de santé (SNDS), par exemple la double réversibilité ou la double pseudonymisation.

Or le marché du cloud évolue de manière extrêmement rapide. Fin 2023, lorsque la Dinum nous a interpellés en nous demandant si nous avions bien réévalué la maturité du marché des fournisseurs de cloud, il est en effet apparu que la situation était sensiblement différente. Il était devenu possible de relever le défi d’aller directement à la solution cible, compte tenu de la maturité accrue des fournisseurs, capables de mieux répondre à nos besoins en matière de sécurité contre les attaques, mais aussi aux enjeux de souveraineté.

Par ailleurs, en examinant l’ensemble des délais d’homologation et de certification, nous avons constaté que la solution intercalaire, qui ne concernait que l’hébergement, nous amenait à mai 2027. Or, en nous lançant sur ce marché Ugap à procédure d’aide au choix, qui permet de sélectionner des acteurs déjà référencés, nous pouvions opérer la migration vers la solution cible et commencer les premières mises à disposition dans des délais similaires.

Enfin, concernant la manière dont les études de marché ont été conduites, je ne suis pas en mesure de vous apporter une réponse dans l’immédiat, mais je m’engage à revenir vers vous sur ce point.

M. le président Philippe Latombe. Si je vous ai posé cette question, c’est parce qu’il semble que les fournisseurs de cloud français interrogés à l’époque n’ont pas eu à répondre exactement aux mêmes questions que les fournisseurs américains. La question sous-jacente est de savoir si cette étude était objective ou si elle visait simplement à justifier le choix d’Azure. Azure a-t-il réussi, par sa présence, à verrouiller en quelque sorte le système de la PDS, au point de rendre la réversibilité délicate ? S’interroger sur de tels mécanismes, c’est la raison d’être de cette commission d’enquête, et c’est la raison pour laquelle nous avons souhaité vous auditionner. Le gouvernement avait promis au Parlement que la migration aurait lieu dans les 18 mois. Cette migration interviendra finalement fin 2026, soit plus de trois ans après la fin de la promesse.

Mme Cyrielle Chatelain, rapporteure. La Cnil, dès le lancement de la plateforme, avait souligné le risque de soumission à des lois extraterritoriales, inhérent au choix de Microsoft Azure. Confirmez-vous que ce risque, même minime, existe tant que la plateforme est gérée par Microsoft Azure ?

M. Laurent Vilbœuf. D’après mes lectures, et notamment les décisions du Conseil d’État, le risque est jugé très faible compte tenu des conditions de sécurité imposées. Bien qu’il ne puisse être totalement écarté, le risque pour la confidentialité des informations détenues sur la plateforme est contenu par des mesures de sécurité très solides. Premièrement, la double pseudonymisation : en cohérence avec le référentiel du SNDS, toute donnée qui entre sur la plateforme est pseudonymisée selon un mécanisme qui rend quasiment irréversible le retour aux données de base. Deuxièmement, le chiffrement : les données stockées sont chiffrées, de même que tous les flux entre les bulles sécurisées des projets et le cœur de la plateforme. Troisièmement, la segmentation des droits d’opération : la plateforme est uniquement gérée par des salariés de la PDS aux rôles définis et cloisonnés.

Nous proposons également une gestion sécurisée des comptes avec une authentification forte. La plateforme met ainsi à disposition des porteurs de projets un espace de travail sécurisé qui ne leur appartient pas. Ils peuvent y travailler mais ne sont pas autorisés à en extraire les données. Si des données sortent de la plateforme, elles sont anonymisées, ce qui rompt tout lien et supprime le risque. Enfin, nous sommes en mesure d’effectuer une analyse des journaux d’activité, nous disposons de briques de sécurité indépendantes, nous respectons l’exigence d’hébergement dans l’Union européenne, et nous avons mis en place une fonctionnalité qui permet à la plateforme de refuser aux ingénieurs de Microsoft tout accès aux données. Ces différents éléments de sécurité expliquent sans doute l’évaluation du Conseil d’État sur la faiblesse du risque.

