Expertises des Systèmes d'information - Juillet 2020 - N°459 - Le mensuel du droit de l'informatique et du multimédia - 255

F

O

L

C

U

S

orsque
Microsoft
avait
été désigné pour assurer
l'hébergement des bases de
données sur la plateforme
Health Data Hub (HDH) au début
2020, le choix d'un sous-traitant
américain, qui plus est un Gafa,
avait déjà fait polémique. Depuis
la crise sanitaire du Covid  19, la
controverse d'experts a glissé sur un
terrain plus politique. Si la question
de la souveraineté nationale et celle
de la maîtrise des données de santé
de citoyens français innervent le
débat, la bataille s'est néanmoins
principalement placée sur le terrain
juridique. Mais ni le risque d'un
transfert transatlantique de nos
données personnelles en vertu des
lois américaines extra-territoriales
ni celui d'un favoritisme au profit
d'un Gafa grâce à un télescopage
des règles des marchés publics ne
semblent démontrés.
Le HDH a été créé par la loi du
24 juillet 2019 pour devenir une
plateforme centralisant plusieurs
sources de données de santé
afin de faciliter la recherche au
bénéfice d'acteurs privés et publics.
Le groupement d'intérêt public
TICsanté a choisi Microsoft Azure
comme prestataire d'hébergement
de la plateforme. Sa directrice
Stéphanie Combes a expliqué que
cette sélection n'était «  pas idéale  »
mais correspondait à un «  choix
d'opportunité  » afin «  d'aller vite  »
pour ne pas prendre de retard sur
les autres pays. Elle assure qu'elle
aurait préféré un acteur français et
qu'elle était consciente que l'option
Microsoft allait susciter la polémique
mais « aucun n'était en mesure faire
ce que nous demandions  ». A ce
moment, Microsoft était la seule
société à être certifiée hébergeur
de données de santé sur les six
activités référencées.
On reproche au TICsanté d'avoir
favorisé Microsoft au détriment
d'acteurs français, en s'abstenant
de recourir à un appel d'offre.
Faute d'alternative, aux yeux du
GIP, ce dernier a pu juridiquement
être dispensé de la procédure de
marché public. Il est donc passé
par l'Ugap (Union des groupements
d'achats publics) et a inscrit l'offre

Données de santé : vent
contraire pour Microsoft
Si le choix de Microsoft pour héberger le Health
Data Hub génère une controverse, les raisons
sont plus politiques que juridiques.
d'hébergement dans le cadre du
marché existant du ministère sur
la sécurité.
Mais la plus grande critique porte
sur l'hébergement de nos données
de santé par un prestataire américain, avec un risque de transfert aux
Etats-Unis. La question est devenue
encore plus sensible avec l'arrêté du
21 avril 2020, complétant celui du
23 mars, qui accélère le déploiement
de la plateforme au nom de l'état
d'urgence sanitaire, en élargissant
notamment le champ des données.
Un certain nombre d'organisations
ont attaqué en référé le gouvernement devant le Conseil d'Etat.
Dans sa décision du 19 juin 2020, le
Conseil a répondu que le choix de
Microsoft Azure ne représentait pas
un danger pour le respect de notre
vie privée et de la protection des
données personnelles.
Les associations avaient invoqué
le risque de transfert des données,
notamment en vertu du Cloud Act.
Mais le Conseil d'Etat a commencé
par préciser que les données
étaient stockées dans un des data
centers de Microsoft aux Pays-Bas
puis prochainement en France.
Et seules les données nécessaires
aux opérations de maintenance
ou de résolution d'incidents et
non les données de santé étaient
susceptibles d'être transférées outreAtlantique. Or, le Conseil rappelle
que le Cloud Act ne s'applique que
dans le seul cadre d'une enquête
criminelle. Il y a donc très peu
de risques que cela concerne les
données de santé, d'autant que les
demandes d'accès doivent porter
sur des données nominatives. Or, le
HDH ne comporte que des données
pseudonymisées, obtenues après
un chiffrement irréversible sur
l'identifiant initial et dont Microsoft
n'a pas la clé.
EXPERTISES juillet/août 2020

