Le ministre de la santé Olivier Véran, dans un courrier en date du jeudi 19 novembre que Mediapart s’est procuré, s’est engagé auprès de la Commission nationale de l’informatique et des libertés (Cnil) à mettre un terme, d’ici deux ans, à l’hébergement par Microsoft du Health Data Hub (HDH), la plateforme devant centraliser l’ensemble des données de santé des Français.
« Je partage pleinement vos préoccupations relatives au risque de divulgation de données hébergées par la plateforme aux autorités américaines avec le choix de l’entreprise Microsoft. Je suis également conscient de l’inquiétude grandissante que cette situation a fait naître parmi les Français », écrit Olivier Véran dans cette lettre écrite en réponse à un courrier envoyé le 10 novembre par la présidente de la Cnil, Marie-Laure Denis, qui demandait à ce que l’hébergement du Health Data Hub soit confié à une société soumise au droit européen.
« Vous avez souligné, dans votre courrier, la nécessité que soit fixé l’objectif d’avoir adopté une nouvelle solution technique permettant de ne pas exposer les données hébergées par la PDS [plateforme des données de santé – ndlr] à d’éventuelles divulgations illégales aux autorités américaines […] dans un délai qui soit autant que possible compris entre 12 et 18 mois et, en tout état de cause, ne dépasse pas deux ans, affirme Olivier Véran. J’y souscris pleinement et j’en fais part à la ministre de l’enseignement supérieur et de la recherche et au secrétaire d’État, Cédric O. »
Cette décision de ne plus confier l’hébergement du Health Data Hub à Microsoft est une réponse à une demande de la Cnil, révélée par Mediapart le 8 octobre dernier, de ne plus confier l’hébergement de données de citoyens français à une société américaine, en raison des risques de transferts de données que le gouvernement américain pourrait imposer à celle-ci.
Cette position avait été exprimée à l’occasion d’un recours formé par le collectif SantéNathon – regroupant des professionnels de la santé, des syndicats et des acteurs du secteur du logiciel libre – visant à annuler un décret publié le 21 avril dernier et accélérant, au nom de l’état d’urgence sanitaire, le déploiement du HDH en y intégrant les données issues de l’épidémie de Covid-19.
Les requérants se fondaient sur un arrêt, rendu le 16 juillet 2020 par la Cour de justice de l’Union européenne (CJUE), qui a annulé le Bouclier de protection des données, ou Privacy Shield, accord qui régissait les transferts de données personnelles entre les États-Unis et les pays de l’Union européenne.
Dans son arrêt, la CJUE soulignait les dangers de deux textes, le « Foreign Intelligence Surveillance Act » (Fisa) et l’« Executive Order » (EO) 12333 régissant des programmes de surveillance américains, « qui instituent des programmes permettant l’accès des autorités publiques états-uniennes à des fins de sécurité nationale aux données personnelles transférées de l’UE vers les États-Unis, de façon particulièrement large et sans ciblage ». Parmi ces programmes figurent Prism et UpStream, dont l’ampleur avait été révélée par Edward Snowden en 2013 et qui ont été depuis maintenus.
Sollicitée pour avis dans le cadre du recours devant le Conseil d’État, la Cnil avait transmis un mémoire appelant tout simplement l’État à cesser « dans un délai aussi bref que possible » de confier l’hébergement des données de santé des Français à Microsoft ou toute autre société soumise « au droit états-unien ».
Dans ce document, la Cnil précisait la portée de l’arrêt de la CJUE. Selon elle, il ne suffit pas que Microsoft s’engage à ne pas transférer des données vers les États-Unis. Ce transfert peut en effet être involontaire lorsqu’il est imposé par les autorités américaines.
« Même dans le cas où l’absence de transferts de données personnelles en dehors de l’UE à des fins de fourniture du service serait confirmée, affirmait la Cnil, la société Microsoft peut être soumise, sur le fondement du Fisa, voire peut-être de l’EO 12333, à des injonctions des services de renseignement l’obligeant à leur transférer des données stockées et traitées sur le territoire de l’Union européenne. »
Pour la commission, la solution la plus simple est de « modifier les conditions d’hébergement de la PDS, ainsi que celles des autres entrepôts de données de santé qui sont hébergés par des sociétés soumises au droit états-unien ». Consciente de l’impact potentiellement considérable, la Cnil proposait l’instauration d’une « période de transition » mais qui devait rester « limitée à ce qui est nécessaire et impérativement mise à profit pour garantir, par des démarches actives, la modification des conditions d’hébergement des données ».