Il n’en demeure pas moins que le sujet de la souveraineté et du risque de dépendance subsiste. Je pense notamment à l’arrêt d’urgence des mises à jour, le kill switch. Dans ce cas, les premières mises à jour qui disparaitraient seraient celles relatives aux mesures de sécurité. C’est un véritable sujet, d’où notre volonté d’avancer fortement sur la migration.

Mme Cyrielle Chatelain, rapporteure. Il me semble qu’il existe deux dangers majeurs. Le premier est celui de la réidentification des personnes, et vous avez démontré que ce risque est très faible. Le second danger concerne la valeur de la donnée elle-même. La donnée est un trésor, notamment pour les grandes entreprises qui ont besoin de masses de données pour entraîner leurs algorithmes, à une époque où l’intelligence artificielle est en plein développement. On peut imaginer l’attrait d’une base de données de santé massive et de qualité. C’est peut-être sur cette masse que le risque est le plus fort. Vous avez mentionné que les données étaient chiffrées. Savez-vous si elles le sont également pendant le traitement ?

M. Laurent Vilbœuf. Je ne suis pas en mesure de rentrer dans une discussion trop technique sur ce point. Ce que je peux vous dire, c’est que la plateforme met à la disposition des chercheurs des données pseudonymisées, éventuellement appariées avec la base principale, dans un espace sécurisé qui appartient à la plateforme. Il y a un équilibre à trouver entre les exigences de sécurité et l’exploitabilité des données par le chercheur. Les données se trouvent dans un espace totalement sécurisé, et tout ce qui sort de la plateforme est de toute façon anonymisé. Je vérifierai la question spécifique du chiffrement pendant le traitement, car je ne suis pas en mesure d’y répondre aujourd’hui, et si vous le souhaitez je vous transmettrai une réponse par écrit.

J’ajoute que le porteur de projet peut toujours décider de ne pas utiliser l’espace sécurisé mis à sa disposition et d’opérer sur son propre système sécurisé, mais il le fait alors sous sa propre responsabilité. En tout cas, l’équipe de la PDS a atteint un haut niveau de technicité sur ces sujets, avec pour obsession de maintenir une absolue confidentialité et d’éviter toute fuite de données.

Mme Cyrielle Chatelain, rapporteure. Je serais en effet intéressée par une réponse de vos équipes sur la question des capacités de chiffrement. J’aimerais savoir également si ces données sont chiffrées lorsque Microsoft Azure les traite.

De la même manière, savez-vous si le contrat qui vous lie à Microsoft Azure garantit une transparence sur le code de la plateforme ? Autrement dit, vos équipes ont-elles accès au code source et aux codes des mises à jour ?

M. Laurent Vilbœuf. Je vérifierai ce point, mais j’insiste sur le fait que les données appartiennent à la plateforme et non à Microsoft.

Mme Cyrielle Chatelain, rapporteure. J’en viens à présent à la question de la migration. Vous évoquez un premier risque, qui est celui de la capacité de protection des données auprès d’un opérateur étranger qui, soumis à des lois extracommunautaires, pourrait transmettre ces données. Si un risque de transmission existe, cela implique un risque d’accès. Vous avez abordé un second sujet, celui du kill switch, lié aux mises à jour, qui relève d’une dépendance matérielle d’un autre ordre.

Je sais que, dans le cadre de la migration, vous envisagez de recourir à des opérateurs souverains disposant de la certification SecNumCloud. Cependant, nous voyons apparaître des opérateurs tels que Bleu Cloud et S3NS, qui sont souverains dans leur entité et leur financement, mais qui utilisent des technologies américaines, et pour cette raison ne prémunissent pas contre le risque de kill switch. Selon vous, ce type d’opérateur apporterait-il un niveau de garantie suffisant en matière d’indépendance technologique ?

