Le très décrié contrat entre la plateforme de données de santé française, Health Data Hub, et Microsoft vit probablement ces derniers moments. Depuis l’été, la grogne monte contre cet accord qui concerne des données sensibles. Et le choix de la firme de Redmond, quand bien même les données sont stockées dans un datacenter aux Pays-Bas (donc au sein de l’Union européenne et soumis au RGPD) a crispé les partisans d’une souveraineté technologique. Bernard Ourghanlian, directeur technique chez Microsoft France, a toutefois indiqué samedi 3 octobre sur France Inter que les données de santé françaises pouvaient néanmoins remonter aux Etats-Unis pour des questions de maintenance.
Face à cette tempête, Cédric O, le secrétaire d’Etat au numérique était régulièrement questionné sur ce thème. A l’occasion de l’Université d’été de Hexastrust, il se laissait le temps d’analyser la situation pour prendre une décision. Cela semble chose faite avec l’intervention du secrétaire d'Etat au Sénat où il a indiqué « Nous travaillons avec Olivier Véran (ministre de la Santé), après le coup de tonnerre de l’annulation du Privacy Shield, au transfert du Health Data Hub sur des plates-formes françaises ou européennes ». Cédric O fait référence à l’arrêt Schrems II où la Cour de justice de l’Union européenne a sabré la procédure régissant les transferts de données entre l’Europe et les Etats-Unis, le fameux Privacy Shield, qui remplaçait le Safe Harbour invalidé aussi par la même juridiction. Pour autant, le secrétaire d'Etat n’a pas donné de calendrier pour ce changement d’hébergeur. Il a simplement ajouté dans son discours, « nous aurons sur ce sujet des discussions avec nos partenaires allemands ».
Un changement dans un délai aussi bref que possible
Le calendrier pourrait néanmoins être bousculé par la tournure judiciaire de l’affaire du contrat liant Microsoft et Health Data Hub. L’accord avait été attaqué en référé-liberté devant le Conseil d’Etat par le collectif InterHop (les hôpitaux français pour l'interopérabilité et le partage libre des algorithmes), le CNLL et le médecin Didier Sicard, et d’autres personnes. Ce dernier avait en partie rejeté le caractère urgent de la demande, mais avait demandé à Health Data Hub de fournir à la CNIL des garanties sur l’anonymisation des données au regard du RGPD et de signaler les données transitant par les USA.
La Cnil avait déjà eu l’occasion de se prononcer dans cette affaire en avril dernier. Elle avait alors émis le souhait qu’« eu égard à la sensibilité des données en cause, que son hébergement et les services liés à sa gestion puissent être réservés à des entités relevant exclusivement des juridictions de l’Union européenne. » Dans la procédure devant le Conseil d’Etat, le régulateur a produit un mémoire et dont les bonnes feuilles ont été publiées par Mediapart. Tout d’abord, la Cnil constate que Microsoft « peut être soumise, sur le fondement du FISA, voire peut-être de l’EO (Executive Order) 123333, à des injonctions des services de renseignement l’obligeant à leur transférer des données stockées et traitées sur le territoire de l’Union européenne ». Elle rappelle l’arrêt Schrems II et ses conséquences sur le point spécifique des données de santé. In fine, la Commission estime que « le changement de la solution d’hébergement et des autres entrepôts de santé hébergés par les sociétés soumises au droit étatsuniens devrait intervenir dans un délai aussi bref que possible ». Même si une période transitoire est demandée, les jours du contrat Microsoft et le Health Data Hub semblent comptés.