Une perte d'opportunité économique et une négligence des libertés numériques. C'est en substance ce que reprochent au Health Data Hub onze plaignants, dont les entreprises Clever Cloud, Nexedi et Rapid.Space, ainsi que l'association Open Internet Project. Ils ont déposé un recours au Conseil d'État contre la Commission nationale de l'informatique et des libertés (CNIL). L'audience est prévue mardi 19 mars à 11h.

Ce recours fait suite à une décision de la CNIL, datant du 21 décembre dernier. Le gendarme du numérique a autorisé le groupement d'intérêt public « Plateforme des données de santé » (Health Data Hub) à choisir Microsoft comme hébergeur de l'entrepôt de données EMC2. Cet entrepôt, mandaté par l'Agence du médicament européen, a pour but de rassembler les dossiers médicaux issus des Hospices civils de Lyon (HCL), du centre Léon Bérard (CLB), du centre hospitalier universitaire de Nancy (CHU de Nancy) et de la Fondation hôpital Saint-Joseph (FHSJ), afin d'effectuer des analyses pharmaco-épidémiologiques. Cela concernerait entre 300.000 et 600.000 patients.

Les plaignants reprochent à cette décision de valider le recours à une entreprise américaine, alors que la législation des États-Unis est en contradiction avec celle de l'Union Européenne concernant les données personnelles. Les serveurs de Microsoft Azure sont situés en Europe, mais l'entreprise dépend malgré tout de la juridiction américaine. Et notamment de la loi FISA (Foreign Intelligence Surveillance Act), qui autorise de fait la surveillance de masse au nom de la sécurité nationale. Cette loi permet aux agences de renseignement américaines d'accéder aux données de citoyens non-américains, dès lors qu'une entreprise, organisation ou même un citoyen américain est impliqué, et ce sans vraie obligation d'information ni réel recours des individus concernés au-delà de procédures longues, coûteuses, complexes, opaques et donc volontairement ineffectives. « Un citoyen européen n'a pas de recours juridique aux États-Unis pour pouvoir récupérer, modifier ses données personnelles », résume Jean-Baptiste Fourmeaux, l'avocat qui représente les requérants, à l'occasion d'une conférence de presse. « Il y a un mépris total de la donnée privée aux États-Unis », complète Quentin Adam, PDG de Clever Cloud.

Les industriels français affirment qu'ils peuvent répondre aux exigences du Health Data Hub

Par ailleurs, les industriels français reprochent au Health Data Hub de ne pas leur donner une chance, en leur préférant un acteur américain. Lors de la conférence de presse ce lundi, Cleyrop, Nexidy et Clever Cloud, trois entreprises spécialistes de la création de « hubs » de données, ont assuré qu'il leur était possible de répondre en grande partie aux exigences du Health Data Hub. « On pourrait couvrir deux tiers des demandes, et 100 % en 18 mois », affirme Quentin Adam. Car le principal argument du Health Data Hub en faveur de Microsoft est la maturité de leur technologie Azure, permettant une exécution rapide du projet.

Lire aussiHealth Data Hub : 5 questions pour comprendre la polémique de son hébergement par Microsoft

« Lorsqu'on évoque l'hégémonie du cloud américain, on oublie souvent de mentionner qu'une grande partie des revenus des fournisseurs américains vient de la commande publique. Et que le marché du cloud est loin d'être mature, sa croissance continue. Lorsque nous avons l'occasion de soutenir les acteurs européens via la commande publique, nous ne la saisissons pas », regrette Quentin Adam.

Une décision qui paraît également aberrante à Léonidas Kalogeropoulos, délégué général de l'OIP, alors que le discours ambiant consiste, dit-il, à évoquer sans cesse la souveraineté numérique et la réindustrialisation.

La décision de la CNIL ne vient toutefois pas de nulle part. Elle a été prise suite à une mission d'expertise menée par la délégation du numérique en santé (DNS), la direction interministérielle du numérique (DINUM) et l'Agence du numérique en santé, afin de déterminer si le projet EMC2 pouvait être mis en œuvre via un prestataire soumis uniquement aux lois de l'Union européenne. Et cette mission de conclure « qu'aucun prestataire potentiel ne propose d'offres d'hébergement répondant aux exigences techniques et fonctionnelles du GIP PDS pour la mise en œuvre du projet EMC2 dans un délai compatible avec les impératifs de ce dernier ».

Mais seuls les fournisseurs cloud comme OVH et Scaleway auraient été consultés durant cette mission, avancent les plaignants. « Le problème c'est que l'on considère ce sujet comme étant un sujet d'infrastructure, or une grande partie du savoir-faire repose sur le logiciel. Et sur cet aspect, l'étude ne s'est pas tournée vers les acteurs concernés », explique Jérôme Valat, dont l'entreprise Cleyrop a pourtant participé à l'architecture du Health Data Hub lors de sa création.

Lire aussiLa souveraineté numérique, l'argument plus fort que jamais d'OVHcloud dans la bataille du cloud

Le feuilleton du Health Data Hub, créé à la suite du rapport Villani dans le but d'accompagner le développement de l'IA appliquée à la santé, n'est pas nouveau. Il a commencé dès 2019. Microsoft Azure était alors déjà pressenti comme le fournisseur cloud de ce projet dont l'objectif est de croiser différentes bases de données de santé pour faciliter la recherche, tout en garantissant la sécurité des citoyens. Le choix de la firme américaine pour stocker des données sensibles avait déjà agacé les industriels français, mais aussi l'opinion publique. Le Covid a accéléré le projet et le choix de Microsoft est alors devenu argumenté par la nécessité d'aller vite.

Une décision qui fait suite à un lobbying intense de Microsoft

Pour Bernard Benhamou, secrétaire général de l'Institut de la Souveraineté Numérique (ISN), qui fait également partie des plaignants, le choix de Microsoft serait principalement le résultat de l'action de lobbying intensif des géants américains.

« Normalement, les défenseurs des libertés numériques ont plutôt tendance à s'opposer aux représentants de la sécurité nationale. On milite contre l'utilisation des drones en manifestations, contre l'usage de la reconnaissance faciale au nom de la sécurité... Mais en l'occurrence, concernant le Health Data Hub, on assiste à un alignement assez inédit entre les défenseurs des libertés, ceux qui prônent la sécurité, et les industriels qui défendent des enjeux économiques », explique de son côté Benjamin Bayart, militant des libertés fondamentales liées au numérique, également parmi les requérants.

Les plaignants espèrent une suspension de la décision de la CNIL ou d'un renvoi vers la Cour de justice de l'Union européenne. Si elle est actée, cette décision fera écho aux arrêts Schrems I et Schrems II, qui avaient invalidé le transfert des données entre l'Union européenne et les États-Unis, suite à l'action en justice de l'activiste Max Schrems en 2015 puis en 2020.