Après la surprise, la meilleure défense est l’attaque. Onze opérateurs, associations et particuliers (dont Clever Cloud, Nexedi, Rapid.Space, Cleyrop, l’open Internet project, Bernard Benhamou de l’Institut de la souveraineté numérique, …) ont décidé de porter le fer sur le plan judiciaire auprès du Conseil d’Etat contre la décision de la Cnil validant pour une durée de 3 ans l’hébergement des données de santé dans le cloud Azure de Microsoft pour un programme européen. Baptisé EMC2, il a pour but de faire avancer la recherche pharmaco-épidémiologique sur les effets à long terme des traitements médicaux. « Il s’agit aussi d’une étude de préfiguration d’une structure européenne des données de santé pour l'agence européenne du médicament », indique Quentin Adam, patron de Clever Cloud, pour mettre en perspective l’enjeu du problème.
Une inadéquation avec le data privacy framework
La décision de la Cnil est d’autant plus surprenante que le régulateur alerte à plusieurs reprises le risque de l’application des règles extra-territoriales des lois américaines. Les autorités US sont « susceptibles d’adresser à Microsoft des injonctions de communication des données qu’il héberge ». Car l’éditeur américain est soumis non seulement au Cloud Act, mais surtout au FISA et à l’executive order 12333 dédiés aux agences de renseignements. Or, selon les requérants, l’existence de ces textes à portée extra-territoriale rentre en conflit avec le RGPD et surtout rendrait caduc le DPF (Digital privacy framework).
Celui-ci a succédé au Privacy Shield (cassé par la Cour de justice de l’Union européenne via la saisine de Max Schrems), qui lui-même a remplacé le Safe Harbour (dénoncé après l’affaire Snowden et annulé aussi par la CJUE). Le DPF a pour vocation d’encadrer les transferts de données entre l’Europe et les Etats-Unis selon un principe d’adéquation. Ce texte à peine entériné en juillet 2023 est déjà contesté notamment par le même Max Schrems. Les onze requérants vont donc demander deux choses au Conseil d’Etat : une suspension de la décision de la Cnil (référé-suspension) et poser une question préjudicielle à la Cour de justice de l’UE sur la validité de la décision de la Cnil par rapport au DPF qui serait caduc.
Des demandes techniques et un contrat nébuleux
Autre point qui ne fait pas l’objet d’un contentieux, mais qui fâche, l’aspect technique de l’affaire. « L’audit technique sur le dossier HDH de l’automne 2023 est douteux, voir malhonnête », souligne Jérôme Valat, directeur général de Cleyrop, qui fournit des solutions de data hub et comprend dans ses équipes des anciens membres du HDH. « Aujourd’hui, c’est une usine à gaz avec une multiplication d'exigences et la question est de savoir si on veut continuer à garder cette usine à gaz », et de regretter, « le HDH est vu sous le prisme de l’infrastructure, mais c’est avant tout du logiciel et les acteurs du logiciel n’ont pas été sollicités ». Un avis partagé par Jean-Paul Smets, PDG de Rapid.Space (fournisseur de services cloud et 5G) et fondateur de Nexidi qui propose lui aussi des solutions de data hub, « sur le HDH, nous avions une proposition, mais nous n’avons jamais été contactés ».
Par ailleurs, le choix de Microsoft comme dans d’autres contrats avec l’Etat ( les accords open bar avec la Défense ou l’Education nationale) est fortement décrié au regard des marchés publics. Ainsi, le contrat sur le HDH fait l’objet d’une plainte déposé auprès du parquent national financier (PNF) par Anticor en 2021. L’association estimait que le marché désignant la firme américaine n’avait pas fait l’objet d’un marché sans mise en concurrence. L’enquête est toujours en cours. Le député modem Philippe Latombe avait demandé le cahier des charges du HDH et des benchmarks par rapport aux autres solutions, documents qu’il s’est vus refuser et qu’il a obtenu partiellement en juillet 2023, par la CADA (commission d’accès aux documents administratifs). Le HDH et son hébergement sont donc loin d’être un long fleuve tranquille et les requérants regrettent, « la perte de temps sur les capacités de la recherche dans le domaine de la santé, nous avons perdu entre 6 à 8 ans à cause de cela ».