EXPOSÉ DES MOTIFS
Mesdames, Messieurs,
L'attribution par le Gouvernement de l'hébergement de la Plateforme des données de santé (ou Health Data Hub) à la société Microsoft pose aujourd'hui des questions nouvelles auxquelles il convient de répondre. En effet, ce projet lancé par le Gouvernement en novembre 2019 était destiné à faciliter le partage des données de santé issues de sources très variées afin de favoriser la recherche en particulier via l'usage de systèmes d'intelligence artificielle. Cette plateforme doit rassembler l'ensemble des données de santé des Français ; or ces données constituent les plus sensibles des données à caractère personnel, il convient donc à la fois d'encadrer l'usage qui sera fait de ces données et aussi de garantir leur sécurité afin qu'elle ne puisse être compromise à l'avenir par des usages non maîtrisés de cette plateforme.
Ainsi, l'attribution de l'hébergement de cette plateforme à Microsoft soulève de nombreuses questions tant sur la procédure de choix que sur les conséquences de ce choix sur les libertés publiques. Comme l'a fait remarquer le Conseil d'État dans sa décision du 19 juin 2020 1 ( * ) sur le Health Data Hub, les données de santé hébergées par Microsoft doivent actuellement être domiciliées en France, mais ces données pourraient transiter par les États-Unis lorsqu'elles seront traitées. De plus, en vertu du Clarifying Lawful Overseas Use of Data Act (ou CLOUD Act) auquel les sociétés américaines comme Microsoft sont soumises, les autorités américaines peuvent exiger dans le cadre d'enquêtes que les fournisseurs américains de services d'hébergement « cloud » leur fournissent des informations stockées sur leurs serveurs, que ces données soient situées aux États-Unis ou à l'étranger 2 ( * ) .
La CNIL a aussi précisé dans sa communication du 11 juin 2020 3 ( * ) qu'eu égard à la sensibilité des données en cause, elle souhaiterait que l'hébergement et les services liés à la gestion du Health Data Hub puissent être réservés à des entités relevant exclusivement des juridictions de l'Union européenne. L'Agence nationale de la sécurité des systèmes d'information (ANSSI), par la voix de son directeur général Guillaume POUPARD, a aussi précisé qu'il serait préférable de privilégier une solution européenne non soumise à des lois extra-européennes.
De même, en matière de confidentialité des données, comme la CNIL l'a précisé dans son avis du 20 avril 2020, les clés de chiffrement de ces données seront confiées à Microsoft, rendant ainsi les données stockées vulnérables à d'éventuelles ingérences et utilisations non prévues par les concepteurs de cette plateforme. De plus, la procédure de pseudonymisation des données qui transiteront sur cette plateforme pourrait, elle aussi, s'avérer insuffisante. Le Conseil d'État a ainsi exigé que ce point essentiel pour la sécurité du projet soit à nouveau examiné par la CNIL.
Il est aussi à noter que l'attribution de l'hébergement du Health Data Hub à Microsoft a été effectuée par le biais d'une procédure accélérée via l'Union des groupements d'achats publics (UGAP). De plus, à l'issue de nombreux débats contestant le bien-fondé de l'attribution à Microsoft de l'hébergement du Health Data Hub, le Gouvernement a annoncé qu'un appel d'offres serait organisé dans les mois à venir pour choisir la solution d'hébergement définitive du Health Data Hub.
À l'heure où le président de la République appelle de ses voeux un renforcement de la souveraineté numérique nationale et européenne, comment justifier que nos données de santé soient confiées à l'un des « géants américains des technologies » GAFAM et ce, au détriment des entreprises françaises et européennes qui seraient en mesure d'effectuer des prestations similaires ?
Il conviendrait donc d'examiner les points suivants :
ü Les conditions dans lesquelles cet accord avec la société Microsoft a été conclu ; et en particulier analyser l'inadéquation supposée des acteurs français et européens évoquée par le Gouvernement pour justifier le choix de cette société ;
ü Réfléchir à la nécessité d'élaborer une alternative européenne aux services proposés par la société Microsoft en particulier pour le traitement de données sensibles ou stratégiques ;
ü Connaître les mécanismes de préparation -en amont- de ce projet de Plateforme des données de santé et le rôle qu'a joué la société Microsoft dans son élaboration ;
ü Analyser les enjeux en matière de souveraineté numérique et de cybersécurité de la centralisation des données de santé auprès d'entreprises américaines soumises au Cloud Act ;
ü Envisager les conditions dans lesquelles il sera possible de restreindre la circulation des données sensibles à la France et au territoire de l'Union européenne ;
ü En raison des risques liés au traitement des données sensibles par des entreprises extra-européennes, analyser la possibilité d'orienter ce type de marché stratégique exclusivement vers des acteurs industriels européens.
Après avoir examiné les conditions de passation d'un accord confiant la gestion des données de santé française à la société Microsoft, la commission d'enquête s'attachera à élaborer des préconisations pour renforcer la souveraineté numérique française et pour assurer une gestion plus sûre des données de santé de notre système de santé et de nos concitoyens.
* 1 https://www.conseil-etat.fr/ressources/decisions-contentieuses/dernieres-decisions-importantes/conseil-d-etat-19-juin-2020-plateforme-health-data-hub
* 2 À ce titre, elle rappelle :
les inquiétudes soulevées à plusieurs reprises par le Comité européen de la protection des données (CEPD) concernant l'accès par les autorités nord-américaines aux données transférées aux États-Unis, plus particulièrement la collecte et l'accès aux données personnelles à des fins de sécurité nationale en vertu de l'article 702 de la loi américaine FISA et du décret (« Executive Order ») 12 333 ;
que les dispositions du RGPD interdisent toute demande d'accès d'une juridiction ou d'une autorité administrative d'un pays tiers, adressée à des entreprises dont les traitements sont soumis au RGPD, en dehors d'un accord international applicable ou, selon l'interprétation du CEPD, de l'application d'une dérogation relative à l'intérêt vital de la personne concernée que les porteurs de projet recourant au service de la Plateforme doivent être informés de ce transfert.
* 3 https://www.cnil.fr/fr/la-plateforme-des-donnees-de-sante-health-data-hub