Health data hub : cacophonie numérique et cécité stratégique

15.10.2020 - Éditorial

L’offensive à l’oeuvre par les GAFAM montre que la santé numérique est le chantier actuel sur lequel ces entreprises investissent massivement et prennent d’ores et déjà un avantage certain. Le cas du Health Data Hub (HDH) est révélateur d’une cécité en la matière. Le Health Data Hub est une plate-forme numérique française (placée sous l’autorité du Ministère de la santé) de centralisation aux fins de recherches des données de santé.

Ce système, institué depuis le 2 décembre 2019, devait permettre de croiser les bases de données de santé disponibles. Toutefois, depuis sa création par la loi relative à l’organisation et la transformation du système de santé du 24 juillet 2019, de nombreuses voix s’élèvent pour en dénoncer les risques dès lors qu’elles sont stockées sur le cloud Azure de Microsoft. Ce choix ne fait pas l’unanimité d’autant plus que Microsoft a été désigné via une dispense de marché public. Pour sa part, la CNIL a alerté les pouvoirs publics au regard de la protection – toute relative – des données personnelles à l’occasion d’un recours récemment introduit devant le Conseil d’Etat, comme conséquence de la décision de la Cour de Justice de l’Union Européenne d’annuler le « Privacy Shield » (arrêt dit « Schrems II » du 16 juillet 2020), traité transatlantique de transfert des données personnelles.

Dans un mémoire du 8 octobre 2020, la présidente de la CNIL avait précisé à la haute juridiction administrative que les Etats-Unis, du fait de leur loi de sécurité nationale et de renseignement électronique (loi US FISA), n’offrait plus les garanties de protection adéquate, et qu’en vertu du Cloud Act US de mars 2018, il en était de même pour les hébergeurs soumis à la législation « étasunienne ». Cet avis sévère de la CNIL était de nature à mettre en garde la juridiction. Dans sa décision du 14 octobre 2020, le Conseil d’État a demandé au Health Data Hub « de continuer, sous le contrôle de la CNIL, à travailler avec Microsoft pour renforcer la protection des droits des personnes concernées sur leurs données personnelles». Ce faisant, le mandat du Microsoft est maintenu. Une telle décision conduit à demander à Microsoft de s’engager de manière contractuelle à offrir une solution d’hébergement qui ne soit pas soumise au Cloud Act américaine et aux autres réglementations intrusives, alors même que la CNIL avait condamnée un tel engagement inopérant à l’égard de tels textes extraterritoriaux.

En conséquence de quoi, Microsoft se voit confirmer dans son mandat d’hébergement et de traitement des données de santé des Français, mais se voit placée sous la tutelle de la CNIL et contrainte de conserver les données sur le territoire européen. En réalité, cette affaire interroge au-delà même de la question technique. Cela traduit tout à la fois une cécité des autorités françaises, mais encore une discordance manifeste entre un discours affirmé de souveraineté numérique et des choix radicalement opposés. De la même manière, Renault, entreprise détenue pour partie par l’Etat, doit-elle confier le traitement de ses données industrielles à Google comme elle s’apprête à le faire ? BPI, le bras armé financier de la France, qui a activement garanti les prêts consentis au titre de la relance économique pendant la période de crise sanitaire, devait-elle enregistrer les dossiers de demande de crédit des entreprises françaises dans une solution extra-européenne, en l’occurrence AWS d’Amazon ? Le renseignement intérieur doit-il se soumettre à la solution américaine Palantir pour l’exploitation des données d’interception ? Comme le dit lui-même l’avocat des opposants à Microsoft Maître Jean-Baptiste Souffron (Marianne, 12/10/2020) : « Nous avons un problème de formation, de compétence et d’intégrité des responsables publics qui traitent ce sujet.

L’attribution du Health Data Hub à Microsoft relève de la corruption culturelle : le fait de prendre pour acquis certaines choses – ici, l’idée que Microsoft serait forcément plus compétent -, parce qu’elles apparaissent comme des solutions de facilité. » Etrangement, le nouveau gouvernement a d’ailleurs cru devoir faire l’impasse sur l’idée d’un ministère du numérique, après avoir tant vanté la start-up nation et encensé la French Tech. Afin de faire cesser cette soumission digitale, il est nécessaire, pour combler le vide stratégique numérique de désigner les filières d’avenir et de créer un cadre technique harmonisé, avec le concours des états dans leur pouvoir de gouvernance régalienne de la donnée. Les Chinois l’ont fait avec leur plan Made in China 2025 ciblant 10 secteurs d’innovation jugés stratégiques. C’est la volonté affichée de Thierry Breton, commissaire européen au marché intérieur, en charge notamment de la souveraineté technologique. Souhaitons qu’elle se traduise désormais en actes.

Olivier De Maison Rouge
Olivier De Maison Rouge est avocat associé au sein du cabinet Lex Squared Il est notamment spécialisé dans les domaines du numérique, du droit des affaires, de la protection des données, de l’intelligence stratégique et de la sécurité économique. Au cours de sa carrière il a été amené à défendre des entreprises confrontées aux tentatives d’espionnage économique et d’ingérences économiques (notamment cas de pillage technologique). Il a développé une véritable doctrine en matière de contre-mesures juridiques et de protection du patrimoine informationnel. Il est ainsi un des spécialistes de la sécurité des actifs incorporels et de leur valorisation. Il est aujourd’hui membre du SYNFIE et de l’Observatoire de l’Intelligence Économique Français. Son dernier ouvrage paru, s’intitule « Survivre à la guerre économique; Manuel de résilience », VA Editions.