Question de : M. Philippe Latombe (Pays de la Loire - Démocrate (MoDem et Indépendants))

M. Philippe Latombe alerte M. le ministre délégué auprès du ministre de l'économie, des finances et de la souveraineté industrielle et numérique, chargé du numérique, sur la doctrine d'utilisation de l'informatique en nuage par l'État dans le cas des données de santé. Dans sa lettre de présentation de la doctrine « cloud au centre » sur l'usage de l'informatique en nuage au sein de l'État, version du 25 mai 2023, Mme la Première ministre précise : « l'État veille scrupuleusement à la protection de ses données et de celles des concitoyens. La doctrine d'utilisation de l'informatique en nuage par l'État, introduite par la circulaire du 5 juillet 2021, exige ainsi, en cas de recours à une offre commerciale d'informatique en nuage, l'hébergement des données d'une sensibilité particulière par des solutions disposant de la qualification SecNumCloud délivrée par l'Agence nationale de sécurité des systèmes d'information (ou une qualification européenne d'un niveau au moins équivalent) et immunisées contre toute règlementation extracommunautaire». Au début de la circulaire, il est ensuite précisé que le système d'information de l'État est régi par le décret n° 2019-1088 du 25 octobre 2019. Or, dans son article 1er, ce dernier précise que le système d'information et de communication de l'État est composé de l'ensemble des infrastructures et services logiciels informatiques permettant de collecter, traiter, transmettre et stocker sous forme numérique les données qui concourent aux missions des services de l'État et des organismes placés sous sa tutelle. La PDS (nouvelle appellation du HDH) qui recueille les données de santé des Français, données sensibles par excellence, étant un groupement d'intérêt public et le SNDS, dépendant de l'assurance maladie, il existe deux lectures des textes précités au sein de l'État : d'aucuns ont affirmé publiquement à l'Assemblée que la doctrine « cloud au centre » doit leur être appliquée, d'autres réfutent cette assertion en se référant à l'article 1er du décret cité plus haut. Dans un souci urgent de clarification, il souhaite connaître sa lecture et lui demande comment il envisage, dans le cas où ces plateformes ne seraient pas concernées par la récente circulaire, de sécuriser les données de santé des Français.