La France a signé au mois d’avril un contrat avec la plateforme Microsoft, stipulant l’hébergement des données de santé des citoyens français, qui s’ensuit par la signature du projet Gaix-X portant sur la création d’un cloud européen.
L’avènement du numérique a été disruptif dans la mesure où des changements profonds surviennent et auxquels s’ajoutent la nécessité de s’adapter. Le numérique touche tous les secteurs sans exception, à travers la donnée, entrainant des rapports de force informationnels, dont le détenteur règne sur le monde, devient ainsi « le Big Brother ».
La création d’une plateforme de donné, également appelée « Health Data Hub » fait suite aux préconisations du rapport Villani de 2018, offrant d’une part, le traitement et le stockage des données de santé, la succession à l’institut des données de santé, d’autre part. En 2019, le Sénat, dans son rapport sur la souveraineté numérique, émet les principales recommandations afin de faire face aux menaces pesant sur la souveraineté numérique. Nonobstant, la plateforme des données de santé, Health Data Hub a fait appel à une société étrangère, en l’occurrence américaine, Microsoft Azur établie au Pays-Bas, pour héberger les données de santé, sous prétexte de certifications nécessaires, exigées et indisponibles au niveau national pour réaliser un appel d’offres, selon le Conseil d’État.
Le risque d’ingérence dans l’économie de la santé
Le risque d’ingérence économique est présent dans tous les secteurs, son omission peut se révéler flagrante et évincer les acteurs quand il s’agit de guerre économique. Depuis la seconde guerre mondiale, le secteur de la santé compte parmi ceux qui ont connus des mutations structurelles, ainsi, cette dernière devint une discipline appartenant au domaine de la science économique. En France, l’économie de santé représente 11,3 % du PIB en termes de dépense courante selon l’Insee. Plus généralement, l’économie de santé est un secteur pilier, ’’consacré à l’étude de la santé tout en s’intéressant à l’organisation du système de santé et de la protection sociale, aux déterminants de l’offre et de la demande de soins. Elle a pour objet l’étude systématique des choix effectués par les individus en matière de comportements à risque, de prévention et de traitement des maladies, lorsque les prix, les coûts et les revenus changent. Elle emprunte les concepts théoriques de référence de la science économique dans quatre principaux domaines : l’économie de l’assurance, l’économie industrielle, l’économie du travail et l’économie publique, auxquels il faut ajouter l’économie du développement pour les travaux concernant la santé dans les pays du Tiers monde’’.
Par ailleurs, l’économie de santé illustre plus que de simples données, à travers lesquelles les stratégies de l’État en matière de recherche médicale, critère déterminant des pays développés, où la course du premier État à découvrir par exemple un vaccin en pleine pandémie de la Covid-19. On en déduit que les données de santé présentent une mine d’or pour l’économie numérique américaine lui permettant de se positionner et de dominer les enjeux de demain. Un avantage substantiel, catalysé par les stratégies mises en place dans le but d’accompagner les entreprises outre-Atlantique à se doter d’une position dominante à vocation internationale.
L’accompagnement des entreprises françaises
L’absence d’entreprises françaises capables d’héberger des données de santé, révèle des problématiques diverses. D’une part, la France fait la démo,s, d’autre part, au contraire des États-Unis, elle manifeste une absence de volonté stratégique d’influence et de loobying telle que citée dans les rapports et les discours prônant l’accompagnement des entreprises nationales. Une fois de plus, le rapport de force ne peut se porter au niveau macro, vu que les entreprises françaises ou européennes sont dotées des mêmes capacités que leurs homologues américaines, mais l’administration française impose des certifications et des règlementations sine qua non. Cette fois-ci, elle joue en sa défaveur par des décisions courtes-termistes qui la mettent hors du jeu de la nouvelle carte des puissances numériques.
La richesse et l’hégémonie des États est corolaire à la recherche scientifique, une telle porosité introuvable en France, entre la recherche, l’entreprenariat et les politiques menées, présente une autonomie stratégique, permettant aux États-Unis d’avoir parmi les meilleures entreprises qualifiées dans tous les domaines. En France, les quiproquos se multiplient, donnant lieu à une incompréhension au sein des secteurs catalyseurs, la recherche, l’entreprenariat et la sphère politique. S’installa ainsi, une immaturité des investisseurs vis-à-vis du marché de l’innovation, ceux-ci, héritiers des paradigmes de l’économie traditionnelle, ralentissent les efforts menés à bras de fer.
Néanmoins, les initiatives citoyennes interagissent sur l’écosystème de la nouvelle économie pour intégrer les paradigmes actuels, tels que, Wallix, OVH, Station F, The family ou Business Angels afin de pallier aussi le risque d’ingérence.
