B. LES MODALITÉS : UNE PLATEFORME NUMÉRIQUE ET UNE OBLIGATION JURIDIQUE
1. Le volet technique : une plateforme sécurisée et une API
Sur le plan technique , le Crisis Data Hub consiste donc en une plateforme permettant de connecter entre elles différentes bases de données et d'exécuter les traitements nécessaires. Le lien avec les producteurs ou utilisateurs de données se fait par une interface de programmation, ou Application Programming Interface ( API ) .
À cette fin, il convient avant tout d'investir dans une solution cloud d'hébergement sécurisée, capable de monter très rapidement en capacité. Par rapport à un hébergement « en propre » sur les serveurs physiques d'une organisation, le cloud présente en effet de nombreux avantages, qui deviennent cruciaux dans un contexte de gestion de crise 131 ( * ) :
- la flexibilité dans l'utilisation des capacités : principal avantage du cloud , cette « scalabilité » est indispensable pour un dispositif qui a vocation à être activé en urgence et pour traiter des données dont ni la nature, ni la quantité ne peuvent être précisément déterminées à l'avance ;
- la collaboration entre les équipes et l'échange de données sécurisées : le CDH a vocation à traiter de données sensibles, et celles-ci devront pouvoir être échangées rapidement entre des acteurs qu'il n'est, là non plus, pas possible de prévoir à l'avance ;
- l'agilité et la fluidité du déploiement : le cloud permet notamment aux développeurs d'utiliser des « briques » logicielles standard, prêtes à l'emploi et constamment enrichies par les acteurs du secteur, qui se trouvent être les entreprises les plus performantes du monde en matière d'intelligence artificielle ;
- la sécurité et la résilience ;
- l'agilité de déploiement des activités stratégiques .
Les trois services du cloud computing
Infrastructure as a Service (IaaS) : le client loue, par abonnement, une infrastructure informatique (serveurs, stockage, sauvegarde, virtualisation, réseaux, etc.) qui se trouve dans les locaux physiques du fournisseur, lequel est aussi responsable de la sécurité. Le client paie en fonction de sa seule consommation , par opposition au modèle traditionnel où il supporte les coûts d'investissement et de maintenance de sa propre infrastructure, y compris si celle-ci se trouve en sous-capacité ou surcapacité. Le client demeure en revanche responsable de la partie logicielle ( software ), c'est-à-dire les applications de traitement des données hébergées sur le cloud .
Software-as-a-Service (SaaS) : les logiciels sont développés par le fournisseur et installés sur les serveurs de ce dernier . Le client peut les utiliser librement en échange d'un abonnement, plutôt que d'une licence. Parmi les principaux exemples, on peut notamment citer les services de messagerie, de collaboration, de gestion de la relation client (CRM) ou des ressources humaines (GRH), de visioconférence ou encore de création de sites de e-commerce.
Platform-as-a-Service (PaaS) : le client développe et maîtrise lui-même ses applications, tandis que le fournisseur de cloud lui offre un environnement d'exécution rapidement disponible (infrastructure, logiciels de base tels que les systèmes d'exploitation, base de données, etc.), qui lui épargne notamment les tâches de configuration. Ce modèle est particulièrement adapté aux applications « métier » spécifiques - parmi lesquelles on peut trouver la recherche médicale et épidémiologique, ou encore la gestion d'une campagne de dépistage ou de vaccination.
Ces trois types de services sont naturellement cumulables , et tous sont proposés par les principaux acteurs du secteur, notamment Amazon Web Services (AWS), Microsoft Azure et Google Cloud . Leur point commun est d'être proposés sur demande ( as a Service - aaS ) et donc de s'adapter en temps réel aux besoins du client.
En temps « normal », aucune donnée ne serait bien sûr échangée dans ce cadre . En revanche, ce temps serait mis à profit pour la construction, la maintenance et l'amélioration du système , qui ont cruellement fait défaut lors de la crise actuelle.
