Le 8 octobre, la Commission nationale de l’informatique et des libertés (CNIL) a demandé au Conseil d'Etat que l'ensemble des acteurs stockant des données de santé cesse «dans un délai aussi bref que possible» de confier leur hébergement à Microsoft ou toute autre société soumise au droit étasunien.
Une demande qui fait suite à la volonté du gouvernement de créer un centre français unique de données de santé pour la recherche, ou Health Data Hub (HDH). Celui-ci doit permettre de regrouper de larges volumes de données actuellement éparpillées au sein de nombreux organismes (Sécurité sociale, hôpitaux…) avec l'objectif d’améliorer la recherche scientifique, en particulier grâce à l’intelligence artificielle.
Guy Mamou-Mani, co-dirigeant de la société Open, chargée de la mise en place du HDH, a déclaré à Radio France qu'avec ces données centralisées on pourra «faire des études permettant d'anticiper les cancers du sein ou de la prostate, ou interpréter les accidents de la route au travers de toutes les informations qui remontent par les urgences».
Une décision contestée
Début 2019, malgré les craintes de la CNIL, le gouvernement a choisi de confier – sans appel d’offres – l’hébergement de ces données à Microsoft Azure, le service «cloud» du géant américain, via sa filiale irlandaise. Ces données de santé seront donc soumises à plusieurs lois américaines comme le Cloud Act, qui autorise depuis 2018 les autorités américaines à exiger de toute entreprise basée sur son sol la transmission de données personnelles, et ce même si ses serveurs sont situés а l’étranger (les serveurs du HDH seraient en l'espèce basés aux Pays-Bas).
A cela s'ajoute le fait que la Cour de justice de l’Union européenne (CJUE), dans une décision rendue le jeudi 16 juillet 2020, a invalidé le bouclier de protection de données le Privacy Shield, un mécanisme négocié par l’Union européenne pour encadrer et sécuriser le transfert de données privées vers les Etats-Unis. Or, la CJUE a jugé ces mesures de protection imparfaites et a estimé que le caractère extraterritorial de la législation américaine ne permettait pas de garantir un niveau de protection suffisant aux données des citoyens européens.
Cette décision a permis à un collectif de 18 organisations et personnalités – dont le Conseil national du logiciel libre, le Syndicat national des journalistes, ou le Syndicat de la médecine générale –de relancer leur requête devant le Conseil d'Etat pour suspendre le traitement, et la centralisation des données au sein du HDH.
Après un premier rejet de la procédure fin septembre, les requérants ont soumis une nouvelle requête en référé. Une audience s'est tenue début octobre et la décision est attendue «la semaine prochaine», a indiqué le Conseil d'Etat à l'AFP.
Le 8 octobre, le secrétaire d'Etat chargé du Numérique Cédric O semble vouloir agir et a annoncé, lors d’une audition au Sénat, que ses services et ceux du ministre de la Santé Olivier Véran travaillent «après le coup de tonnerre de l’annulation du Privacy Shield, au transfert du Health Data Hub sur des plateformes françaises ou européennes». Cédric O n’a toutefois pas encore donné de calendrier pour ce transfert, alors que le temps presse, un décret devant être pris fin octobre pour préciser les modalités de déploiement du HDH.