Texte de la question

M. Pierre Dharréville alerte M. le ministre délégué auprès de la ministre du travail, de la santé et des solidarités, chargé de la santé et de la prévention, sur les risques dus à l'hébergement de données de santé par la société Microsoft. En effet, le 21 décembre 2023, la Commission nationale de l'informatique et des libertés (CNIL) a rendu une délibération autorisant le groupement d'intérêt public « Plateforme des données de santé » (GIP PDS) à constituer un entrepôt de données de santé. Cet agrément a été octroyé malgré le choix du GIP PDS de sélectionner Microsoft comme hébergeur. Néanmoins, la CNIL elle-même ainsi que des associations et des experts alertent sur un risque réel de transfert de données vers les États-Unis d'Amérique, car cette entreprise reste soumise au droit extraterritorial américain. Selon Bernard Benhamou, secrétaire général de l'Institut de souveraineté numérique, 30 000 demandes d'interceptions de données, fondées sur la loi américaine FISA (Foreign Intelligence Surveillance Act), ont déjà été adressées et seulement 11 ont été refusées. La CNIL justifie sa décision en mentionnant « qu'aucun prestataire potentiel ne propose d'offres d'hébergement répondant aux exigences techniques et fonctionnelles du GIP PDS pour la mise en œuvre du projet dans un délai compatible avec les impératifs [de] ce dernier ». Cette décision de recourir aux services de Microsoft n'est en réalité qu'une solution de facilité puisque des acteurs français auraient pu répondre à ce besoin et que la puissance publique elle-même devrait être en capacité de subvenir à ses besoins numériques. L'autorisation de la CNIL représente donc un risque non justifié. Il lui demande donc quelles mesures sont prévues pour assurer une garantie quant à la sécurité des données personnelles médicales des Français.