Parmi les mesures prises par l’arrêté du 21 avril 2020 prescrivant les mesures d’organisation pour faire face à l’épidémie dans le cadre de l’état d’urgence sanitaire, la mise en œuvre anticipée du Health Data Hub (HDH), anciennement Système National des Données de Santé, a jeté une lumière très crue sur l’état des capacités des acteurs français et européens du cloud. Volet constitutif de la politique “France is AI”, le lancement de la nouvelle plateforme des données de santé a vu son déploiement anticipé de plusieurs mois par rapport au calendrier initialement prévu du fait de la crise sanitaire. La décision, prise afin de répondre au  besoin créé par la pandémie d’une meilleure exploitation des données de santé, aura désavantagé les solutions souveraines. Dans l’urgence, le choix d’un hébergeur a été confié à une centrale d’achat publique, l’UGAP, qui, sans nécessiter une mise en concurrence, a ainsi considéré Microsoft, via sa filiale AZURE, comme le seul pouvant remplir les spécifications techniques fixées par le HDH.

Un nouveau projet SAFARI des données de santé ?

La nature sensible des données hébergées par le HDH a parfois donné lieu dans le débat public à quelques rapprochements avec le projet SAFARI. Lancé dans les années 1970, ce système, permettant de relier entre eux des fichiers nominatifs grâce au numéro INSEE de chaque Français, avait été abandonné après sa divulgation dans la presse et la polémique qui s’en était suivie, et avait  4 ans plus tard la création de la CNIL. Ce parallèle avec les enjeux actuels soulevés par le HDH montre surtout l’évolution des termes du débat et des enjeux liés à la protection de la vie personnelle des Français. 40 ans après sa création, la CNIL semble avoir fait le deuil d’une plateforme indépendante, échappant au principe d’extra-territorialité du droit américain qui permet aux agences de sécurité américaines de demander à leurs entreprises l’accès aux données qu’elles hébergent. Consciente du risque, l’autorité française a déclaré que le risque de transfert de données européennes par des instances américaines serait surveillé avec attention. Un  risque qui persiste toujours comme l’a rappelé l’année dernière la Cour de justice de l’Union européenne à l’occasion de son arrêt Schrems II.

La CNIL reste donc très prudente à cet égard alors même que des garanties ont été données à l’autorité par le ministère de la Santé afin de trouver des solutions techniques à horizon 2022 pour empêcher les violations du RGPD en matière de transfert illégal. Les détails à ce propos restent cependant très flous, notamment quant à la manière d’empêcher l’hébergeur d’avoir accès aux données qu’il stocke.

Un problème de compétitivité de la part des entreprises européennes

La politique “France is AI”, à l’origine du HDH, trouve sa genèse dans le rapport Villani: « Donner un sens à l’intelligence artificielle : pour une stratégie nationale et européenne ». Si la souveraineté numérique est initialement présentée comme l’un des piliers du plan, comment expliquer le choix d’un acteur américain en lieu et place d’une entreprise européenne pour héberger des données sensibles ? Comme l’a souligné le Conseil d’État qui se prononçait en juillet 2020 sur la suspension du HDH, l’urgence justifiait alors le risque. Si le nom du français OVHcloud est souvent revenu pour prendre le pas sur Microsoft, celui-ci n’apparaissait pas assez crédible sur le plan technique. En effet, comme l’a déclaré la directrice du projet Stéphanie Combes, à l’époque seul l’Américain possédait l’attestation nécessaire d’Hébergeur de Données de Santé (HDS) ainsi que les compétences techniques pour remplir les conditions requises à l’exécution rapide du projet dans un contexte d’urgence. À ce titre, le HDH est d’ailleurs allé jusqu’à ajouter une clause de transfert du marché dans le cas où un acteur européen ayant les compétences nécessaires techniques (Cybersécurité), ou administratives (HDS) serait disponible.

À l’origine des lacunes techniques reprochées à OVHcloud, on retrouve la question récurrente de la compétitivité des entreprises européennes du numérique. Situation ironique quand on pense à la défense par Bruno le Maire du “Cloud de confiance”, censé protéger les entreprises européennes de l’extra-territorialité du droit américain, comme devait le faire  avant lui le Safe Harbor, le Cloud souverain, et plus récemment, le Privacy Shield. L’obligation du HDH de placer entre les mains d’une source, dont la faillibilité est reconnue, des données sensibles de santé est finalement nécessaire faute de mieux au nom de l’urgence.

L’arbitrage entre performance et souveraineté semble, comme à travers cet exemple, devoir se faire quasi-systématiquement au détriment de cette dernière pour des raisons évidentes de pragmatisme et d’efficacité. Pour que la notion même de souveraineté numérique puisse trouver une traduction concrète au-delà des mots, celle-ci nécessite d’être adossée à une vision industrielle de long terme, seule à pouvoir répondre à terme aux enjeux numériques des entreprises et des acteurs publics du continent.