Le 22 mars, le Conseil d’Etat a rejeté un recours en référé demandant l’annulation de l’autorisation accordée par la Commission nationale de l’informatique et des libertés (Cnil) fin décembre permettant à Microsoft de mettre en place EMC2, un centre d’hébergement de données de santé françaises destiné à la recherche (cf. La CNIL autorise le stockage de données de santé chez Microsoft).
La Haute juridiction a également rejeté la demande visant à transmettre une question préjudicielle à la Cour de justice de l’Union européenne (CJUE) concernant l’accord sur les données adopté entre les Etats-Unis et l’Union européenne.
Des garanties suffisantes ?
Les demandeurs, des entreprises et des associations françaises, considèrent que Microsoft ne peut héberger des données de santé, qui sont particulièrement sensibles, pour des raisons de sécurité (cf. Protection des données : la justice européenne invalide le transfert de données vers les États-Unis). Selon eux, la loi américaine est en effet moins protectrice que la législation européenne en matière de stockage de données sensibles. Lors de l’audience, Louis Dutheillet de Lamothe, le secrétaire général de la Cnil, reconnait que « même avec un haut niveau de sécurité et d’anonymisation, le risque existe et il est à prendre au sérieux ».
Le Conseil d’Etat a toutefois rejeté l’argumentation, jugeant que les garanties apportées par Microsoft réduisent de façon suffisante le risque d’identification des données. « Ce n’est pas un risque mais une situation concrète » s’indigne l’avocat des requérants, Jean-Baptiste Soufron. « La loi américaine prévoit explicitement des moyens pour utiliser toute donnée qui pourrait concourir à la sécurité des Etats-Unis » explique-t-il.
De son coté, Microsoft se défend en rappellant l’accord d’adéquation signé en juillet 2023 entre l’Union européenne et les Etats-Unis. Celui-ci reconnait qu’il existe des niveaux de protection similaires dans ces deux zones géographiques, et autorise les transferts de données personnelles sans encadrement particulier.
Une analyse contestée par les demandeurs. « Il s’agit de deux visions juridiques totalement opposées » proteste Quentin Adam, le président de Clever Cloud. « Les Etats-Unis méprisent toute mesure de protection des données personnelles » ajoute-t-il. « Le système est très permissif » poursuit Bernard Benhamou, secrétaire général de l’Institut de souveraineté numérique.
Jugé en référé pour le moment, l’affaire devrait être examinée au fond l’an prochain selon l’avocat des requérants.
Un appel d’offre contesté
Plusieurs hébergeurs français estiment par ailleurs avoir été lésés et subir une perte de chance. « Nous ne voulons pas jouer les mauvais perdants mais nous constatons qu’aux Etats-Unis, les géants du numérique sont gonflés par la commande publique » relève Quentin Adam.
Les entreprises ayant saisi le Conseil d’Etat ont d’ailleurs également porté plainte contre l’appel d’offres du Health Data Hub (HDH). Elles considèrent ne pas avoir eu la possibilité d’être choisies. « De nouvelles demandes étaient en permanence ajoutées, on a bien compris que l’appel d’offres cherchait à désigner Microsoft » déplore Quentin Adam.
Selon les requérants, les entreprises françaises du numérique auraient pourtant tout à fait pu proposer des services adaptés en s’alliant selon leurs spécificités. « Aujourd’hui, nous pouvons gérer les deux tiers de ce que demande le HDH et il faudrait 12 à 18 mois pour être pleinement opérationnel » note Jérôme Valat, cofondateur de l’hébergeur Cleyrop. Selon lui, il était donc « tout à fait possible de trouver un partenaire français ».
Complément du 28/05/2024 : La révision du référentiel de certification « Hébergeur de données de santé » (HDS) a été publiée au Journal officiel le 16 mai 2024. Désormais il est obligatoire que les données soient physiquement localisées dans l’Espace économique européen qui regroupe les 27 Etats membres de l’UE, la Norvège, l’Islande et le Liechtenstein.
Sources : Journal Spécial des Sociétés, Louis Faurent (25/03/2024) ; L’Usine digitale, Alice Vitard (27/05/2024)