La controverse sur les conditions d'attribution du marché de l'hébergement des données de santé des Français et sur le choix de Microsoft comme prestataire devrait bientôt être de l'histoire ancienne. Olivier Véran, le ministre de la Santé, assure que le dossier sera résolu dans deux ans au plus tard.

Le cap était déjà connu depuis le début de l’été. Le calendrier est désormais établi. La bascule de l’hébergement du Health Data Hub (HDH), qui est aujourd’hui assuré par Microsoft, sur une plateforme européenne surviendra d’ici deux ans, au plus tard. C’est sur cette échéance en tout cas que se cale Olivier Véran, le ministre de la Santé et des Solidarités, dans un courrier qu’a pu consulter le journal Mediapart.

Datée du 19 novembre et adressée à Marie-Laure Denis, la présidente de la Commission nationale de l’informatique et des libertés (CNIL), la missive dit partager «  la nécessité que soit fixé l’objectif d’avoir adopté une nouvelle solution technique permettant de ne pas exposer les données par la plateforme des données de santé à d’éventuelles divulgations illégales aux autorités américaines ».

Olivier Véran à l’Assemblée nationale le 4 novembre 2020 // Source : France24 / YouTube

Ce transfert à horizon de deux ans constitue la borne haute à ne pas dépasser. En effet, la CNIL désire que la gestion de la plateforme soit assurée par une société de droit européen plus tôt, d’ici un an à un an et demi. Déjà début octobre, la CNIL était intervenue en dans le cadre d’un recours ciblant la suspension du HDH, pour dissuader toutes les parties de recourir à un prestataire américain.

Voilà des mois que le sujet de l’hébergement du HDH par Microsoft irrite les acteurs du cloud européen ainsi que les personnes soucieuses de la question de la souveraineté du numérique. En effet, même si le géant de Redmond utilise pour le HDH un centre de données basé aux Pays-Bas, et donc soumis au Règlement général sur la protection des données, entre autres, il n’est pas exclu que certains transferts aient quand même lieu, à la demande des autorités ou de la justice aux États-Unis.

Un risque possible, mais ténu, d’un transfert aux USA

Dans le recours sur la suspension du HDH, le juge des référés au Conseil d’État a admis « qu’il ne peut être totalement exclu que les autorités américaines, dans le cadre de programmes de surveillance et de renseignement, demandent à Microsoft […] l’accès à certaines données », mais a ajouté que cela suppose « que Microsoft ne soit pas en mesure de s’opposer à une éventuelle demande des autorités américaines ». Or, la société a déjà engagé des bras de fer judiciaires contre Washington dans ce domaine.

En outre, ajoutait la plus haute juridiction de l’ordre administratif français, les données de santé sont « pseudonymisées avant leur hébergement et leur traitement par la plateforme » ce qui est de nature à minorer un peu plus le risque de transfert de celles-ci aux USA. Mais le juge des référés estimait aussi que des précautions de plus long terme doivent être prises, afin « d’éliminer tout risque d’accès aux données personnelles par les autorités américaines ».

Health Data Hub
L’accueil du Health Data Hub.

Le transfert de la plateforme s’est imposé à partir du printemps, avec Cédric O, le Secrétaire d’État chargé de la Transition numérique et des Communications électroniques, admettant « qu’il serait normal que, dans les mois à venir, nous puissions lancer un appel d’offres afin d’avoir un choix plus large  ». Le patron de l’agence de cyberdéfense française a considéré pour sa part « le fait de revenir sur une solution européenne […] serait de bon goût ».

Début octobre, Cédric O était revenu sur le sujet en déclarant travailler « au transfert du Health Data Hub sur des plates-formes françaises ou européennes » — les deux ministères sont en effet impliqués dans ce dossier, au regard de la nature du dossier et des données qu’il traite — le ministère de la Santé et des Solidarités est membre du groupement d’intérêt public chargé de la mise en place et de l’administration du HDH.

Le ministère de l’Enseignement supérieur, de la Recherche et de l’Innovation, piloté par Frédérique Vidal, est aussi dans la boucle, car la plateforme sert à des travaux scientifiques — notamment « permettre la poursuite de l’utilisation des données de santé pour les besoins de l’épidémie de covid-19 grâce aux moyens techniques dont dispose la plateforme », relevait le Conseil d’État. Il reste maintenant à voir quel prestataire européen tirera son épingle du jeu.

Partager sur les réseaux sociaux

La suite en vidéo