C’est un feuilleton juridique qui ne cesse de faire controverse depuis 2019. Le Health Data Hub (HDH), cette plateforme qui regroupe des données de santé, a pour objectif de faire avancer la recherche médicale. Pour héberger cette infrastructure regroupant les dossiers médicaux des Français, le gouvernement a fait le choix de Microsoft dès le départ et continue, malgré les critiques, de confier ses précieuses données à une firme américaine.
En 2020, Cédric O, alors secrétaire d’État au Numérique, justifiait ce choix en expliquant que l’infrastructure devait se déployer rapidement compte tenu de la situation sanitaire, et qu’il fallait faire le choix d’un acteur mature. Quitte à faire appel ensuite à un acteur français. Mais pour le moment, Microsoft reste l’hébergeur du HDH.
Dernier épisode de la controverse : des entrepreneurs français du cloud et des défenseurs des libertés du numérique ont saisi le Conseil d’État début mars. Ils reprochent à la Cnil, le gendarme du numérique, d’avoir autorisé en décembre le stockage des données de 300.000 à 600.000 patients chez l’entreprise américaine.
Surveillance des Etats-Unis
L’affaire pose d’abord un problème juridique. Les serveurs de Microsoft Azure sont situés en Europe, mais l’entreprise dépend malgré tout de la juridiction américaine. Et notamment de la loi FISA (Foreign Intelligence Surveillance Act), qui autorise la surveillance de masse au nom de la sécurité nationale. Cette loi permet aux agences de renseignement d’accéder aux données de citoyens non-américains.
« Un citoyen européen n’a pas de recours juridique aux États-Unis pour pouvoir récupérer, modifier ses données personnelles », résume Jean-Baptiste Fourmeaux, l’avocat qui représente les requérants. « Il y a un mépris total de la donnée privée aux États-Unis », complète Quentin Adam, P.-D.G. de Clever Cloud, l’un d’eux.
Aberration économique
Les entreprises crient par ailleurs à l’aberration économique. Elles reprochent au Health Data Hub de rater une opportunité de passer commande chez des fournisseurs français. « Lorsqu’on évoque l’hégémonie du cloud américain, on oublie souvent de mentionner qu’une grande partie des revenus des fournisseurs vient de la commande publique. Lorsque nous avons l’occasion de soutenir les acteurs européens via la commande publique, nous ne la saisissons pas », regrette Quentin Adam. Une mission d’expertise avait toutefois estimé qu’aucun prestataire soumis uniquement aux lois de l’Union européenne ne répondait aux exigences techniques et fonctionnelles. Ce que réfutent les entreprises.
L’audition au Conseil d’État n’a pas donné lieu à un jugement en urgence suspendant la décision de la Cnil comme l’espéraient les plaignants. Une nouvelle audience aura lieu à la fin du mois. Ce qu’ils visent à plus long terme, c’est l’annulation du Data Privacy Framework (DPF), l’accord européen autorisant le transfert de données personnelles aux États-Unis, dont dépend le Health Data Hub, qui finira sans doute par intervenir. Les deux premières moutures de cet accord ont été annulées en 2019, puis en 2020, suite aux plaintes de l’avocat et militant autrichien Max Schrems. M. P.
Lien source : Health Data Hub : le choix de Microsoft pour héberger les données de santé des Français, une polémique sans fin