15ème législature

Question N° 33389
de Mme Valérie Petit (Agir ensemble - Nord )
Question écrite
Ministère interrogé > Solidarités et santé
Ministère attributaire > Solidarités et santé

Rubrique > numérique

Titre > Protection des données de santé

Question publiée au JO le : 27/10/2020 page : 7424

Texte de la question

Mme Valérie Petit interroge M. le ministre des solidarités et de la santé sur la plateforme numérique Health Data Hub, chargée de récolter les données de santé des Français, et le risque de fuite des données personnelles que présente son hébergement par l'entreprise américaine Microsoft. Le 14 octobre 2020, la plateforme numérique a été examinée en Conseil d'État : cet examen faisait alors suite à la demande de M. Cédric O, secrétaire d’État chargé de la transition numérique et des communications électroniques, pour que ces données soient rapatriées chez un hébergeur français. Or la décision rendue par le Conseil d'État mercredi autorise le Health Data Hub à continuer à travailler avec Microsoft. Cette décision soulève plusieurs problèmes. Tout d'abord, les données hébergées par Microsoft ne peuvent pas être légalement transférées en dehors de l'Union européenne. En effet, la Cour de justice de l'Union européenne a déclaré cet été que le Privacy Shield, soit l'accord juridique entre la Commission européenne et les États-Unis d'Amérique autorisant les entreprises à y transférer des données personnelles depuis l'Union européenne, était contraire au droit européen. Or Microsoft fait partie intégrante de ce Privacy Shield et le Cloud Act mis en place par Washington permet au gouvernement américain de demander à une entreprise américaine le transfert de toutes les données en sa possession. Le stockage des données de santé des Français par une entreprise américaine comme Microsoft les rend donc particulièrement vulnérables, considérant le caractère sensible des données de santé. La Commission nationale de l'informatique et des libertés a par ailleurs rendu un mémoire cet été sur le Health Data Hub. La CNIL a estimé que le choix d'un hébergeur américain semblait incompatible avec les dispositions du droit européen et que celui-ci représentait un risque pour la protection de la vie privée des Français. Elle souligne que cette protection est « particulièrement difficile à apporter » dans la mesure où de nombreux moyens existent permettant au gouvernement américain d'accéder à ces informations. Des associations de la circonscription de Mme la députée l'ont alors alertée sur la situation et le risque que présentait ce contrat entre le Health Data Hub et une entreprise américaine telle que Microsoft. Elle l'interroge donc pour connaître ses intentions quant aux risques de violation des données personnelles des Français que présente l'utilisation de cette plateforme et son exploitation par Microsoft, tenue dans le cadre du Cloud Act de rendre compte de ces informations au gouvernement américain.

Texte de la réponse