Sur ce dernier point, se pose néanmoins la question de la robustesse
de cette pseudonymisation que la
Cnil n'a pas eu le temps de tester, vu
le peu de délai laissé par le gouvernement. Le Conseil d'Etat n'a pas
été insensible à cette réserve et a
ordonné à la plateforme de fournir
à la Cnil «  tous éléments relatifs
aux procédés de pseudonymisation utilisés, propres à permettre à
celle-ci de vérifier que les mesures
prises assurent une protection suffisante des données de santé traitées
sur le fondement de l'arrêté du
21 avril 2020 ».
La vraie question est donc politique,
en faveur d'une souveraineté
numérique et en soutien d'un
projet industriel sur l'e-médecine.
L'administration assure que la
plateforme a été conçue pour être
reployée aisément vers une solution
d'hébergement, notamment une
offre française qui disposera
de
la
certification
complète.
Stéphanie Combes a rappelé que
«  nous ne sommes pas pieds et
poings liés à Microsoft. Nous
pourrions tout à fait nous appuyer
sur d'autres acteurs. Nous n'avons
pas d'engagement contractuel sur
plusieurs années qui nous enferme
dans ce choix. Il faudrait simplement
qu'il existe chez l'acteur vers lequel
nous ferions la bascule les mêmes
fonctionnalités ».
La contestation de la société civile
et des prestataires français, a fini
par porter ses fruits puisque
Cédric O, secrétaire d'Etat chargé du
Numérique, a ouvert la porte à «  un
appel d'offres afin d'avoir un choix
plus large avec les spécifications
qui permettront à quelqu'un de se
positionner ».
Sylvie ROZENFELD

255



Expertises des Systèmes d'information - Juillet 2020 - N°459 - Le mensuel du droit de l'informatique et du multimédia

Table des matières de la publication Expertises des Systèmes d'information - Juillet 2020 - N°459 - Le mensuel du droit de l'informatique et du multimédia

