Question de Mme LIENEMANN Marie-Noëlle (Paris - CRCE-R) publiée le 09/07/2020
Mme Marie-Noëlle Lienemann interroge M. le ministre des solidarités et de la santé sur les conditions d'attribution à Microsoft et à sa plateforme « azure » du contrat d'hébergeur de la plateforme « health data hub ».
Le « health data hub » a été créé en novembre 2019 dans le cadre de la loi n° 2019-774 du 24 juillet 2019 relative à l'organisation et à la transformation du système de santé pour mettre en œuvre la stratégie d'intelligence artificielle (IA) française annoncée par le Président de la République. Il regroupe l'ensemble des données de santé des Français, issues entre autres du système national des données de santé (SNDS). Il comprend les données de l'assurance maladie, des hôpitaux, du registre des décès, en un mot, tous les actes médicaux réalisés en France.
Or en décembre 2019, le « health data hub » a choisi Microsoft comme hébergeur, qui propose sa solution d'hébergement (« cloud »), nommée « Azure », pour stocker les données de santé.
Il est choquant que pour l'élaboration d'une stratégie d'antelligence artificielle française comme précisée par le Président de la République, l'État ait eu recours aux prestations d'une entreprise non française hors Union européenne de surcroît.
Il s'agit, de plus, d'une entreprise américaine soumise à la fois au Patriot Act I et II ainsi qu'au Cloud Act. En d'autres termes, l'administration américaine aura accès, sur simple demande, aux données personnelles de citoyens français. Il est inacceptable qu'un État étranger puisse avoir accès à ces données et encore moins si c'est l'État français qui lui permet l'accès.
Il est vrai qu'il existe un accord entre l'Union européenne et les États-Unis d'Amérique en matière de données, mais d'une part celui-ci est aujourd'hui contesté devant la Cour de justice de l'Union européenne (CJUE), d'autre part il s'agit des données de santé de 67 millions de nos concitoyens, c'est-à-dire des données extrêmement sensibles dont le transfert ne peut pas relever des accords qui concernent les données plus classiques.
Au contraire, c'est une véritable souveraineté numérique qu'il faudrait mettre en place afin de garantir que les données conservent le plus haut niveau de confidentialité, que les serveurs des hébergeurs soient physiquement sur le territoire français afin que le droit français s'applique. Il faudrait enfin que les entreprises privées participant à cette mission de service public ne soient pas soumises à un autre droit que le droit français afin de garantir par les juridictions française l'application des règles de droit.
Elle lui demande donc quel est le statut juridique de la plateforme « health data hub », si la plateforme ou les services de l'État ont eu recours à une procédure de marché public ; si oui laquelle et dans l'hypothèse d'une procédure formalisée (par exemple appel d'offre), quels ont été les critères d'attribution retenus.
Par ailleurs, elle lui demande quel est le budget de la plateforme « health data hub », qu'il s'agisse d'un ou de plusieurs marchés, ou qu'il s'agisse de prestations commandées auprès de l'acheteur public.
Elle lui demande également ce qu'il entend mettre en place afin de garantir le stockage en France de ces données de santé.
Elle lui demande enfin si le Gouvernement compte soumettre au Parlement un projet de loi pour attribuer aux données de santé la même valeur que les informations d'identité et s'assurer ainsi qu'elles ne puissent être stockées à l'étranger.
- page 3145
Transmise au Ministère de la santé et de la prévention
La question est caduque
Page mise à jour le