Auteur(s) : France-Soir
Le choix de Microsoft pour héberger les données de santé des Français ne passe toujours pas. Des entreprises et des associations françaises ont déposé mardi 19 mars 2024 un recours devant le Conseil d’État, pour contester l’autorisation donnée par la Commission nationale de l’informatique et des libertés (CNIL) à la firme de Redmond. Il s’agit du second recours déposé auprès du Conseil d’Etat après celui de 2020. Les requérants ne voient pas d’un bon œil le stockage des données de santé des Français aux États-Unis, et encore moins les offrir en cadeau au renseignement américain.
Évoquée en 2018 dans le rapport sur l’intelligence artificielle du mathématicien Cédric Villani, la plateforme Health Data Hub a été officiellement lancée en décembre 2019 dans le cadre de la loi relative à la transformation du système de santé. L’objectif est de rendre les données françaises de santé “facilement exploitables pour la recherche médicale et les analyses poussées”. Le Health Data Hub (HDH) gère un entrepôt de données, EMC2, issu d’un appel à projets européen et créé dans le cadre d’un programme de recherche en pharmacovigilance de l’Agence européenne des médicaments.
La CNIL maintient Microsoft contre vents et marées
Cet entrepôt associe les données des patients de quatre grands hôpitaux français avec les données détenues par l’Assurance-maladie comme les remboursements de consultations et de soins ou encore les parcours hospitaliers. EMC2 doit « accueillir les données anonymisées de 300 000 à 500 000 patients de différents hôpitaux par an et les comparer avec leurs données issues du système national des données de santé, géré par l’Assurance-maladie, pour permettre la ‘réalisation de recherches, d’études et d’évaluations dans le domaine de la santé' », expliquait le site spécialisé acteurspublics.fr.
Le géant cofondé par Bill Gates a été impliqué dans la création de cette plateforme. Microsoft a choisi les technologies et sa sollicitation a été justifiée par le besoin de mettre rapidement en place le Health Data Hub ainsi que son hébergement. Les capacités françaises et européennes avaient été jugées insuffisantes à l’époque, ce qui a déclenché une première salve de critiques.
Des professionnels et des associations françaises ont rapidement réagi, saisissant le Conseil d’État pour empêcher l’hébergement des données de santé chez Microsoft. Les requérants ont exigé un appel d’offres en bonne et due forme, mais ont été déboutés. Le gouvernement s’était alors engagé à revoir cette décision et lancer un appel d’offres pour choisir l’hébergeur, d’autant plus que le contrat lié au HDH a fait l’objet d’une plainte déposée en 2021 auprès du Parquet national financier (PNF) par Anticor.
Fin décembre 2023, la CNIL autorise alors un projet d’entrepôt de données de santé pour la recherche qui sera hébergé par Microsoft pour une durée de 3 ans. Le maintien du géant informatique américain se justifie, selon la commission, par le fait que les solutions proposées par les autres fournisseurs de stockage en ligne ne répondaient pas aux exigences. En outre, solliciter un autre acteur pour créer une alternative au Health Data Hub compromettrait les relations françaises avec l’Agence européenne des médicaments, à l’origine de ce projet.
La CNIL va même jusqu’à « regretter » dans sa décision « que la stratégie mise en place pour favoriser l’accès des chercheurs aux données de santé n’ait pas fourni l’occasion de stimuler une offre européenne à même de répondre à ce besoin ».
Les réactions se sont vite enchaînées. L’hébergeur OVH a regretté que « les solutions alternatives et transitoires proposées pour se conformer aux exigences n’aient pas été considérées », tandis que Cloud Temple a dénoncé « une nouvelle étape dans la démultiplication des copies partielles du SNDS (système national des données de santé) », qui multiplierait les risques de fuite de ces données.
Les entreprises françaises reviennent à la charge
En février dernier, l’association Internet Society a de son côté annoncé avoir déposé un recours auprès du Conseil d’État. Dans un communiqué, l’ONG souligne que « les disparités entre les lois et les législations relatives à la protection des données en vigueur dans les deux pays pourraient compromettre la confidentialité des données de santé des Français ».
Mardi 19 mars, les entreprises et des associations françaises sont revenues à la charge. Un nouveau recours a été déposé devant le Conseil d’État. Parmi les requérants figurent les entreprises Nexedi, Clever Cloud et Cleyrop, ainsi que des ONG comme l’Open Internet Project ou l’Institut de la souveraineté numérique. Ils souhaitent faire annuler l’autorisation donnée en décembre par la CNIL, estimant que l’opérateur de cloud américain ne peut héberger des données aussi sensibles que les données de santé des Français, pour des raisons de sécurité et de souveraineté.
Microsoft, soumis au droit américain, est concerné par des lois permettant à Washington et ses services de renseignements d’accéder à la data hébergée par les entreprises US, notamment avec le Foreign Intelligence Surveillance Act, prolongée par Joe Biden jusqu’en avril 2024.
Les requérants espèrent également obtenir une saisine, par le Conseil d’État, de la Cour de justice de l’Union européenne sur la validité du nouvel accord transatlantique sur les données, adopté en juillet 2023 par l’UE et les Etats-Unis. Deux accords de ce genre ont déjà été cassés par la justice européenne ces dernières années. Les entreprises et les associations françaises à l’origine de ce nouveau recours misent alors sur une annulation du nouvel accord, qui rentre en conflit avec le RGPD.
Source :
