Non au transfert des données de santé de 10 millions de Français dans le cloud de Microsoft

En avril dernier, 6 organ­i­sa­tions (SMG, LDH, Sud san­té, AIDES, Inter­hop, Con­stances) dénonçaient dans le com­mu­niqué ci-dessous la déci­sion de l’E­tat français de trans­fér­er les don­nées de san­té des français (pour le moment 10 mil­lions) chez l’améri­cain Microsoft (celles de Doc­tolib – ren­du qua­si oblig­a­toire pen­dant le covid – sont chez Ama­zon…).

Ces trans­ferts ne sont pas neu­tres : le Cloud Act per­met aux admin­is­tra­tions améri­caines d’ac­céder aux don­nées hébergées par les four­nisseurs de ser­vices basés aux États-Unis ou de nation­al­ité améri­caine, même lorsque ces don­nées sont hébergées en dehors des fron­tières améri­caines…

Or, les don­nées de san­té sont con­sid­érées comme “sen­si­bles” en droit européen comme français (RGPD arti­cle 4.15 ; Code civ­il, arti­cle 9 ; Code de la san­té publique, art. L. 1110–4), notam­ment parce qu’elles sont très intru­sives et – en principe – pro­tégées par le secret médi­cal. Elles sont théorique­ment “anonymisées” par des algo­rithmes com­plex­es, mais une étude de 2015 mon­trait qu’il suf­fit de dis­pos­er de quelques infor­ma­tions sim­ples à obtenir pour réi­den­ti­fi­er à coup sûr neuf patients sur dix, et même la total­ité des patients s’ils ont subi plus d’une hos­pi­tal­i­sa­tion dans l’année.

Les con­fi­er à des big tech US est donc par­ti­c­ulière­ment dan­gereux d’au­tant qu’ils chercheront à les moné­tis­er en les reven­dant à des assur­ances, mutuelles, employeurs … qui pour­raient ain­si généralis­er des poli­tiques dis­crim­i­na­toires basées sur notre état de san­té.

COMMUNIQUÉ

Le 11 mars, la Cnil a don­né son feu vert au pro­jet Dar­win EU qui prévoit un trans­fert mas­sif d’informations de la Cnam vers le géant de la Tech domi­cil­ié aux Etats-Unis et sous la coupe des autorités améri­caines. Un col­lec­tif pré­pare un recours devant le Con­seil d’Etat et appelle syn­di­cats, asso­ci­a­tions et per­son­nal­ités à le rejoin­dre.

Une chance sur 7. Vous avez une chance sur 7 de voir vos don­nées de san­té migr­er dans le cloud de Microsoft et tomber sous les lois améri­caines et donc sous le bon vouloir de son Prési­dent Don­ald Trump et du patron du DOGE, Elon Musk.

Alors heureux ? Eh oui, vous faites peut-être par­tie des 10 mil­lions de Français et Français­es tirés au sort dans le cadre du pro­jet DARWIN EU coor­don­né par l’Agence européenne des médica­ments et con­duit, en France, par le groupe­ment d’intérêt pub­lic “Plate­forme des don­nées de san­té”, plus con­nu sous le nom de Health Data Hub (HDH).

Dans une délibéra­tion pub­liée le 11 mars dernier [1], la Com­mis­sion nationale de l’informatique et des lib­ertés (CNIL) a don­né son feu vert au HDH pour sélec­tion­ner un échan­til­lon aléa­toire de la pop­u­la­tion française de 10 mil­lions de per­son­nes représen­tatif en ter­mes d’âge, de sexe et de départe­ment de rési­dence dans la base prin­ci­pale du Sys­tème nation­al des don­nées de san­té. Les objec­tifs sont certes louables : déter­min­er en rou­tine la pré­va­lence et l’incidence de l’utilisation des médica­ments et des vac­cins en France selon une méthodolo­gie stan­dard­is­ée.

Moins louable, l’hébergeur choisi pour stock­er ces don­nées, issues en grande majorité de la Caisse nationale d’assurance mal­adie, est l’entreprise Microsoft. En 2020, nous aler­tions déjà sur le fait que les don­nées sen­si­bles de san­té de la pop­u­la­tion française tombaient sous le coup des lois améri­caines en rai­son de la domi­cil­i­a­tion de Microsoft aux États-Unis dans le cadre d’une procé­dure en référé. En octo­bre 2020 [2], le Con­seil d’Etat recon­nais­sait ce risque d’extraterritorialité du droit améri­cain. Un mois plus tard, dans un cour­ri­er daté du 19 novem­bre 2020, le Min­istre de la san­té, Olivi­er Véran [3], engageait le Gou­verne­ment à faire dis­paraître com­plète­ment, d’ici 2 ans, les risques que présente l’hébergement des don­nées de san­té par un opéra­teur améri­cain.