Couverture
Editorial & Sommaire
FOCUS - DONNÉES DE SANTÉ : VENT CONTRAIRE POUR MICROSOFT
EN BREF - L'INFORMATION RAPIDE SUR LE MONDE DU NUMÉRIQUE
MAGAZINE - L'INFORMATION LÉGALE ET JURISPRUDENTIELLE DU NUMÉRIQUE
INTERVIEW - TRANSMETTRE L’IMMATÉRIEL
DOCTRINE
RESPONSABILITÉ - QUE RESTERA-T-IL DE LA LOI AVIA ?
DONNÉES PERSONNELLES - PLATEFORMES ET TRANSACTIONS DES DONNÉES MÉDICALES EN CHINE
DONNÉES PERSONNELLES - CRISE SANITAIRE : LES LIBERTÉS FONDAMENTALES À L’ÉPREUVE DU TRAÇAGE NUMÉRIQUE
CONTRATS ET RGPD - CLAUSE DE RESPONSABILITÉ : POINT D’ACHOPPEMENT PRINCIPAL DE NÉGOCIATION
DONNÉES PERSONNELLES - LA RECONNAISSANCE FACIALE DES LYCÉENS CENSURÉE PAR LE TRIBUNAL ADMINISTRATIF DE MARSEILLE
Expertises des Systèmes d'information - Juillet 2020 - N°459 - Le mensuel du droit de l'informatique et du multimédia - Couverture
Expertises des Systèmes d'information - Juillet 2020 - N°459 - Le mensuel du droit de l'informatique et du multimédia - Editorial & Sommaire
Expertises des Systèmes d'information - Juillet 2020 - N°459 - Le mensuel du droit de l'informatique et du multimédia - FOCUS - DONNÉES DE SANTÉ : VENT CONTRAIRE POUR MICROSOFT
Expertises des Systèmes d'information - Juillet 2020 - N°459 - Le mensuel du droit de l'informatique et du multimédia - EN BREF - L'INFORMATION RAPIDE SUR LE MONDE DU NUMÉRIQUE
Expertises des Systèmes d'information - Juillet 2020 - N°459 - Le mensuel du droit de l'informatique et du multimédia - 257
Expertises des Systèmes d'information - Juillet 2020 - N°459 - Le mensuel du droit de l'informatique et du multimédia - 258
Expertises des Systèmes d'information - Juillet 2020 - N°459 - Le mensuel du droit de l'informatique et du multimédia - 259
Expertises des Systèmes d'information - Juillet 2020 - N°459 - Le mensuel du droit de l'informatique et du multimédia - 260
Expertises des Systèmes d'information - Juillet 2020 - N°459 - Le mensuel du droit de l'informatique et du multimédia - 261
Expertises des Systèmes d'information - Juillet 2020 - N°459 - Le mensuel du droit de l'informatique et du multimédia - MAGAZINE - L'INFORMATION LÉGALE ET JURISPRUDENTIELLE DU NUMÉRIQUE
Expertises des Systèmes d'information - Juillet 2020 - N°459 - Le mensuel du droit de l'informatique et du multimédia - 263
Expertises des Systèmes d'information - Juillet 2020 - N°459 - Le mensuel du droit de l'informatique et du multimédia - 264
Expertises des Systèmes d'information - Juillet 2020 - N°459 - Le mensuel du droit de l'informatique et du multimédia - 265
Expertises des Systèmes d'information - Juillet 2020 - N°459 - Le mensuel du droit de l'informatique et du multimédia - INTERVIEW - TRANSMETTRE L’IMMATÉRIEL
Expertises des Systèmes d'information - Juillet 2020 - N°459 - Le mensuel du droit de l'informatique et du multimédia - 267
Expertises des Systèmes d'information - Juillet 2020 - N°459 - Le mensuel du droit de l'informatique et du multimédia - 268
Expertises des Systèmes d'information - Juillet 2020 - N°459 - Le mensuel du droit de l'informatique et du multimédia - 269
Expertises des Systèmes d'information - Juillet 2020 - N°459 - Le mensuel du droit de l'informatique et du multimédia - 270
Expertises des Systèmes d'information - Juillet 2020 - N°459 - Le mensuel du droit de l'informatique et du multimédia - RESPONSABILITÉ - QUE RESTERA-T-IL DE LA LOI AVIA ?
Expertises des Systèmes d'information - Juillet 2020 - N°459 - Le mensuel du droit de l'informatique et du multimédia - 272
Expertises des Systèmes d'information - Juillet 2020 - N°459 - Le mensuel du droit de l'informatique et du multimédia - 273
Expertises des Systèmes d'information - Juillet 2020 - N°459 - Le mensuel du droit de l'informatique et du multimédia - 274
Expertises des Systèmes d'information - Juillet 2020 - N°459 - Le mensuel du droit de l'informatique et du multimédia - DONNÉES PERSONNELLES - PLATEFORMES ET TRANSACTIONS DES DONNÉES MÉDICALES EN CHINE
Expertises des Systèmes d'information - Juillet 2020 - N°459 - Le mensuel du droit de l'informatique et du multimédia - 276
Expertises des Systèmes d'information - Juillet 2020 - N°459 - Le mensuel du droit de l'informatique et du multimédia - 277
Expertises des Systèmes d'information - Juillet 2020 - N°459 - Le mensuel du droit de l'informatique et du multimédia - 278
Expertises des Systèmes d'information - Juillet 2020 - N°459 - Le mensuel du droit de l'informatique et du multimédia - 279
Expertises des Systèmes d'information - Juillet 2020 - N°459 - Le mensuel du droit de l'informatique et du multimédia - DONNÉES PERSONNELLES - CRISE SANITAIRE : LES LIBERTÉS FONDAMENTALES À L’ÉPREUVE DU TRAÇAGE NUMÉRIQUE
Expertises des Systèmes d'information - Juillet 2020 - N°459 - Le mensuel du droit de l'informatique et du multimédia - 281
Expertises des Systèmes d'information - Juillet 2020 - N°459 - Le mensuel du droit de l'informatique et du multimédia - 282
Expertises des Systèmes d'information - Juillet 2020 - N°459 - Le mensuel du droit de l'informatique et du multimédia - 283
Expertises des Systèmes d'information - Juillet 2020 - N°459 - Le mensuel du droit de l'informatique et du multimédia - 284