2. Le volet juridique : une obligation de disponibilité des données
D'un point de vue juridique , la mise en place du Crisis Data Hub se traduirait par la création d'une obligation légale, pour certaines entreprises et organisations, de maintenir des bases de données dont le contenu et le format seraient fixés à l'avance, et de se tenir prêtes à les connecter à la plateforme, via l'API, en cas de nécessité.
La seule nouveauté ici concerne le fait de se préparer à transmettre les données. La demande de transmission effective, formulée le cas échéant par les pouvoirs publics, s'inscrit quant à elle soit dans le cadre du droit commun de la réquisition administrative 132 ( * ) , soit en application d'un article spécifique de la loi relative à l'État d'urgence sanitaire . Ces réquisitions font l'objet d'une indemnisation.
Le pouvoir de réquisition au titre de l'état d'urgence sanitaire
Bien qu'ils n'aient pas été utilisés à des fins de réquisition des données lors de la crise du Covid-19, plusieurs articles relatifs au pouvoir de réquisition ont été introduits dans le code de la santé publique par la loi n° 2020-290 du 23 mars 2020 d'urgence pour faire face à l'épidémie de Covid-19 :
- l'article L. 3131-1 pose un principe général : « En cas de menace sanitaire grave appelant des mesures d'urgence, notamment en cas de menace d'épidémie, le ministre chargé de la santé peut, par arrêté motivé, prescrire dans l'intérêt de la santé publique toute mesure proportionnée aux risques courus et appropriée aux circonstances de temps et de lieu afin de prévenir et de limiter les conséquences des menaces possibles sur la santé de la population. (...) Le ministre peut habiliter le représentant de l'État territorialement compétent à prendre toutes les mesures d'application de ces dispositions, y compris des mesures individuelles. Ces dernières mesures font immédiatement l'objet d'une information du procureur de la République » ;
- l'article L. 3131-15 précise quant à lui que « dans les circonscriptions territoriales où l'état d'urgence sanitaire est déclaré, le Premier ministre peut, par décret réglementaire pris sur le rapport du ministre chargé de la santé, aux seules fins de garantir la santé publique : (...) 7° Ordonner la réquisition de toute personne et de tous biens et services nécessaires à la lutte contre la catastrophe sanitaire . L'indemnisation de ces réquisitions est régie par le code de la défense ».
C'est notamment sur le fondement de ce dernier article qu'il a été procédé à la réquisition des masques FFP2 au début de la crise sanitaire, ou encore des personnels médicaux et des pompes funèbres.
Ce n'est pas la première fois qu'un tel pouvoir de réquisition est utilisé dans le cadre d'une crise sanitaire : en 2006, les locaux et personnels des cliniques privées avaient été réquisitionnés pour assurer la prise en charge des patients atteints du chikungunya, et en 2009, des locaux, personnels médicaux et personnels administratifs l'avaient été dans le cadre de la crise H1N1. Le code de la santé publique contient d'ailleurs plusieurs autres articles en ce sens :
- l'article L. 3131-8 concerne le pouvoir de réquisition du préfet : « Si l'afflux de patients ou de victimes ou la situation sanitaire le justifie, sur proposition du directeur général de l'agence régionale de santé, le représentant de l'État dans le département peut procéder aux réquisitions nécessaires de tous biens et services, et notamment requérir le service de tout professionnel de santé, quel que soit son mode d'exercice, et de tout établissement de santé ou établissement médico-social ».
- l'article L. 3131-9 autorise, dans les mêmes conditions, l'exercice du pouvoir de réquisition par les préfets de zone de défense (par arrêté) ou par le Premier ministre (par décret).
Ainsi, rien n'interdit que des données nécessaires à la gestion d'une crise sanitaire puissent faire l'objet d'une réquisition administrative si les circonstances l'exigent.