Cinq ans ont passé : la solu­tion tech­nique est tou­jours Microsoft. Les autorités états-uni­ennes, aujourd’hui représen­tées par Don­ald Trump, peu­vent adress­er à Microsoft des injonc­tions de com­mu­ni­ca­tion des don­nées de san­té de 10 mil­lions de Français et Français­es (avec une pro­fondeur his­torique de 9 ans, plus l’année en cours). Dans son avis du 11 mars 2025, la CNIL alerte à nou­veau sur le risque “de com­mu­ni­ca­tion à des puis­sances étrangères” des don­nées de san­té hébergées chez “un acteur soumis à un droit extra-européen”, et regrette l’absence de solu­tion sou­veraine.

Ceux-là même qui, au Gou­verne­ment, se tar­guent de défendre la “sou­veraineté de notre pays nous mènent-ils en bateau depuis presque 10 ans ? La main sur le cœur, on nous dit qu’un appel d’offre est en pré­pa­ra­tion pour choisir un hébergeur européen. Paroles, paroles

Cela appa­raît d’autant plus urgent que Don­ald Trump vient de paral­yser l’agence de super­vi­sion indépen­dante – le Pri­va­cy and Civ­il Lib­er­ties Over­sight Board – chargée de garan­tir un niveau pro­tec­tion “adéquat” à celui défi­ni par le règle­ment européen RGPD et ain­si d’autoriser le trans­fert des don­nées per­son­nelles entre l’Europe et les États-Unis.

Aus­si, face à l’inertie du Gou­verne­ment, nous pré­parons un nou­veau recours devant le Con­seil d’Etat et appelons syn­di­cats, asso­ci­a­tions et per­son­nal­ités à nous rejoin­dre pour que les don­nées de san­té de 10 mil­lions de Français et Français­es ne risquent pas d’être exploitées par des tiers non désirés.

Aujourd’hui, alors que le con­texte inter­na­tion­al est boulever­sé, que nos “amis” à la tête des Etats-Unis ne sem­blent plus l’être, nous – syn­di­cats, asso­ci­a­tions et citoyens – réitérons nos deman­des de solu­tions exclu­sive­ment soumis­es au droit de l’Union européenne pour nos don­nées de san­té des­tinées à des fins de recherche sci­en­tifique et de san­té publique. Nous deman­dons égale­ment que des solu­tions décon­cen­trées soient recher­chées. Pour que les dis­cours sur la sou­veraineté numérique ne restent pas des paroles en l’air.

Sig­nataires :

[1] https://www.legifrance.gouv.fr/cnil/id/CNILTEXT000051309880

[2] https://www.conseil-etat.fr/actualites/health-data-hub-et-protection-de-donnees-personnelles-des-precautions-doivent-etre-prises-dans-l-attente-d-une-solution-perenne

[3] https://www.documentcloud.org/documents/7331959-Courrier-Veran.html#document/p2

L’ac­tion se pour­suit

  • un référé-sus­pen­sion a bien été déposé auprès du Con­seil d’E­tat pour une délibéra­tion le 11 juin (résul­tat en attente)
  • la LDH, Inter­hop, Con­stances, le Syn­di­cat de la médecine générale et la fédéra­tion Sud san­té soci­aux sol­lici­tent dès main­tenant son ren­voi auprès de la Cour de jus­tice de l’Union européenne (CJUE) car ils con­sid­èrent que cela con­tribue à l’invalidation d’un acte de la Com­mis­sion européenne.

Autres arti­cles

Arti­cle de Z sur les algo­rithmes et la Sécu (05÷2025)

Les dan­gers induits par Mon espace san­té et par le Dossier Médi­cal Partagé (DMP) (02÷2025)

Doc­tolib et la marchan­di­s­a­tion des don­nées san­té (01÷2025)

L’i­den­tité numérique en san­té : entre con­trôle et déshu­man­i­sa­tion (10÷2023)

Ate­lier San­té : con­clu­sions de la con­ven­tion (10÷2023)