Health Data Hub : le gouvernement se donne deux ans pour faire sans Microsoft

La prise de fonction de Joe Biden facilitera-t-elle la négociation d’un nouveau Privacy Shield ? Olivier Véran veut y croire. Il en fait part dans un courrier du 19 novembre adressé à la Cnil. Sujet : le Health Data Hub.

Cette plate-forme doit héberger les données de santé des citoyens français. Dans le contexte du Covid-19, le gouvernement en a accéléré la mise en place, confiant à Microsoft le soin de l’héberger.

La Cnil a, parmi d’autres, porté la voix contre cette décision. Sa crainte : que les autorités américaines puissent accéder aux données en question. En invoquant, au nom de la sécurité nationale, deux textes en particulier : le Fisa (Foreign Intelligence Surveillance Act) et l’ordre exécutif 12333.

Un Health Data Hub version GAIA-X ?

Olivier Véran affirme, dans sa lettre, souscrire « pleinement » à la demande de la commission. En l’occurrence, mettre, sous deux ans, un terme au contrat avec Microsoft. Et évaluer en urgence l’existence de fournisseurs alternatifs non soumis au droit étasunien.

« Il n’existe pas, à court terme, de solution optimale d’un point de vue technique, déplore le ministre de la Santé. C’est seulement en travaillant ensemble […] que nous parviendrons à faire émerger une alternative efficace et durable ».

Cédric O avait eu, il y a quelques semaines, un discours de même teneur devant le Sénat. Le secrétaire d’État chargé de la Transition numérique avait assuré que le gouvernement travaillait sur le transfert du Health Data Hub vers des plates-formes françaises ou européennes. Il avait évoqué des discussions à venir « avec nos partenaires allemands ». En toile de fond, le projet de cloud souverain GAIA-X.

Une étude de réversibilité est en cours, affirme Olivier Véran. Et de mentionner trois avenants apportés au contrat avec Microsoft. Ils établissent que :

• Les ingénieurs du groupe américain ne peuvent accéder aux données pour des raisons de support ou de maintenance sans le demander préalablement à la plate-forme.
• C’est cette dernière qui choisit la région au sein de laquelle les données sont stockées et traitées.
• La loi applicable est bien celle du droit de l’UE ou du droit français.

Photo d’illustration © REDPIXEL – stock.adobe.com