Compte tenu de la sensibilité potentielle de certaines données et du caractère dérogatoire des traitements mis en oeuvre, il est important que la transmission se fasse sous le régime de la réquisition : celui-ci évite en effet aux entreprises d'en assumer la responsabilité face à leurs clients . De fait, cette responsabilité incombe aux seuls pouvoirs publics, qui agissent ici au nom de l'intérêt général et doivent justifier des mesures prises devant les citoyens.
La liste des acteurs soumis à ce régime spécifique serait fixée par décret. Pour la définir, il serait possible de s'inspirer de la liste des opérateurs d'importance vitale (OIV) , lesquels sont soumis à des obligations particulières, notamment en matière de systèmes d'information, et bénéficient à ce titre d'un accompagnement de l'ANSSI (la comparaison a bien sûr ses limites, la finalité des deux régimes étant notamment différente).
Les opérateurs d'importance vitale (OIV)
Les opérateurs d'importance vitale (OIV) sont les acteurs publics ou privés dont les activités sont considérées comme indispensables à la survie de la nation ou dangereuses pour la population. Leur protection contre les actes de malveillance (terrorisme, sabotage, etc.) et les risques naturels, technologiques et sanitaires relève de la politique de sécurisation des activités d'importance vitale (SAIV) , conçue et pilotée par le secrétariat général de la défense et de la sécurité nationale (SGDSN).
La liste compte environ 250 OIV, répartis en 13 secteurs d'activité : santé, transport, gestion de l'eau, industrie, énergie, finances, communications, activité militaire, activité civile de l'État, activité judiciaire, alimentation, espace et recherche. Pour des raisons de sécurité nationale, cette liste n'est pas publique.
Une fois désignés, les OIV bénéficient d'une protection particulière et sont soumis à des obligations spécifiques : la désignation d'un délégué pour la défense et la sécurité (interlocuteur privilégié de l'autorité administrative, habilité « Confidentiel défense ») ; la rédaction d'un plan de sécurité d'opérateur (PSO) qui décrit l'organisation et la politique de sécurité de l'opérateur ; la rédaction de plans particuliers de protection (PPP) pour chacun des points d'importance vitale identifiés. La procédure de « criblage » permet aux OIV de demander à l'autorité administrative de vérifier que les caractéristiques de la personne souhaitant accéder à son PIV ne sont pas incompatibles avec la sécurité du site concerné.
Face à l'augmentation en quantité et en sophistication des attaques informatiques, et à leurs impacts potentiellement destructeurs, il a été décidé, à la suite du Livre blanc sur la défense et la sécurité nationale de 2013, de compléter ce dispositif par un important volet relatif à la cybersécurité , prévu par l'article 22 de la loi de programmation militaire de 2013.
L'Agence nationale de sécurité des systèmes d'information (ANSSI) est ainsi chargée d'accompagner les OIV dans la mise en oeuvre de leurs obligations spécifiques en matière de sécurisation de leurs systèmes d'information 133 ( * ) .
Sources : délégation à la prospective, d'après les informations de l'ANSSI et du SGDSN.
Dans de nombreux cas, les entreprises concernées sont par ailleurs délégataires d'une mission de service public (transport, etc.), quand elles ne sont pas tout simplement des entreprises publiques. Beaucoup exercent une activité dans un secteur règlementé , et sont familières des discussions avec les pouvoirs publics. Tout cela pourrait faciliter l'élaboration et la mise en place de l'obligation proposée.
Toutefois, certaines données potentiellement cruciales dans le cadre d'une gestion de crise sont produites par des entreprises qui ne sont pas françaises, ce qui pose la question de la portée extraterritoriale effective de la mesure . L'exemple-type est celui des données de géolocalisation, que Facebook utilise pour son Safety Check , mais qu'il est peu probable que la France puisse obtenir sur simple demande. Le verrouillage du Bluetooth par Apple dans le cadre du développement des applications de contact tracing doit nous inviter à ne pas faire preuve de naïveté.
