Main basse sur les données
Le Conseil d'Etat confirme Microsoft comme l'hébergeur des données de santé des Français. Demain, des Européens ? La voie est toute tracée.
Plus rien ni personne en France pour s’opposer à ce qui s’annonce comme une porte ouverte à un vaste siphonnage de nos données de santé. Le Conseil d’Etat vient de donner le coup de grâce : Microsoft est bel et bien autorisé à héberger les données de santé entreposées dans EMC2, cette base alimentée par quatre hôpitaux, première étape avant la mise en place d’un système élargi au niveau national (le Health Data Hub) et au niveau européen (le “European Health Data Space”).
La question d’apparence technique est d’importance. Et comme on le verra plus loin, elle est bien partie pour préfigurer la bagarre qui va se jouer autour de toutes les données - pas que de santé. Que la France, et l’UE, sont en train de benoitement laisser filer.
Reprenons pour bien comprendre. Plusieurs associations, sociétés et particuliers avaient saisi le Conseil d’Etat pour qu’il se prononce sur la validité de la décision de la Commission nationale Informatique et Libertés (Cnil) de confier l’hébergement de ces données de santé, à fins de recherche, à Microsoft. Rappelons que le choix de la société basée en Irlande, mais dont la maison-mère est américaine, avait été fait sans appel d’offre, sur la base d’un marché taillé sur mesure pour l’américain, au motif officiel qu’aucun candidat, en France ou en Europe, n’était capable de répondre au cahier des charges.
Saisi en urgence, le Conseil d’Etat avait balayé les arguments des détracteurs de l’accord. Il a fait de même quand il a examiné la question au fond. A toutes fins utiles, on vous met en rappel note 1 la liste des associations et sociétés, qui ont saisi la plus haute juridiction administrative sans compter les particuliers et les élus qui ont déposé des recours devant le Conseil d’Etat ou d’autres tribunaux, cela donne une idée de l’importance du sujet.
“Le Health Data Hub et, par la suite ses équivalents européens, sont nés de la préoccupation de créer des solutions d’intelligence artificielle en santé”, expliquait Bernard Benhamou, un des spécialistes du sujet en France, à L’Eclaireur en février 2024.
Interview à relire ici :
"Dans le domaine numérique, l’Europe n’a pas manqué une occasion de manquer une occasion"
Ancien délégué interministériel aux usages de l'Internet auprès du ministère de la Recherche et du ministère de l'Économie numérique et aujourd’hui à la tête de l'Institut de la souveraineté numérique, Bernard Benhamou met en garde contre le risque que l'Europe, et derrière la France, reste une colonie numérique où viendraient pioc…
“Le développement de solutions technologiques autour de l’IA dans la santé est un enjeu considérable, que ce soit en matière de soin, de diagnostic, de prévention, et ce dans pratiquement toutes les spécialités. Tout ce qui peut améliorer la prévention en santé, et l’IA pourrait jouer dans ce domaine un rôle important, sera essentiel pour l’équilibre des comptes de l’ensemble des systèmes de sécurité sociale.”
L’enjeu est largement sous-estimé, comme sous-médiatisé en France. A terme, l’objectif est de structurer l’ensemble des acteurs européens des données de santé autour d’une même plate-forme. Du pain béni pour les Américains ? On ne veut pas faire de l’anti-américanisme primaire mais on ne peut que constater que la question a été savamment balisée des deux côtés.
Côté américain avec la prolongation et le renforcement du Foreign Intelligence Service Act (la loi Fisa) et de sa section 702. Laquelle permet désormais, au nom du principe de l’extra-territorialité, une surveillance quasi généralisée des entreprises de par le monde par les services de renseignement américain. Et dont on voit mal comment Microsoft pourra s’y opposer, puisque la loi américaine l’y oblige.
Côté français et européen, c’est à peu près… l’inverse avec des règlements qui laissent une certaine marge de manœuvre aux Etats tiers, à commencer les Américains (mais on pourrait tout aussi bien parler des Chinois). On y reviendra plus loin.
Que dit le Conseil d’Etat dans ses décisions rendues les 13 et 19 novembre 2024 2 – qui soit ne connait pas le sujet, soit est soumis, soit (on n’ose l’imaginer) corrompu ? En gros que l’Etat apporte suffisamment de garanties pour que les données ne soient pas communiquées à un droit extra-européen, et donc à des autorités étrangères. D’abord parce que ces données font l’objet “d’anonymisations multiples”. Sauf que la parade présentée comme absolue ne vaut pas grand-chose.
En effet, les données de santé peuvent parfaitement être ré-identifiées comme le soulignait le responsable de la “Cnil” allemande de Thuringe dans le Süddentsche Zeitung ou comme le spécifie… La Maison-Blanche dans son décret du 28 février 2024 3. Quant à l’argument de l’hébergement en France, rappelons que la loi Fisa s’applique où que soient les données dans le monde.
L’affaire est de taille. Le contrat passé avec Microsoft prend fin en 2025. Et le gouvernement a pour la suite fait le choix d’un "cloud de confiance" 4 pour héberger le Health data hub (HDH) qui succèdera à Microsoft. Un appel d’offre doit être lancé, auquel répondra très vraisemblablement Microsoft, le géant américain s’étant depuis allié avec Orange – dont l’Etat français via la BPI détient 25 % des actions – et Cap Gemini pour lancer sa plate-forme “cloud de confiance”.
La voie est donc toute tracée. Et peut-être pas seulement pour les données de santé. L’enjeu va bien au-delà. Pour appuyer sa décision, le Conseil d’Etat s’en remet à l’accord d’adéquation qui lie l’Union européenne aux Etats-Unis. Le Privacy Data Framework (DPF) fixe le cadre réglementaire et juridique du transfert des données des Européens vers les USA, et pas que des données de santé. Pour la Commission européenne, les États-Unis offrent une protection des données personnelles comparable à celle de l'UE. Et croyez-vous que les données des Américains elles peuvent être transférées en Europe? Que nenni.
Fermez le ban ? Aux requérants qui réclamaient que soit saisie la Cour de justice de l’Union européenne afin que soit examinée la validité du DPF, le Conseil d’Etat a opposé un refus poli. Il n’est manifestement pas question d'à nouveau entrouvrir une porte que l’on pensait refermée.
Car le DPF est le troisième accord transatlantique. Les deux premiers, le Safe Harbor et le Privacy Shield, ont été retoqués par la Cour de justice de l’UE, invalidés en 2015 et 2020 – ce sont les arrêts Schrems. Et cette troisième version a justement été portée devant le tribunal de l’Union européenne par Philippe Latombe – en tant que citoyen et non de député ou de membre de la Cnil. Avant un nouveau coup d’arrêt ?
En attendant, le parlementaire (MoDem) s’est fendu d’un second courrier adressée à Ursula von der Leyen, six mois après une première missive, dans lequel il réclame que l’accord soit “suspendu immédiatement le temps de négocier des garanties solides pour nos concitoyens européens”.
Internet Society France, Clever Cloud, Nixed, Rapid Space International, Open Internet Project, association de defense des libertés constitutionnelles, Les licornes célestes, société Cleyrop, Conseil national du logiciel libre, syndicat de la médecine générale, Fédération Sud Santé Sociaux, Ligue des droits de l’Homme, Aides. Liste non exhaustive, on en a peut être oublié…
Relayés sur X par Guillaume Champeau, juriste spécialisé en droit du numérique.
Le “cloud de confiance” passe par la qualification SecNumCloud, référentiel de sécurité développé par l’Anssi.