En avril dernier, 6 organisations (SMG, LDH, Sud santé, AIDES, Interhop, Constances) dénonçaient dans le communiqué ci-dessous la décision de l'Etat français de transférer les données de santé des français (pour le moment 10 millions) chez l'américain Microsoft (celles de Doctolib - rendu quasi obligatoire pendant le covid - sont chez Amazon...).
Ces transferts ne sont pas neutres : le Cloud Act permet aux administrations américaines d'accéder aux données hébergées par les fournisseurs de services basés aux États-Unis ou de nationalité américaine, même lorsque ces données sont hébergées en dehors des frontières américaines...
Or, les données de santé sont considérées comme "sensibles" en droit européen comme français (RGPD article 4.15 ; Code civil, article 9 ; Code de la santé publique, art. L. 1110-4), notamment parce qu'elles sont très intrusives et - en principe - protégées par le secret médical. Elles sont théoriquement "anonymisées" par des algorithmes complexes, mais une étude de 2015 montrait qu’il suffit de disposer de quelques informations simples à obtenir pour réidentifier à coup sûr neuf patients sur dix, et même la totalité des patients s’ils ont subi plus d’une hospitalisation dans l’année.
Les confier à des big tech US est donc particulièrement dangereux d'autant qu'ils chercheront à les monétiser en les revendant à des assurances, mutuelles, employeurs ... qui pourraient ainsi généraliser des politiques discriminatoires basées sur notre état de santé.
COMMUNIQUÉ
Le 11 mars, la Cnil a donné son feu vert au projet Darwin EU qui prévoit un transfert massif d’informations de la Cnam vers le géant de la Tech domicilié aux Etats-Unis et sous la coupe des autorités américaines. Un collectif prépare un recours devant le Conseil d’Etat et appelle syndicats, associations et personnalités à le rejoindre.
Une chance sur 7. Vous avez une chance sur 7 de voir vos données de santé migrer dans le cloud de Microsoft et tomber sous les lois américaines et donc sous le bon vouloir de son Président Donald Trump et du patron du DOGE, Elon Musk.
Alors heureux ? Eh oui, vous faites peut-être partie des 10 millions de Français et Françaises tirés au sort dans le cadre du projet DARWIN EU coordonné par l’Agence européenne des médicaments et conduit, en France, par le groupement d’intérêt public "Plateforme des données de santé", plus connu sous le nom de Health Data Hub (HDH).
Dans une délibération publiée le 11 mars dernier [1], la Commission nationale de l’informatique et des libertés (CNIL) a donné son feu vert au HDH pour sélectionner un échantillon aléatoire de la population française de 10 millions de personnes représentatif en termes d’âge, de sexe et de département de résidence dans la base principale du Système national des données de santé. Les objectifs sont certes louables : déterminer en routine la prévalence et l’incidence de l’utilisation des médicaments et des vaccins en France selon une méthodologie standardisée.
Moins louable, l’hébergeur choisi pour stocker ces données, issues en grande majorité de la Caisse nationale d’assurance maladie, est l’entreprise Microsoft. En 2020, nous alertions déjà sur le fait que les données sensibles de santé de la population française tombaient sous le coup des lois américaines en raison de la domiciliation de Microsoft aux États-Unis dans le cadre d’une procédure en référé. En octobre 2020 [2], le Conseil d’Etat reconnaissait ce risque d’extraterritorialité du droit américain. Un mois plus tard, dans un courrier daté du 19 novembre 2020, le Ministre de la santé, Olivier Véran [3], engageait le Gouvernement à faire disparaître complètement, d’ici 2 ans, les risques que présente l’hébergement des données de santé par un opérateur américain.
Cinq ans ont passé : la solution technique est toujours Microsoft. Les autorités états-uniennes, aujourd’hui représentées par Donald Trump, peuvent adresser à Microsoft des injonctions de communication des données de santé de 10 millions de Français et Françaises (avec une profondeur historique de 9 ans, plus l’année en cours). Dans son avis du 11 mars 2025, la CNIL alerte à nouveau sur le risque “de communication à des puissances étrangères” des données de santé hébergées chez “un acteur soumis à un droit extra-européen”, et regrette l’absence de solution souveraine.
Ceux-là même qui, au Gouvernement, se targuent de défendre la "souveraineté de notre pays nous mènent-ils en bateau depuis presque 10 ans ? La main sur le cœur, on nous dit qu’un appel d’offre est en préparation pour choisir un hébergeur européen. Paroles, paroles...
Cela apparaît d’autant plus urgent que Donald Trump vient de paralyser l’agence de supervision indépendante - le Privacy and Civil Liberties Oversight Board – chargée de garantir un niveau protection "adéquat" à celui défini par le règlement européen RGPD et ainsi d’autoriser le transfert des données personnelles entre l’Europe et les États-Unis.
Aussi, face à l’inertie du Gouvernement, nous préparons un nouveau recours devant le Conseil d’Etat et appelons syndicats, associations et personnalités à nous rejoindre pour que les données de santé de 10 millions de Français et Françaises ne risquent pas d’être exploitées par des tiers non désirés.
Aujourd’hui, alors que le contexte international est bouleversé, que nos "amis" à la tête des Etats-Unis ne semblent plus l’être, nous - syndicats, associations et citoyens - réitérons nos demandes de solutions exclusivement soumises au droit de l’Union européenne pour nos données de santé destinées à des fins de recherche scientifique et de santé publique. Nous demandons également que des solutions déconcentrées soient recherchées. Pour que les discours sur la souveraineté numérique ne restent pas des paroles en l’air.
Signataires :
- Association Constances
- Association InterHop
- AIDES
- Ligue des droits de l'homme
- Fédération SUD Santé Sociaux
- Syndicat de la Médecin Générale (SMG)
[1] https://www.legifrance.gouv.fr/cnil/id/CNILTEXT000051309880
[3] https://www.documentcloud.org/documents/7331959-Courrier-Veran.html#document/p2
L'action se poursuit
- un référé-suspension a bien été déposé auprès du Conseil d'Etat pour une délibération le 11 juin (résultat en attente)
- la LDH, Interhop, Constances, le Syndicat de la médecine générale et la fédération Sud santé sociaux sollicitent dès maintenant son renvoi auprès de la Cour de justice de l’Union européenne (CJUE) car ils considèrent que cela contribue à l’invalidation d’un acte de la Commission européenne.
Autres articles
Article de Z sur les algorithmes et la Sécu (05/2025)
Les dangers induits par Mon espace santé et par le Dossier Médical Partagé (DMP) (02/2025)
Doctolib et la marchandisation des données santé (01/2025)
L'identité numérique en santé : entre contrôle et déshumanisation (10/2023)