Le jour même de l’audience devant le Conseil d’État, le secrétaire d’État chargé du numérique, Cédric O, avait annoncé lors d’une audition au Sénat, sans toutefois citer le mémoire de la Cnil, que ses services et ceux du ministre de la santé Olivier Véran travaillaient déjà sur un tel scénario.
« Nous travaillons avec Olivier Véran, après le coup de tonnerre de l’annulation du Privacy Shield, au transfert du Health Data Hub sur des plateformes françaises ou européennes », avait-il affirmé. « Nous aurons sur ce sujet des discussions avec nos partenaires allemands », avait ajouté le secrétaire d’État, qui n’a pas donné de calendrier pour ce transfert.
Dès le lendemain, le ministre de la santé Olivier Véran signait un arrêté modifiant le texte régissant le Health Data Hub, précisant qu’« aucun transfert de données à caractère personnel ne peut être réalisé en dehors de l’Union européenne ». Il répondait ainsi à une demande de la juge qui, lors de l’audience, avait évoqué la possibilité d’inscrire « dans un acte réglementaire » cette interdiction qui ne figurait jusqu’alors que dans le contrat.
Lire aussi
- L’hébergement du Health Data Hub par Microsoft en sursis
- La Cnil demande l’arrêt du stockage de nos données de santé par Microsoft
- Données de santé: le «oui mais» du Conseil d’Etat au Health Data Hub
- La Cnil s’inquiète d’un possible transfert de nos données de santé aux Etats-Unis
- Données de santé: l’Etat accusé de favoritisme au profit de Microsoft
- «Health Data Hub»: le méga fichier qui veut rentabiliser nos données de santé
Dans sa décision, rendue le vendredi 14 octobre, le Conseil d’État avait rejeté le recours de SantéNathon en raison de son utilité dans le cadre de la lutte contre l’épidémie, mais tout en reconnaissant les risques de transferts pointés par la Cnil. Il appelait les autorités à concrétiser, « dans les délais les plus brefs possibles », leurs engagements.
Ce délai sera donc de deux années, une durée apparemment suggérée par la présidente de la Cnil dans son courrier du 10 novembre évoqué par Olivier Véran. « Il n’existe pas, à court terme, de solution optimale d’un point de vue technique. C’est seulement en travaillant ensemble et en mettant en commun nos réflexions, nos expertises, et nos leviers d’action que nous parviendrons à faire émerger une alternative efficace et durable », écrit le ministre de la santé.
Comme l’avait déjà évoqué Cédric O, le ministre explique qu’une « étude de réversibilité » a déjà été lancée. La changement d’hébergement devrait être lié au développement de « Gaïa X », un projet de « cloud souverain » européen mené par la France et l’Allemagne encore en cours de développement.
Olivier Véran détaille par ailleurs dans son courrier les diverses mesures prises afin de limiter les risques de transferts, dont trois modifications apportées au contrat liant le Health Data Hub à Microsoft.
Parmi celles-ci, « la plateforme des données de santé a conclu fin octobre un troisième avenant qui précise que la loi applicable est bien celle du droit de l’Union européenne ou du droit français et que tous les services qui traitent des données de santé le font au sein de l’Union européenne ». Cette précaution, évoquée devant le Conseil d’État, reste cependant insuffisante. En effet, comme cela avait été souligné à l’audience, la loi est, dans l’ordre juridique, supérieure au contrat, qui ne peut y déroger.
La question de l’hébergement n’est pas le seul problème auquel est confronté le Health Data Hub. Le 4 novembre dernier, le site NextInpact avait révélé le projet de décret d’application détaillant le fonctionnement de la plateforme, jusqu’à présent déployée de manière dérogatoire au nom de l’urgence sanitaire. Celui-ci était accompagné d’un avis de la Cnil particulièrement sévère pointant plusieurs risques pour les données personnels, en plus de celui d’un transfert vers les États-Unis.
- Lire ci-dessous le courrier d’Olivier Véran à la Cnil