Le « Health Data Hub », première plateforme d’exploitation de données de santé publique à l’aide de l’Intelligence Artificielle, a été lancée à la fin du mois de novembre 2019. Afin d’héberger les données de santé des Français, le gouvernement a opté pour l’américain Microsoft. Loin de faire consensus, cette décision a fait l’objet d’une saisine du ministre des Solidarités et de la Santé pour « potentiel manquement aux règles de la commande publique ».
Le nouveau collectif « SantéNathon », composé d’organisations œuvrant dans le secteur du logiciel en France (le Conseil National du Logiciel Libre (CNLL), l’association professionnelle SOLibre, l’association professionnelle PLOSS-RA et la société Nexedi), s’est organisé à la suite de l’inauguration du Health Data Hub, pour « informer concernant la gestion des données de santé des Français ».
Dans un courrier de « demande d’information et de signalement en vertu de l’article 40 al 1er du code de procédure pénale » adressé au Ministre de la Santé Olivier Véran, le collectif demande la prononciation de la nullité du contrat conclu entre le gouvernement français et Microsoft Azure et le dédommagement au titre des pertes de chance de conclure le contrat. L’article de loi mentionné contraint le procureur de la République à décider de l’opportunité des poursuites des infractions qui lui rapportées, en l’espèce à travers le courrier adressé au ministre de la Santé.
Le collectif s’inquiète notamment dans un communiqué de l’octroi du marché d’hébergement centralisé des données de santé à l’américain Microsoft, dans un contexte où le gouvernement américain, par le biais du « Cloud Act » adopté le 23 mars 2018, peut désormais contraindre tout fournisseur de service américain à transférer aux autorités américaines les données qu’il héberge, qu’elles soient stockées aux Etats-Unis ou à l’étranger.
Dans ce communiqué, le collectif dénonce également l’absence d’appel d’offre ou de mise en concurrence préalable : « Les acteurs du Cloud français ont été mis sur le fait accompli qu’une entreprise avait déjà été sélectionnée pour mettre en place le projet (…) Ces éléments de faits sont constitutifs de manquements importants aux règles de la commande publique et sont qualifiables de délit de favoritisme au sens pénal, si bien qu’ils doivent être signalés auprès du procureur de la République selon l’article 40 du code de procédure pénale ». Le collectif explique envisager d’autres poursuites pénales, « notamment sur le terrain de la corruption passive ».
La société Nexedi ajoute dans un communiqué de presse : « Toutes les technologies, tous les fournisseurs nécessaires à la réalisation d’un Health Data Hub existent en Europe. Pourtant, c’est un fournisseur américain qui a été présélectionné et ce sans même qu’il ait été donné l’occasion à d’autres sociétés françaises ou européennes de candidater ». « Il n’y a pas de souveraineté numérique sans loyauté de l’Etat dans ses achats numériques » poursuit le communiqué, en pointant un risque d’ingérence et une menace pour la souveraineté numérique de la France.
L’adoption du « Cloud Act » introduit une extraterritorialité du droit américain et constitue en ce sens un risque pour la souveraineté numérique de l’Europe et de la France. Ce texte de loi permet en effet aux forces de l’ordre et aux agences de renseignement américaines d’obtenir des opérateurs de télécoms et des fournisseurs américains de « Cloud computing » des informations stockées sur leurs serveurs, y compris les données de santé publique. L’américain Microsoft étant soumis à ce texte de loi, les données françaises qu’il héberge, notamment celles du Health Data Hub, le sont également. A ce jour, ni les institutions européennes, ni la France, ne se sont dotées de moyens juridiques contraignants face à cette loi américaine.
Aysegul Ceylan