Des entreprises et des associations françaises ont déposé un nouveau recours devant le Conseil d’Etat contre l’hébergement de données de santé françaises chez l’américain Microsoft, ont-elles annoncé, lundi 18 mars, lors d’une conférence de presse. Les requérants sont les entreprises Nexedi, Clever Cloud, Cleyrop, concurrents potentiels de Microsoft, et des ONG comme l’Open Internet Project ou l’Institut de la souveraineté numérique.
Le recours doit être examiné à 11 heures mardi par le Conseil d’Etat, a précisé l’avocat des requérants, Jean-Baptiste Soufron.
Les requérants attaquent l’autorisation donnée par la Commission nationale de l’informatique et des libertés (CNIL) fin décembre à un projet d’entrepôt de données de santé pour la recherche qui sera hébergé par Microsoft.
Cet entrepôt, baptisé « EMC2 », associera les données des patients de quatre grands hôpitaux français avec les données les concernant (remboursements de consultations et de soins, parcours hospitaliers…) détenues par l’Assurance-maladie. Il est géré par le Health Data Hub (plate-forme de données de santé), dans le cadre d’un programme de recherche en pharmaco-vigilance de l’Agence européenne des médicaments.
Un appel d’offres en bonne et due forme
Les requérants estiment qu’un opérateur de cloud américain comme Microsoft ne peut héberger des données aussi sensibles que les données de santé françaises, pour des raisons de sécurité et de souveraineté.
En 2020, des associations et des professionnels avaient saisi le Conseil d’Etat pour tenter d’empêcher le Health Data Hub d’héberger les données de santé chez Microsoft, et pour demander un appel d’offres en bonne et due forme. Leur procédure avait échoué, mais le gouvernement avait promis qu’un appel d’offres serait lancé dans les années suivantes pour choisir l’hébergeur informatique. Aucun appel d’offres n’a été lancé à ce jour.
Les requérants espèrent, par ailleurs, obtenir que le Conseil d’Etat saisisse la Cour de justice de l’Union européenne sur la validité du nouvel accord transatlantique sur les données, adopté en juillet 2023 par l’UE et les Etats-Unis. « Nous souhaitons obtenir une question préjudicielle » sur ce sujet, a déclaré Me Soufron.
Deux accords UE/Etats-Unis sur les transferts de données transatlantiques ont été cassés par la justice européenne ces dernières années, à la suite de recours déposés par le militant autrichien des droits numériques Max Schrems.
Les militants européens pour la souveraineté des données pensent que la Cour européenne de justice cassera à nouveau l’accord UE/Etats-Unis, les nouvelles garanties données par les Etats-Unis étant insuffisantes selon eux pour garantir les droits des Européens.