Expertises des Systèmes d'information - Juillet 2020 - N°459 - Le mensuel du droit de l'informatique et du multimédia - CONTRATS ET RGPD - CLAUSE DE RESPONSABILITÉ : POINT D’ACHOPPEMENT PRINCIPAL DE NÉGOCIATION
Expertises des Systèmes d'information - Juillet 2020 - N°459 - Le mensuel du droit de l'informatique et du multimédia - 286
Expertises des Systèmes d'information - Juillet 2020 - N°459 - Le mensuel du droit de l'informatique et du multimédia - 287
Expertises des Systèmes d'information - Juillet 2020 - N°459 - Le mensuel du droit de l'informatique et du multimédia - DONNÉES PERSONNELLES - LA RECONNAISSANCE FACIALE DES LYCÉENS CENSURÉE PAR LE TRIBUNAL ADMINISTRATIF DE MARSEILLE
Expertises des Systèmes d'information - Juillet 2020 - N°459 - Le mensuel du droit de l'informatique et du multimédia - 289
Expertises des Systèmes d'information - Juillet 2020 - N°459 - Le mensuel du droit de l'informatique et du multimédia - 290
Expertises des Systèmes d'information - Juillet 2020 - N°459 - Le mensuel du droit de l'informatique et du multimédia - 291
Expertises des Systèmes d'information - Juillet 2020 - N°459 - Le mensuel du droit de l'informatique et du multimédia - 292
https://www.nxtbook.fr/newpress/celog/celog-expertises-2009_460
https://www.nxtbook.fr/newpress/celog/celog-expertises-2007_459
https://www.nxtbook.fr/newpress/celog/celog-expertises-2006_458
https://www.nxtbook.fr/newpress/celog/celog-expertises-2005_457
https://www.nxtbook.fr/newpress/celog/celog-expertises-2004_456
https://www.nxtbook.fr/newpress/celog/celog-expertises-2003_455
https://www.nxtbook.fr/newpress/celog/celog-expertises-2002_454
https://www.nxtbook.fr/newpress/celog/celog-expertises-2001_453
https://www.nxtbook.fr/newpress/celog/celog-expertises-1912_452
https://www.nxtbook.fr/newpress/celog/celog-expertises-1911_451
https://www.nxtbook.fr/newpress/celog/celog-expertises-1910_450
https://www.nxtbook.fr/newpress/celog/celog-expertises-1909_449
https://www.nxtbook.fr/newpress/celog/celog-expertises-1907_448
https://www.nxtbook.fr/newpress/celog/celog-expertises-1906_447
https://www.nxtbook.fr/newpress/celog/celog-expertises-1905_446
https://www.nxtbook.fr/newpress/celog/celog-expertises-1904_445
https://www.nxtbook.fr/newpress/celog/celog-expertises-1903_444
https://www.nxtbook.fr/newpress/celog/celog-expertises-1902_443
https://www.nxtbook.fr/newpress/celog/celog-expertises-1901_442
https://www.nxtbook.fr/newpress/celog/celog-expertises-1812_441
https://www.nxtbook.fr/newpress/celog/celog-expertises-1811_440
https://www.nxtbook.fr/newpress/celog/celog-expertises-1810_439
https://www.nxtbook.fr/newpress/celog/celog-expertises-1809_438
https://www.nxtbook.fr/newpress/celog/celog-expertises-1807_437
https://www.nxtbook.fr/newpress/celog/celog-expertises-1806_436
https://www.nxtbook.fr/newpress/celog/celog-expertises-1805_435
https://www.nxtbook.fr/newpress/celog/celog-expertises-1804_434
https://www.nxtbook.fr/newpress/celog/celog-expertises-1803_433
https://www.nxtbook.fr/newpress/celog/celog-expertises-1802_432
https://www.nxtbook.fr/newpress/celog/celog-expertises-1801_431
https://www.nxtbook.fr/newpress/celog/celog-expertises-1712_430
https://www.nxtbook.fr/newpress/celog/celog-expertises-1711_429
https://www.nxtbook.fr/newpress/celog/celog-expertises-1710_428
https://www.nxtbook.fr/newpress/celog/celog-expertises-1709_427
https://www.nxtbook.fr/newpress/celog/celog-expertises-1707_426
https://www.nxtbook.fr/newpress/celog/celog-expertises-1706_425
https://www.nxtbook.fr/newpress/celog/celog-expertises-1705_424
https://www.nxtbook.fr/newpress/celog/celog-expertises-1704_423
https://www.nxtbook.fr/newpress/celog/celog-expertises-1703_422
https://www.nxtbook.fr/newpress/celog/celog-expertises-1702_421
https://www.nxtbook.fr/newpress/celog/celog-expertises-1701_420
https://www.nxtbook.fr/newpress/celog/celog-expertises-1612_419
https://www.nxtbook.fr/newpress/celog/celog-expertises-1611_418
https://www.nxtbook.fr/newpress/celog/celog-expertises-1610_417
https://www.nxtbook.fr/newpress/celog/celog-expertises-1609_416
https://www.nxtbook.fr/newpress/celog/celog-expertises-1607_415
https://www.nxtbook.fr/newpress/celog/celog-expertises-1606_414
https://www.nxtbook.fr/newpress/celog/celog-expertises-1605_413
https://www.nxtbook.fr/newpress/celog/celog-expertises-1604_412
https://www.nxtbook.fr/newpress/celog/celog-expertises-1603_411
https://www.nxtbook.fr/newpress/celog/celog-expertises-1602_410
https://www.nxtbook.fr/newpress/celog/celog-expertises-1601_409
https://www.nxtbook.fr/newpress/celog/celog-expertises-1512_408
https://www.nxtbook.fr/newpress/celog/celog-expertises-1511_407
https://www.nxtbook.fr/newpress/celog/celog-expertises-1510_406
https://www.nxtbook.fr/newpress/celog/celog-expertises-1509_405
https://www.nxtbook.fr/newpress/celog/celog-expertises-1507_404
https://www.nxtbook.fr/newpress/celog/celog-expertises-1506_403
https://www.nxtbook.fr/newpress/celog/celog-expertises-1502_399
https://www.nxtbookmedia.com