M. Laurent Vilbœuf. Vous posez là, madame la rapporteure, une question centrale. Cependant, je dois être prudent au sujet du marché qui est en cours. Avec votre permission, je vous adresserai l’expression de besoins, qui vous éclairera précisément sur ce que nous avons demandé.

M. le président Philippe Latombe. J’en profite, puisque nous évoquons ce sujet, pour vous interroger sur le recours à l’Ugap. Vous aviez utilisé un marché négocié pour la solution intermédiaire, et vous passez désormais par l’Ugap. Nous pouvons comprendre que cette solution soit plus rapide et plus simple. En revanche, elle pose la question du coût. Le référencement des produits à l’Ugap et le recours à ses services impliquent des frais : une partie est versée à l’entreprise qui assure le référencement dans le marché du cloud – actuellement, il s’agit de Crayon – et s’y ajoutent les frais de gestion de l’Ugap. Cela représente un pourcentage non négligeable, que la commission sénatoriale a estimé aux alentours de 30 %.

Pourquoi avoir choisi ce schéma, sachant qu’il allait possiblement générer des coûts supplémentaires ? Quels en étaient les avantages selon vous, et quels écueils permettait-il d’éviter ? Enfin, ce recours garantit-il un choix totalement objectif de votre part, sans intervention d’un prestataire comme Crayon, ou de l’Ugap elle-même, qui gère ensuite la contractualisation ?

M. Laurent Vilbœuf. Outre la sécurité qu’apporte le concours de la Direction des achats de l’État et de la Dinum, le choix de l’Ugap est une réponse à un enjeu de rapidité. Vous l’avez vous-même rappelé, monsieur le président, la migration a pris beaucoup de retard. Au moment de la remise du rapport Marchand-Arvier, en décembre 2023, le calendrier prévoyait le lancement du marché intercalaire en juillet 2025, pour une réponse en août 2025 et une perspective qui nous menait jusqu’à mai 2027. En clair, il fallait accélérer le mouvement.

Par le passé, la PDS s’est vue reprocher – et je perçois ce reproche implicite dans vos propos, monsieur le président – de ne pas se donner suffisamment de choix. On peut contester le choix du marché Ugap, mais il faut reconnaître qu’il offre davantage d’options. En outre, il permet de référencer des fournisseurs de cloud capables de répondre à notre expression de besoins. À l’issue d’une analyse rigoureuse de la commission des marchés de la PDS, celle-ci sera en mesure de choisir le ou les prestataires répondant au mieux à ses besoins, sur la base d’une analyse objective.

Il est vrai qu’il ne s’agit pas d’un marché négocié, comme celui de la solution intercalaire, mais le marché Ugap est une procédure qui conjugue la rapidité et une faculté de choix la plus objective possible, dans le respect des qualités de traitement des fournisseurs qui ont répondu. Nous avons émis notre expression de besoins auprès de l’Ugap le 9 février, et le délai de réponse était fixé au 9 mars. Comme je vous l’ai dit, plusieurs fournisseurs ont répondu, et nous mènerons les auditions du 26 au 31 mars. L’idée est de choisir le ou les fournisseurs qui répondront à l’impératif de protection contre les lois extraterritoriales.

M. le président Philippe Latombe. D’après votre projection financière, le surcoût lié au passage par l’Ugap est-il justifié et absorbable par la PDS ?

M. Laurent Vilbœuf. Ce surcoût est justifié par l’offre qui nous est proposée, la liberté de choix et la rapidité de la prestation. La Cour des comptes nous avait reproché de nous enfermer à chaque fois dans un tunnel, en ne nous laissant pas assez d’options, par exemple en n’examinant pas la solution potentiellement offerte par le centre d’accès sécurisé aux données (CASD). Désormais, nous avons la possibilité d’examiner de manière véritablement impartiale les candidatures des fournisseurs de cloud.

