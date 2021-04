L'association française Anticor a saisi fin mars le Parquet national financier (PNF), spécialisé dans la lutte contre la grande délinquance économique et financière, estimant que le marché de l'hébergement du Health Data Hub a été illégalement attribué à la plateforme de cloud computing Azure de Microsoft.



Aucune mise en concurrence

En effet, "ce marché a été attribué sans mise en concurrence (..) au seul motif que seule Microsoft aurait les capacités technologiques de fournir une telle infrastructure", explique l'association dans son communiqué. Elle ajoute que le conseil de la Caisse nationale de l'assurance maladie (Cnam) et le Sénat ont également critiqué ce choix.



Anticor note que ce marché public est "particulièrement important tant de par son objet que de par son montant". En effet, le Health Data Hub va rassembler l'ensemble des données de santé des Français, des facturations hospitalières aux causes médicales de décès. Ces informations pourront être réutilisées pour des projets d'intelligence artificielle. Actuellement, 42 projets sont accompagnés.



L'association en conclut qu'une "telle opération exigeait un haut niveau de transparence et une procédure de mise en concurrence irréprochable, relayée par le biais des canaux d'information réglementaires".



Un appel d'offres lancé... sans réponse

L'opacité dans l'attribution de ce marché est régulièrement critiquée. Lors d'une conférence en juin dernier, le gouvernement avait annoncé le lancement d'un appel d'offres "afin d'avoir un choix plus large avec les spécifications qui permettront à quelqu'un de se positionner", expliquait Cédric O, le secrétaire d'Etat au numérique. Depuis cette annonce, la procédure ne fait l'objet d'aucun suivi régulier par le gouvernement.



Guillaume Poupard, le directeur général de l'Agence nationale de la sécurité des systèmes d'information (Anssi), également présent lors de de cet évènement, avait tenté de justifier le choix de Microsoft. "Dans une phase de prototypage, le choix d'une solution facile d'emploi a été privilégié. La portabilité du système a été évoqué dès le départ et est un point important", avait-il expliqué.



Washington pourrait consulter les données

Ce qui inquiètent les opposants au choix de Microsoft c'est le risque que les données de santé des Français se retrouvent dans les mains des autorités américaines. En effet, grâce à un arsenal de lois, les services de renseignement américains peuvent contraindre les fournisseurs de services établis aux Etats-Unis à fournir des données stockées sur des serveurs, qu'ils soient situés à l'intérieur du territoire ou à l'extérieur.



C'est d'ailleurs ce qui a poussé la Cour de justice de l'Union européenne (CJUE) a invalidé le Privacy Shield en juillet dernier estimant que les programmes de surveillance américains n'étaient pas compatibles avec le Règlement général sur la protection des données (RGDP).



Désormais, en vertu d'un nouveau décret, Microsoft doit obligatoire stocker les données du Health Data Hub dans des data centers situés dans l'Union européenne. C'est la région parisienne qui a été choisie. Dans tous les cas, d'après Stéphanie Combes, la directrice du Health Data Hub, "le décret n'interdit pas le recours à Microsoft, mais cela doit être correctement encadré, c'est ce que nous faisons avec les avenants contractuels tout en travaillant sur une trajectoire souveraine".



Le gouvernement décidé à trouver une alternative

Mais ce texte ne règle pas tout puisque que même hébergées en France, ces données peuvent être récupérées par Washington. Une problématique dont le gouvernement tente de s'emparer. "Je partage pleinement vos préoccupations relatives au risque de divulgation de données hébergées par la plateforme aux autorités américaines avec le choix de l'entreprise Microsoft", écrivait le ministre de la Santé et des Solidarités Olivier Véran dans cette lettre en novembre 2020.



Ainsi, il expliquait souscrire pleinement à la nécessité d'adopter "une nouvelle solution technique" dans un "délai qui soit autant que possible compris entre 12 et 18 mois". Le projet de cloud européen Gaia-X était l'une des solutions privilégiées, d'après le ministre.