Le Conseil d'État vient d'autoriser le transfert des données de santé de 10 millions de Français vers une plateforme hébergée par Microsoft. Ces informations, issues de l'Assurance maladie, serviront à des études sur l'utilisation des médicaments coordonnées par l'Agence européenne du médicament. Mais cette décision intervient dans un contexte pour le moins étonnant : le gouvernement a déjà annoncé en février qu'il cherchait à remplacer Microsoft par un opérateur européen d'ici la fin de l'année.
La haute juridiction administrative a jugé que l'accord donné par la CNIL au projet Darwin était conforme au règlement européen sur la protection des données (RGPD). Elle donne ainsi tort aux associations et entreprises qui dénonçaient le risque d'accès aux données par les autorités américaines, en vertu de leurs législations extraterritoriales.
Un outil controversé depuis sa création
La Plateforme des données de santé (PDS), anciennement appelée Health Data Hub, centralise des informations médicales pour la recherche. L'objectif est louable : permettre aux chercheurs et aux autorités sanitaires d'étudier l'efficacité des médicaments, de détecter des effets indésirables, ou de mieux comprendre certaines maladies à grande échelle.
Depuis son lancement, la PDS fait l'objet de vives critiques de la part d'experts en sécurité numérique et de défenseurs de la souveraineté française. Le choix d'héberger ces données sensibles chez Microsoft, géant américain soumis aux lois extraterritoriales des États-Unis, a cristallisé les inquiétudes. Le projet Darwin, qui prévoit d'y transférer les données de 10 millions de personnes, a été le point de rupture ayant mené à ce recours juridique.
Les garanties mises en place (et leurs limites)
Pour justifier sa décision, le Conseil d'État s'appuie sur plusieurs garanties techniques :
- Les données sont pseudonymisées (les noms sont remplacés par des identifiants)
- Leur conservation est limitée à trois ans maximum
- Le stockage se fait dans des data centers situés en France
- Aucun transfert vers les États-Unis n'est prévu dans le cadre du contrat
Ces mesures sont effectivement importantes. La pseudonymisation rend plus difficile l'identification directe des personnes. Le stockage en France limite les risques de saisie physique des serveurs. Mais reste le problème que Microsoft est une entreprise américaine, soumise au Cloud Act et au FISA 702, deux législations qui permettent aux autorités américaines d'exiger l'accès à des données détenues par des entreprises américaines, où qu'elles soient stockées dans le monde.
Le Conseil d'État a jugé ces garanties « suffisantes » au regard du périmètre strictement encadré du projet.
Je comprends tout à fait l'importance de la recherche médicale et l'utilité de croiser des données à grande échelle pour améliorer les traitements. Mais confier ces informations sensibles à une entreprise soumise à des lois étrangères pose un problème de principe que la technique seule ne peut résoudre complètement.