Mme Cyrielle Chatelain, rapporteure. L’Union européenne a proposé un règlement omnibus numérique qui prévoit notamment des modifications dans la définition des données personnelles. Quelle est votre analyse sur le champ d’application de cet omnibus ? Pourrait-il avoir un impact sur la PDS et sur le niveau de protection des données ? Il est notamment question de l’accès à des données pseudonymisées destiné à favoriser l’entraînement des modèles d’intelligence artificielle. Cela vous semble-t-il compatible avec le niveau d’exigence de la PDS en matière de sécurité ?

M. Laurent Vilbœuf. Nous portons naturellement une grande attention à ces évolutions règlementaires, qui nous concernent au premier chef en tant qu’opérateur public. La finalité de ce texte européen est la simplification de l’accès aux données, ce qui est évidemment souhaitable. J’observe d’ailleurs qu’en France, tout ne passe pas par une autorisation de la Cnil, puisque les méthodes de référence qu’elle édicte permettent déjà des processus plus simples mais sécurisés.

L’omnibus numérique de l’Union européenne, dans sa partie relative aux données de santé, a pour objectif d’intégrer la jurisprudence de la Cour de justice de l’Union européenne sur la notion de donnée personnelle. Celle-ci deviendrait une notion relative, pouvant changer de nature lorsqu’elle passe d’un acteur à un autre. C’est un point sur lequel les pouvoirs publics et la Cnil porteront, je le suppose, une attention particulière. Il ne faudrait pas qu’une donnée perde son caractère personnel lorsqu’elle est transmise à une autre entité, car cela pourrait s’avérer préjudiciable pour les citoyens et redéfinir le périmètre d’application du règlement général sur la protection des données (RGPD). Nous devons être très vigilants sur ce sujet en France, et je sais que la Cnil l’est particulièrement. D’ailleurs, pour répondre à l’une de vos questions écrites, oui, les autorisations de la Cnil protègent bien les données, et la présence de cette institution est une garantie essentielle.

Le Comité européen de la protection des données (CEPD) a récemment fait part de sa préoccupation concernant cet omnibus numérique européen, estimant qu’il outrepasserait cette jurisprudence au nom de la recherche de simplification. Vous connaissez le positionnement de la PDS : en tant qu’opérateur public, nous sommes extrêmement vigilants sur la sécurité, et nous considérons que la jurisprudence, en ce qu’elle permet de fluidifier l’utilisation secondaire des données, doit s’inscrire dans le cadre du RGPD. C’est peut-être une approche naïve ou radicale, mais elle nous semble essentielle.

Mme Cyrielle Chatelain, rapporteure. Il importe en effet que l’omnibus numérique n’aille pas au-delà des objectifs qui lui sont assignés. L’écart entre simplification de l’accès et la perte de protection est parfois ténu.

La PDS, en tant qu’opérateur public, gère de nombreuses données de santé. Mais il existe des acteurs privés tels que Doctolib, qui en gèrent également un grand nombre. Aujourd’hui, l’exigence de la certification d’hébergeur de données de santé ne comporte pas, me semble-t-il, de critères de souveraineté. Serait-il pertinent, selon vous, d’aligner la certification HDS sur les exigences de souveraineté de la qualification SecNumCloud ? Je pense notamment au fait que ces données devraient être gérées par des entités non soumises à des lois extraterritoriales.

M. Laurent Vilbœuf. Il convient, à cet égard, de distinguer les enjeux de sécurité et de souveraineté, qui s’interpénètrent mais ne se recoupent pas entièrement. Les opérateurs privés tels que Doctolib font face aux mêmes contraintes et aux mêmes risques de sécurité que nous. Par conséquent, tout ce qui peut renforcer la sécurité de ces opérateurs est indispensable. On ne peut qu’être rassuré si, en amont, les règles de sécurité sont renforcées, et si ces opérateurs agissent dans le champ de la santé et des données de santé – notamment pour l’utilisation primaire, au service du soin pour les patients – dans un cadre sécurisé.

