Une pétition a été déposée au Sénat pour réclamer une enquête sur l'hébergement par Microsoft du Health Data Hub, une importante plateforme de données de santé française. Mais pour cela, 100 000 signatures sont requises.

Les conditions d’hébergement du Health Data Hub vont-elles faire l’objet d’une enquête au Sénat ? C’est en tout cas ce que réclame une toute récente pétition parue sur la plateforme e-pétition de la chambre haute du parlement, dont l’avenir sera d’abord dicté par son succès populaire : il lui faut en effet réunir au moins 100 000 signatures pour espérer l’étape d’après.

Publiée le 16 septembre, la requête appelant à la création d’une commission d’enquête sur la gestion des données de santé de la France à la société Microsoft ne compte à peine qu’une cinquantaine de soutiens, à l’heure où cet article paraît — soit 0,050 % de l’objectif. Pour être valide, il faut en réunir 100 000 en l’espace de 6 mois. Ce n’est qu’à ces conditions que la pétition sera transmise à la Conférence des Présidents.

Même dans la perspective d’une mobilisation importante, la création d’une mission de contrôle sénatoriale n’est pas automatique — et cela, même si toutes les conditions sont réunies. Les suites à donner à une pétition relèvent uniquement de la Conférence des Présidents et il n’existe aucun recours à ses décisions. Cependant, le Sénat a déjà montré sa sensibilité pour les sujets liés à la souveraineté numérique.

Car l’hébergement du Health Data Hub, une plateforme française pour les données de santé, est un sujet qui relève de la souveraineté numérique que la France et l’Europe tentent de bâtir. À tout le moins, c’est une thématique qui revient dans les discours, en témoignent les félicitations ministérielles adressées à la société OVH et à l’entreprise allemande T-Systems qui se sont rapprochées dans le cloud.

Pour les opposants à l’idée qu’une entreprise américaine héberge une plateforme aussi stratégique, la pétition bénéficie d’un alignement des planètes favorable : d’abord, il y a un nouveau recours devant le Conseil d’État, qui pourrait amener la plus haute juridiction de l’ordre administratif français à analyser la situation différemment qu’en juin, lorsqu’elle a rendu une première décision juridique.

Health Data Hub
L’accueil du Health Data Hub.

Mais surtout, la Cour de justice de l’Union européenne a invalidé un accord de 2016 qui a été conclu entre les deux rives de l’Atlantique sur le transfert des données personnelles, du fait d’un cadrage insuffisant des programmes de surveillance aux USA. C’est d’ailleurs parce que cet arrêt existe que le Conseil d’État pourrait réagir différemment, puisque les paramètres juridiques ne sont plus les mêmes.

Aujourd’hui, le Health Data Hub est effectivement hébergé par Microsoft, mais via un centre de données situé sur le territoire européen, aux Pays-Bas précisément. Il est de fait soumis au Règlement général sur la protection des données.

Cela étant, les opposants à ce contrat font observer qu’il existe un risque juridique, matérialisé par l’existence d’une loi américaine, le Cloud Act, qui donne au juge américain certains pouvoirs pour récupérer des données hébergées à l’étranger, si l’hébergeur est une société américaine. En principe, il faut néanmoins que l’affaire soit entre les mains d’un juge et qu’il s’agisse d’un dossier criminel.

Un conflit de textes entre les USA et l’Europe

Dans sa pétition, l’auteur fait observer qu’il existe au moins un «  conflit » entre le RGPD et le Cloud Act. Par ailleurs, du fait de la lecture de la Cour de justice de l’UE, il y a un manque de limites et de recours pour les programmes de surveillance américaine. L’institution a en particulier relevé l’absence de garantie juridique pour des personnes non américaines et qui peuvent être visées par ces programmes.

La pétition évoque aussi une observation faite par la CNIL, qui a relevé «  l’existence de transferts de données en dehors de l’Union européenne dans le cadre du fonctionnement courant de la plateforme ». Cependant, il ne s’agirait pas de données personnelles. Du moins était-ce l’observation du Conseil d’État, qui parlait d’éléments techniques pour de la résolution d’incident et de la maintenance.

Une différence d’appréciation que la pétition balaie. Cet hébergement par une firme qui n’est pas européenne « n’est ni nécessaire, ni proportionnée, ni adaptée ». Cela « porte une atteinte grave et sûrement irréversible aux droits de 67 millions d’habitants de disposer de la protection de leur vie privée, notamment celle de leurs données parmi les plus intimes, protégées de façon absolue par le secret médical : leurs données de santé ».

Deux demandes sont formulées au Sénat, si une commission voit effectivement le jour. D’abord, examiner les conditions de passation d’un accord confiant la gestion des données de santé française à la société Microsoft. Puis, produire des préconisations pour renforcer l’autonomie numérique et pour assurer une gestion plus sûre des données de santé du système de santé.

Partager sur les réseaux sociaux