L’offensive à l’oeuvre par les GAFAM montre que la santé numérique est le chantier actuel sur lequel ces entreprises investissent massivement et prennent d’ores et déjà un avantage certain. Le cas du Health Data Hub (HDH) est révélateur d’une cécité en la matière. Le Health Data Hub est une plate-forme numérique française (placée sous l’autorité du Ministère de la santé) de centralisation aux fins de recherches des données de santé.
Ce système, institué depuis le 2 décembre 2019, devait permettre de croiser les bases de données de santé disponibles. Toutefois, depuis sa création par la loi relative à l’organisation et la transformation du système de santé du 24 juillet 2019, de nombreuses voix s’élèvent pour en dénoncer les risques dès lors qu’elles sont stockées sur le cloud Azure de Microsoft. Ce choix ne fait pas l’unanimité d’autant plus que Microsoft a été désigné via une dispense de marché public. Pour sa part, la CNIL a alerté les pouvoirs publics au regard de la protection – toute relative – des données personnelles à l’occasion d’un recours récemment introduit devant le Conseil d’Etat, comme conséquence de la décision de la Cour de Justice de l’Union Européenne d’annuler le « Privacy Shield » (arrêt dit « Schrems II » du 16 juillet 2020), traité transatlantique de transfert des données personnelles.
Dans un mémoire du 8 octobre 2020, la présidente de la CNIL avait précisé à la haute juridiction administrative que les Etats-Unis, du fait de leur loi de sécurité nationale et de renseignement électronique (loi US FISA), n’offrait plus les garanties de protection adéquate, et qu’en vertu du Cloud Act US de mars 2018, il en était de même pour les hébergeurs soumis à la législation « étasunienne ». Cet avis sévère de la CNIL était de nature à mettre en garde la juridiction. Dans sa décision du 14 octobre 2020, le Conseil d’État a demandé au Health Data Hub « de continuer, sous le contrôle de la CNIL, à travailler avec Microsoft pour renforcer la protection des droits des personnes concernées sur leurs données personnelles». Ce faisant, le mandat du Microsoft est maintenu. Une telle décision conduit à demander à Microsoft de s’engager de manière contractuelle à offrir une solution d’hébergement qui ne soit pas soumise au Cloud Act américaine et aux autres réglementations intrusives, alors même que la CNIL avait condamnée un tel engagement inopérant à l’égard de tels textes extraterritoriaux.
En conséquence de quoi, Microsoft se voit confirmer dans son mandat d’hébergement et de traitement des données de santé des Français, mais se voit placée sous la tutelle de la CNIL et contrainte de conserver les données sur le territoire européen. En réalité, cette affaire interroge au-delà même de la question technique. Cela traduit tout à la fois une cécité des autorités françaises, mais encore une discordance manifeste entre un discours affirmé de souveraineté numérique et des choix radicalement opposés. De la même manière, Renault, entreprise détenue pour partie par l’Etat, doit-elle confier le traitement de ses données industrielles à Google comme elle s’apprête à le faire ? BPI, le bras armé financier de la France, qui a activement garanti les prêts consentis au titre de la relance économique pendant la période de crise sanitaire, devait-elle enregistrer les dossiers de demande de crédit des entreprises françaises dans une solution extra-européenne, en l’occurrence AWS d’Amazon ? Le renseignement intérieur doit-il se soumettre à la solution américaine Palantir pour l’exploitation des données d’interception ? Comme le dit lui-même l’avocat des opposants à Microsoft Maître Jean-Baptiste Souffron (Marianne, 12/10/2020) : « Nous avons un problème de formation, de compétence et d’intégrité des responsables publics qui traitent ce sujet.
L’attribution du Health Data Hub à Microsoft relève de la corruption culturelle : le fait de prendre pour acquis certaines choses – ici, l’idée que Microsoft serait forcément plus compétent -, parce qu’elles apparaissent comme des solutions de facilité. » Etrangement, le nouveau gouvernement a d’ailleurs cru devoir faire l’impasse sur l’idée d’un ministère du numérique, après avoir tant vanté la start-up nation et encensé la French Tech. Afin de faire cesser cette soumission digitale, il est nécessaire, pour combler le vide stratégique numérique de désigner les filières d’avenir et de créer un cadre technique harmonisé, avec le concours des états dans leur pouvoir de gouvernance régalienne de la donnée. Les Chinois l’ont fait avec leur plan Made in China 2025 ciblant 10 secteurs d’innovation jugés stratégiques. C’est la volonté affichée de Thierry Breton, commissaire européen au marché intérieur, en charge notamment de la souveraineté technologique. Souhaitons qu’elle se traduise désormais en actes.