M. le président Philippe Latombe. Vous avez souligné dans votre présentation de la PDS qu’il s’agit d’un GIP de droit privé. Cela présente un avantage certain : vous vous affranchissez de la grille de salaire de la fonction publique, ce qui vous donne la possibilité d’attirer des talents et des compétences techniques particulières en les rémunérant au prix du marché. D’après ce que vous avez pu observer depuis votre nomination au poste de directeur par intérim, qui est intervenue, je le rappelle, après la publication du rapport de l’Igas, estimez-vous que le modèle du GIP de droit privé soit le plus pertinent pour la PDS ? Ou bien ce modèle, en éloignant le GIP de la gouvernance publique, crée-t-il un problème de gouvernance interne ? Cette question est sous-jacente aux différentes discussions sur la gouvernance de la PDS depuis sa création.

M. Laurent Vilbœuf. Sur cet aspect, plusieurs scénarios d’évolution sont possibles. Si, avec l’espace européen des données de santé, le GIP obtenait le statut d’organisme responsable de l’accès aux données – ce qui, je l’ai dit en début d’audition, n’est à ce stade qu’une hypothèse –, la question de la pertinence de son statut se poserait dans cet espace profondément reconfiguré. En effet, l’EEDS modifiera considérablement notre environnement. Les obligations de redevance et de transparence qui seront faites aux opérateurs réclameront des choix économiques appropriés au regard des coûts particulièrement élevés suscités par ces obligations. Il est par conséquent permis de s’interroger sur la pertinence du modèle du GIP, et sur son adaptation à ce nouveau rôle d’Orad régalien, qui pourrait inclure un pouvoir de sanction en articulation avec la Cnil. Les premières études semblent indiquer que ce serait possible.

Si l’on reste à périmètre constant, la gouvernance du GIP est-elle adaptée ? Faut-il la faire évoluer, et par exemple renforcer le conseil d’administration en y ajoutant un bureau, comme dans les associations, pour assurer une présence plus forte des décideurs qui orientent la politique du GIP ? Faut-il modifier la composition de la gouvernance en renforçant la place des acteurs de la recherche ? L’assemblée générale, avec ses cinquante-six membres, est-elle trop large ? Toutes ces questions méritent d’être approfondies.

Enfin, la comptabilité de la PDS, je l’ai dit, est une comptabilité privée, ce qui l’exempte du système d’autorisations d’engagement et de crédits de paiement que l’on trouve dans d’autres GIP. Il est permis là aussi de s’interroger sur la pertinence de ce modèle. Une comptabilité publique aurait pour avantage de permettre un cadencement comptable encore plus rigoureux, même si le suivi des dépenses de la PDS est déjà très strict, et s’effectue au jour le jour, peut-être justement grâce à la comptabilité privée. Faut-il passer complètement à un système de financement public avec des crédits publics, sur des lignes budgétaires et des budgets opérationnels de programme (BOP), comme dans d’autres GIP ? Là encore, la question est ouverte.

En conclusion, je dirais que la PDS, qui est un opérateur public et non une start-up, doit pouvoir compter sur une gouvernance plus présente. Je sais que le président actuel du GIP, Gérard Raymond, est très attentif à ces questions et mène une réflexion sur ces sujets avec le ministère de la santé.

M. le président Philippe Latombe. Je vous remercie, monsieur Vilbœuf, d’avoir répondu à nos questions. Je vous invite à transmettre à la commission d’enquête, par écrit, tout élément qu’il vous paraîtrait utile d’ajouter à cette audition.

La séance s’achève à quinze heures cinquante.

———

Membres présents ou excusés

Présents. – Mme Cyrielle Chatelain, M. Philippe Latombe, M. Hervé Saulignac