Le risque de l’ingérence numérique
L’intrusion dans les affaires des autres États par la détention des données numérisées constitue une atteinte à la souveraineté numériqueLa CNIL en sa qualité de gendarme numérique a fait part de ses inquiétudes concernant l’accès par les autorités nord-américaines aux données transférées aux États-Unis, précisément, en matière de collecte et d’accès aux données personnelles. Ces actions sont, souvent, justifiées par une finalité de sécurité nationale en vertu de l’article 702 de la loi américaine FISA et du décret (« Executive Order »). À cet arsenal juridique, s’ajoute des règles d’extraterritorialité qui deviennent un levier de guerre économique, utilisée de plus en plus par les États-Unis et qui consistent en une pratique permettant l’adoption des normes et des mesures visant à appréhender un rapport de droit en dehors de son territoire national. Par conséquent, les avenants établis à chaque transfert hors UE, n’ont aucune valeur coercitive, si Microsoft Azur, et en sa qualité d’hébergeur des données de santé, en fait usage en matière de centre de collecte des datas qui seront éventuellement utilisées à d’autres usages marchands qui échappent à tout contrôle.
Le Cloud Act versus le RGPD, deux textes à valeur normative, l’un visant la garantie des droits et l’autre le maintien de l’ordre public à travers le renseignement. En outre, une contradiction subsiste entre les deux textes, en vertu de l’article 48 du RGPD précisant l’obligation pour un responsable de traitement ou un sous-traitant de respecter les accords internationaux relatifs au transfert de donnée personnelle à l’occasion d’un procès, alors que le Cloud Act ne pose aucune limite aux autorités américaines, quelle qu’elle soit, matérielle ou territoriale pour obtenir les données personnelles requises. La divergence en matière de traitement et de transfert des données, entre les pays européens et les États-Unis, est un problème majeur.
Carence juridique face à l’ingérence numérique
La carence étatique est corrélée à l’incapacité de l’État à prendre en considération les inquiétudes de la CNIL concernant une éventuelle atteinte aux données de santé à caractère sensible par l’entreprise américaine. Le juge administratif a rejeté les arguments avancés par un collectif de personnes physiques et morales. Cette décision a créé ainsi une dissonance avec le juge européen qui a récemment invalidé le Privacy Shield, communément connu sous l’affaire Shrems II. Le Privacy Shield est l’accord qui autorisait le transfert des données entre l’Union Européenne et les Etats-Unis sous condition de réciprocité s’agissant du traitement égal des données américaines et étrangères sur son territoire. Cependant, le juge européen estime que les pratiques de surveillance américaine demeurent incompatibles aux exigences du RGPD (Règlement Général de Protection des Données).
Par ailleurs, le Conseil d’État considère que les avenants au contrat entre la plateforme des données de santé, restent dissuasifs à l’encontre de Microsoft, en l’occurrence les Etats-Unis. En argumentant de la sorte, la justice française est frappée de cécité car elle n’arrive pas à prendre en compte dans sa grille de lecture, les conséquences d’une dépendance numérique sur la préservation de la propriété des données des consommateurs.
Le stockage des données de santé chez Microsoft a révélé la partie cachée de l’iceberg, celle d’une administration française qui campe sur des positions de principe sans prendre en considération les nouveaux enjeux d’un monde digitalisé sans frontière. Par ailleurs, les textes et les actes se contredisent, par l’absence d’une stratégie intégrant les problématiques d’accroissement de puissance dans le domaine numérique (aussi bien sous l’angle marchand que sous l’angle du contrôle des données). Ainsi, pour relever le défi de la disruption numérique, on peut se demander si un secrétariat d’État chargé du numérique est suffisant pour répondre aux enjeux actuels.
Zineb Fettachi
Sources :
CNIL : Rapport sur la plateforme des données de santé
Le Conseil National du Numérique : « la commission consultative française créée le 29 avril 2011 par décret du président de la République ».
Conseil d’État : Décision en référé N° 444937
Rapport Villani : « Donner un sens à l’intelligence artificielle »
SÉNAT : « Le devoir de souveraineté numérique »
IRDES : Institut de recherche et de documentation en économie de santé
Cour de justice de l’Union Européenne : « La Cour invalide la décision 2016/1250 relative à l’adéquation de la protection assurée par le bouclier de protection des données UE-États-Unis».
INSEE : Dépenses de santé en France.
Agence du numérique en santé : Certification des hébergeurs de données de santé.
EuroCloud France : « La branche française de l’organisation européenne EuroCloud, premier réseau d’acteurs du Cloud en Europe avec 1500 entreprises membres réparties dans 31 pays».
CNLL : Association Le Conseil National du Logiciel Libre.
Gaix-X : Le projet européen de cloud computing