Une pétition circule et des recours sont en préparation devant le Conseil d’État suite à la validation, en fin de semaine dernière, par la Commission nationale de l’informatique et des libertés (CNIL), du choix de Microsoft pour héberger les données de santé françaises dans le cadre du projet européen EMC2. Cette décision a été accueillie comme une sévère désillusion, et même une trahison, par les souverainistes et les défenseurs de l’identité française. Nombreux sont ceux qui considèrent cela comme un véritable scandale, y voyant une nouvelle preuve de l’allégeance du gouvernement français aux grands trusts globalistes d’origine américaine.
Le Health Data Hub (HDH) sur la sellette
C’est une décision qui suscite autant de débat que d’inquiétude, la Commission Nationale de l’Informatique et des Libertés (CNIL) a récemment donné son feu vert, bien que teinté de réticences, pour que le Health Data Hub (HDH) français confie l’hébergement de données de santé sensibles à Microsoft. Ce choix, effectué dans le cadre du projet européen EMC2, jette un trouble et marque un tournant majeur dans la gestion des données de santé des Français.
Le HDH, institué en 2019 pour remplacer l’Institut national des données de santé (IDS) et faciliter les recherches à partir de données de santé massives, se trouve au cœur d’une polémique depuis sa décision d’opter pour la solution Azure de Microsoft pour stocker les données de santé de la population française.
Polémique autour de Microsoft qui ne respecte pas les standards européens
Cette décision a été critiquée pour plusieurs raisons, notamment la soumission de Microsoft à la législation américaine, potentiellement en conflit avec les standards européens de protection des données.
Le projet EMC2, visant à interconnecter plusieurs plateformes similaires au HDH à l’échelle européenne, est présenté comme une étape temporaire, le temps de trouver une solution d’hébergement européenne adéquate. Cependant, cette « solution temporaire » de trois ans a été accueillie avec une certaine réserve par la CNIL, qui, tout en reconnaissant les contraintes du moment, déplore l’absence de solutions européennes capables de répondre aux exigences du projet dans l’immédiat.
Microsoft décroche le pompon sans avoir remporté d’appel d’offre
La controverse entourant le contrat de l’Union des groupements d’achats publics (UGAP) avec Microsoft soulève des suspicions sur les procédures d’appel d’offres au sein de l’Union européenne, ainsi que sur les engagements pris par le gouvernement français concernant la souveraineté numérique et la protection des données. Ceci questionne sur les principes de transparence, de concurrence équitable et d’autonomie stratégique au sein de l’UE.
L’UGAP, en optant pour Microsoft Azure comme solution d’hébergement, a suscité des interrogations sur l’absence d’appel d’offres européen. Normalement, les marchés publics de cette envergure sont soumis à une procédure d’appel d’offres ouverte et transparente, conformément aux règlements de l’UE visant à garantir une concurrence loyale et à offrir aux entreprises européennes des opportunités équitables. L’omission d’un tel processus soulève des préoccupations majeures quant au respect des principes de la commande publique européenne, notamment en ce qui concerne la transparence, l’équité et l’ouverture du marché.
Le gouvernement français, par la voix d’Olivier Véran et de Cédric O, s’était engagé à migrer hors des services d’hébergement d’Azure dans un délai de deux ans. Cet engagement, pris devant le Conseil d’État, était censé traduire la volonté du gouvernement de réduire la dépendance à l’égard des fournisseurs non européens et de promouvoir la souveraineté numérique. Mais constat est qu’il n’en est rien.
La souveraineté numérique devrait être considérée comme une priorité stratégique, notamment pour protéger les données sensibles des citoyens et assurer l’indépendance des infrastructures critiques face aux géants technologiques non européens. A la place de cela nous constatons encore une fois que le gouvernement cède à des intérêts supranationaux.
La CNIL incapable de lutter pour la souvereneté numérique
La décision très discutée de la CNIL autorisant le groupement d’intérêt public ‘Plateforme des données de santé’ à établir un entrepôt de données avec Microsoft sous le nom de projet EMC2 suscite de vives critiques. En effet, on peut estimer que le HDH, mandaté par la loi pour rassembler les principales bases de données de santé françaises, a manqué une occasion importante d’améliorer la protection des données et de favoriser le développement technologique européen.
Le recours précoce au cloud par le secteur public lors de la création de la plateforme de données de santé a contribué à favoriser les offres des acteurs américains, rendant difficile une transition rapide vers des fournisseurs souverains. La CNIL souligne que le projet EMC2 aurait pu servir de modèle pour une solution souveraine, mais les engagements pris avec l’EMA (Agence européenne des médicaments) empêchent actuellement de corriger cette décision controversée, constituant ainsi une opportunité manquée.
La réaction mitigée de la CNIL traduit également une frustration face à l’incapacité actuelle de l’Europe à proposer une alternative viable qui respecte pleinement les principes de souveraineté et de sécurité des données. Malgré l’existence de labels de cybersécurité européens comme SecNumCloud, aucun acteur européen n’a, jusqu’à présent, été en mesure de répondre aux besoins spécifiques du HDH et du projet EMC2, mettant en évidence un fossé entre les ambitions de souveraineté numérique européenne et la réalité du marché du cloud.
Les données médicales personnelles des français potentiellement exposées
Cette situation soulève des questions fondamentales sur la souveraineté des données et la protection de la vie privée. En effet, même si les datacenters de Microsoft sont situés en France, les données restent soumises aux lois américaines, telles que le Cloud Act, suscitant des craintes quant à la possibilité d’accès par les autorités américaines à des informations sensibles sans le consentement explicite des individus concernés.
L’autorité française souligne que Microsoft, en tant qu’entreprise américaine, est soumise aux lois extraterritoriales des États-Unis. En clair, malgré la localisation des centres de données de Microsoft Azure en Europe, les données de santé des Français pourraient être potentiellement accessibles aux services de renseignements américains, sans que les individus concernés en soient jamais informés.