Si Microsoft a été choisi pour héberger la nouvelle plateforme nationale pour les données de santé des Français et des Françaises, désormais l'heure est à la séparation. Le gouvernement a pris d'ailleurs un arrêté allant un peu plus dans ce sens.

C’est un arrêté qui devrait rapidement rebattre les cartes de l’hébergement du Health Data Hub, la nouvelle plateforme nationale pour les données de santé des Français et des Françaises. Publié au Journal officiel du 10 octobre 2020, et signé par Olivier Véran, le ministre de la Santé et des Solidarités, le texte interdit le transfert de données à caractère personnel hors de l’Union européenne.

Cet arrêté concrétise un peu plus le scénario d’un nouvel hébergement du Health Data Hub, mais cette fois par un prestataire français ou bien européen. Aujourd’hui, cette plateforme est accueillie dans un centre de données de Microsoft, localisé aux Pays-Bas. Mais Microsoft étant une entreprise de droit américain, il existe un risque juridique pesant sur les informations qui sont stockées.

Locaux de Microsoft. // Source : Wikimedia/efes (photo recadrée)

Ce risque juridique s’appelle le Cloud Act, une loi américaine qui donne à un magistrat américain la capacité d’ordonner la récupération de données si l’hébergeur est une société américaine, y compris dans le cas où ces données sont situées à l’étranger. Cependant, analysait le Conseil d’État, ce risque serait minime, car il ne se produirait que dans un cas de figure, en l’espèce «  une enquête criminelle ».

Cet arrêté, qui modifie l’article 30 d’un autre arrêté pris le 10 juillet, peut être vu comme une barrière pour empêcher un juge américain d’obtenir un tel transfert basé sur le Cloud Act, mais aussi de préparer le terrain à un changement de prestataire, Microsoft n’étant plus une option pertinente. « Aucun transfert de données à caractère personnel ne peut être réalisé en dehors de l’Union européenne », peut-on lire dans l’arrêté.

Cet article 30 autorise le Health Data Hub (dont le groupement d’intérêt public a été constitué en 2019 avec la loi sur l’organisation et à la transformation du système de santé) à recueillir divers éléments « aux seules fins de faciliter l’utilisation des données de santé pour les besoins de la gestion de l’urgence sanitaire et de l’amélioration des connaissances sur le virus Covid-19 ».

Outre les catégories de données éligibles, l’article 30 définit le cadre d’usage : la collecte et le croisement des données doivent se restreindre à « une finalité d’intérêt public en lien avec l’épidémie actuelle », des opérations de pseudonymisation doivent être exécutées pour préserver la vie privée des individus ou encore les données ne peuvent être maniées hors du Health Data Hub, ni extraites.

Le cap est mis vers un hébergement français ou européen

Cet arrêté apparaît être la traduction administrative d’une série d’évènements, incluant l’arrêt de juillet de la Cour de justice de l’Union européenne, qui estime que le transfert de données personnelles d’Européens vers les USA n’est pas licite, la demande de la CNIL de ne plus passer par un prestataire américain pour le Health Data Hub, et de la posture du gouvernement sur la souveraineté des données.

Aujourd’hui, l’hypothèse la plus plausible est de procéder à un passage de témoin, où le Health Data Hub passerait sur des serveurs français ou européen. Le secrétaire d’État au numérique Cédric O a déclaré le 9 octobre — le jour de la signature de l’arrêté — travailler avec Olivier Véran, en charge du portefeuille de la santé, pour préparer ce transfert de Microsoft à un prestataire local.

Cette procédure se fera dans le cadre d’un appel d’offres, mais déjà le couple formé par OVH (une entreprise française) et T-Systems (une compagnie allemande) apparaît être comme l’un des candidats les plus sérieux. Les deux sociétés souhaitent en effet fournir des services à des opérateurs d’importance vitale et des entreprises évoluant « dans des secteurs stratégiques ou sensibles, d’intérêt public ».

Partager sur les réseaux sociaux