Dans de pareils cas, une attitude pragmatique s'impose :
- t out d'abord , si le Crisis Data Hub pouvait au moins accéder aux données produites par des acteurs français, ce serait déjà un progrès immense. L'enrichissement du « catalogue » de la plateforme sera de toute façon progressif ;
- e nsuite , s'il est très peu vraisemblable que les GAFA acceptent de participer au dispositif, il est incontestable que ceux-ci, par ailleurs, ont agi de façon volontariste et proactive dans le cadre de la gestion de la crise du Covid-19 , développant des outils spécifiques et partageant certaines données avec des chercheurs dans le cadre de partenariats (cf. supra ). Une approche partenariale est donc possible, et même prometteuse compte tenu de la réactivité de ces entreprises, de leur sens de l'innovation et de leurs moyens considérables ;
- e nfin, et surtout, l'idéal serait de mettre en place un Crisis Data Hub européen (ECDH) : celui-ci permettrait non seulement de convaincre davantage d'entreprises, mais aussi d'utiliser et de partager davantage de données pour gérer des crises qui, par nature, ont une dimension transnationale. Naturellement, le chemin est encore long : c'est pourquoi le présent rapport se concentre sur un Crisis Data Hub national, comme premier pas mais aussi « preuve du concept » , comme l'est du reste dans son domaine le Health Data Hub .
L'obligation juridique faite aux producteurs de données pourrait se doubler d'une obligation symétrique pour les utilisateurs (potentiels) de ces données, c'est-à-dire les acteurs de la gestion de crise (établissements de santé, prestataires logistiques, gestionnaires d'infrastructures, etc.).
On notera que les acteurs de la gestion de crise, producteurs comme utilisateurs potentiels de données, peuvent aussi être des administrations publiques (hôpitaux, sécurité civile, forces de l'ordre, autorités de régulation diverses, etc.). Ceci rappelle qu'au-delà de la création d'un régime juridique ad hoc , l'enjeu est aussi celui de la préparation opérationnelle : disposer des bonnes données est une chose, avoir la capacité de bien les utiliser au bon moment - et ne serait-ce que d'y penser - en est une autre.
* 131 Cette liste est issue du livre blanc sur le Coud européen publié le 4 mai 2021 par le cabinet KPMG, à partir notamment de plus de 250 entretiens avec des décideurs publics et privés européens. Elle contient un sixième critère, celui de la flexibilité des coûts, qui est directement lié à la flexibilité des capacités mais qui est secondaire dans un contexte de gestion de crise majeure. D'une manière générale, 82 % des décideurs interrogés par le cabinet KPMG ont d'ailleurs augmenté leur utilisation du cloud en réponse directe à la pandémie. Cf. https://home.kpmg/fr/fr/home/media/press-releases/2021/05/cloud-europeen-marche-enjeux-economiques.html
* 132 En pratique, de très nombreux textes portent sur le pouvoir de réquisition, qui peut être exercé par le Premier ministre ou le préfet sur le territoire de son département. Le régime général de la réquisition s'exerce habituellement au titre du pouvoir de police du préfet, en application du 4° de l'article L.2215-1-4° du code général des collectivités territoriales : « En cas d'urgence, lorsque l'atteinte constatée ou prévisible au bon ordre, à la salubrité, à la tranquillité et à la sécurité publiques l'exige et que les moyens dont dispose le préfet ne permettent plus de poursuivre les objectifs pour lesquels il détient des pouvoirs de police, celui-ci peut, par arrêté motivé (...) réquisitionner tout bien ou service , requérir toute personne nécessaire au fonctionnement de ce service ou à l'usage de ce bien et prescrire toute mesure utile jusqu'à ce que l'atteinte à l'ordre public ait pris fin ou que les conditions de son maintien soient assurées ».
* 133 Décret n° 2015-351 relatif à la sécurité des systèmes d'information des opérateurs d'importance vitale et décret n° 2015-350 relatif à la qualification des produits de sécurité et des prestataires de services de confiance pour les besoins de la sécurité nationale.