Onze requérants demandaient
en référé au Conseil d’Etat d’annuler le document de la Cnil autorisant Microsoft à
héberger certaines données de santé. La juridiction administrative a considéré,
le 22 mars, que les garanties apportées réduisaient suffisamment le risque
d’utilisation de ces données sensibles.
Coup dur pour la souveraineté
numérique. Le Conseil d’Etat a rejeté, le 22 mars, un recours en référé d’une dizaine
d’acteurs du numérique, hébergeurs de données et ONG, visant à faire annuler
une autorisation de la Cnil confiant à Microsoft la mise en place d’un centre
d’hébergement de données de santé. En décembre dernier, l’organisme français de
contrôle des données personnelles a autorisé la création de cet entrepôt,
baptisé EMC2, dépendant du Health Data Hub (HDH). Cette plateforme a pour
objectif d’agglomérer des statistiques et d’aider les chercheurs. Lors de l’audience qui s’est
tenue trois jours plus tôt, les requérants ont fait valoir que la loi
états-unienne est moins protectrice en matière de stockage d’informations
sensibles que la législation européenne, ce qui met en péril la sécurité des données françaises.
Bien que le risque d’une exploitation
malavisée des données ne peut être totalement écartée, les juges ont toutefois estimé que
les garanties apportées par l'hébergeur réduisent suffisamment les
possibilités d’identification des données. Le Conseil
d'Etat, qui statuait en référé et sans juger au fond, a donc estimé qu'il n'y
avait pas d'urgence à annuler le projet. L'affaire au fond ne devrait
pas être examinée avant l'an prochain selon l'avocat des requérants. Les juges administratifs ont ainsi rejoint
l’analyse de la Cnil. « Même avec un haut niveau de sécurité et
d’anonymisation, le risque existe et il est à prendre au sérieux », a en
effet admis son secrétaire général Louis Dutheillet de Lamothe lors de
l’audience, tout en faisant valoir que les garanties obtenues par le HDH
permettent une réduction du risque considérable et donc, suffisante.
Un accord européen sur
l’échange de données en question
« Ce n’est pas un risque
mais une situation concrète, lui a rétorqué Jean-Baptiste Soufron, avocat
des requérants. La loi américaine prévoit explicitement des moyens pour
utiliser toute donnée qui pourrait concourir à la sécurité des Etats-Unis.
» En accord avec cette analyse, certains observateurs du dossier ainsi que des
sources internes à la Cnil montraient des signes de gêne à l’idée de recourir
aux services de Microsoft. Attaquée en creux, la firme américaine s’est donc
défendue fermement devant le Conseil d’Etat, se référant à l’accord
d’adéquation signé entre l’Union européenne et les Etats-Unis en juillet 2023.
Celui-ci constate des niveaux de protection similaires des deux côtés de
l’Atlantique et autorise les transferts de données personnelles sans
encadrement spécifique.
Pour les requérants
toutefois, il est faux d’affirmer que la loi américaine respecte les standards
de protection de l’Union européenne. « Il s’agit de deux visions juridiques
totalement opposées, s’agaçait, la veille de l’audience, Quentin Adam,
président de Clever Cloud. Les Etats-Unis méprisent toute mesure de
protection des données personnelles. » Bernard Benhamou, secrétaire général
de l’Institut de la souveraineté numérique, confirmait : « Lors de l’affaire
Snowden, le PDG de Google affirmait ne pas être au courant des informations
demandées par les services de renseignement. C’est normal, il n’en savait rien
! Dans ce genre de cas, seul le directeur des services d’information est avisé.
Le système est très permissif. » Et les requérants de rappeler que le
président américain Joe Biden a récemment pris une mesure interdisant l’accès
étranger aux données d’Américains. « Faites ce que je dis, pas ce que je
fais », résumait Jean-Baptiste Soufron. Sur ce point, le Conseil d’Etat a
également rejeté la demande des requérants visant à transmettre une question
préjudicielle à la Cour de justice de l’Union européenne.
L’enjeu de souveraineté
numérique
Outre ces questions de
libertés individuelles et de protection des données, plusieurs hébergeurs
français s’estiment lésés par le lien entre le HDH et Microsoft, avançant
notamment l’argument de la souveraineté numérique. Le cas de EMC2 relance en
effet le débat sur un service de cloud souverain, français ou européen. « Nous
ne voulons pas jouer les mauvais perdants mais nous constatons qu’aux
Etats-Unis, les géants du numérique sont gonflés par la commande publique,
faisait remarquer Quentin Adam en amont de l’audience. Nous contestons aussi
une perte de chance objective. » Dans un autre volet de l’affaire, les
entreprises requérantes au Conseil d’Etat ont déposé une plainte contre l’appel
d’offres du HDH. Elles estiment que leurs chances d’être choisies ont été
rendues impossibles. « De nouvelles demandes étaient en permanence ajoutées,
on a bien compris que l’appel d’offres cherchait à désigner Microsoft »,
croit comprendre le président de Clever Cloud.
Le biais supposé dans cette
démarche fait écho aux griefs de Jean-Baptiste Soufron vis à vis de l’audit
conduit par la Cnil : « Les acteurs sondés relèvent presque tous de l’aspect
hébergement du cloud, comme OVH par exemple, mais il faut comprendre que ce que
demande le HDH est plus global. En général, pour ce type de marché, les acteurs
font des propositions groupées et s’allient selon les spécificités de chacun.
C’est tout à fait normal et cela fonctionne très bien. » Inutile donc, pour
le conseil, de privilégier un acteur de très grande taille comme Microsoft en
considérant qu’un seul partenaire est plus efficace qu’un groupement d’acteurs.
Selon les requérants, les
entreprises françaises du numérique sont tout à fait capables de proposer les
services adéquats. « Aujourd’hui, nous pouvons gérer les deux tiers de ce
que demande le HDH et il faudrait 12 à 18 mois pour être pleinement
opérationnel, avançait Jérôme Valat, cofondateur de l’hébergeur Cleyrop,
lors d’un point presse. C’est donc tout à fait possible de trouver un
partenaire français. » Derrière le débat juridique, c’est donc un match
plus politique que se livrent les différents acteurs sur les enjeux de
souveraineté. Après la décision du Conseil d’Etat et avant l'examen du dossier au fond, l’avantage provisoire est aux géants
américains du numérique.
Louis
Faurent