Depuis son lancement l’année dernière, la Plateforme des données de santé (PDS) ou Health Data Hub (HDH), destinée à faciliter le partage des données de santé entre acteurs du secteur, a déjà connu de nombreuses agitations au cours de sa jeune vie.

En exprimant ses inquiétudes sur la question des transferts de données du Health Data Hub en dehors de l’UE et les mesures à mettre en place pour sécuriser ces données, la CNIL a réaffirmé le souhait que "(…) son hébergement et les services liés à sa gestion puissent être réservés à des entités relevant exclusivement des juridictions de l’UE". Des inquiétudes que partage également le Comité européen de la protection des données (CEPD). Pourtant, si les données sont effectivement hébergées au sein de l’UE, elles se trouvent sur un cloud du géant de la tech américaine, Microsoft.

C’est pourquoi plusieurs recours provenant d’actions collectives menées par des organisations civiles à l’encontre de cette gestion des données par Microsoft ont été adressées au Conseil d’Etat depuis plus d’un an, exprimant des inquiétudes quant au transfert de certaines données sensibles aux Etats-Unis. Ces recours s’appuient sur l’arrêt de la Cour de justice de l’Union européenne de 2020, invalidant le Privacy Shield, un accord négocié entre l’UE et les États-Unis sur le droit de la protection des données personnelles. Il n’en est rien. Le Conseil d’Etat a de nouveau approuvé le maintien du contrat avec Microsoft garantissant qu’aucune donnée ne sera transférée en dehors de l’UE. Et même si la CNIL s’est prononcée au printemps pour un transfert urgent de ces données vers un hébergeur européen, le Conseil d’Etat a de nouveau confirmé le contrat avec le fournisseur américain en ne constatant aucune illégalité manifeste justifiant la suspension du traitement des données du Health Data Hub sur Microsoft Azure ; et ce d’autant plus en période de pandémie de Covid-19 nécessitant une accélération de la recherche.

Dans ce débat, la question de la protection des données personnelles occupe une place centrale. La donnée est aujourd’hui la pierre angulaire soutenant les entreprises prospères, au cœur des organisations les plus innovantes, et leur apporte des informations précieuses pour la prise de décision, la recherche et l’innovation et pour optimiser la gestion des risques.

Plus que la protection des données personnelles, cette lutte pour le contrôle des données du Health Data Hub ne constitue-t-elle pas la face visible de la bataille pour la souveraineté numérique à une échelle globale ? Ne révèle-t-elle pas les difficultés de l’Europe à créer un espace protéger pour faire circuler ses données ?

De façon intrinsèque, le contrôle de données est lié à la souveraineté numérique. Quand on contrôle ses données, on affirme sa souveraineté et on diminue sa dépendance envers des acteurs externes. Le patriotisme des données est un comportement de protection qui se répand à travers le monde. Par exemple, en 2018, les Etats-Unis n’ont pas hésité à faire voter le Cloud Act (Clarifying Lawful Overseas Use of Data), une loi fédérale facilitant aux autorités locales et aux services de renseignement l’accès auprès des hébergeurs aux informations stockées sur leurs serveurs, peu importe qu’elles soient stockées aux Etats-Unis ou à l’étranger. A l’été 2020, le gouvernement américain a également souhaité interdire le réseau social TikTok détenu par la société chinoise ByteDance, soupçonné de récolter des données sur les utilisateurs et de les fournir aux autorités chinoises.

Les entreprises européennes doivent elles aussi rester vigilantes sur le stockage de leurs données. Certains spécialistes du droit et de la donnée conseillent aux entreprises de ne pas confier leurs données à des prestataires étrangers, puisque lorsqu’on stocke des données dans le cloud, leur protection dépend de la législation du pays de résidence du fournisseur. Or chaque pays à ses propres lois régissant l’accès aux données. C’est pourquoi il est conseillé aux entreprises européennes de se montrer vigilantes et d’éviter d’héberger leurs données chez des prestataires étrangers même s’ils pratiquent des coûts avantageux, au détriment de la confidentialité de ces données.

La capacité de l’Europe à innover serait fortement perturbée sans souveraineté de la donnée. C’est en créant un espace pour faciliter la circulation de manière protégée des données qu’il sera possible de faire émerger un cadre privilégié pour l’innovation en Europe.

La diversité des nations et des marchés en Europe est une source de difficulté qui peut compliquer la mise en place de projets et de politiques communes nécessaires pour accélérer la souveraineté et l’innovation numérique. A l’inverse, les Etats-Unis ou la Chine sont des marchés très vastes qui permettent le développement et la mise en place de technologies de façon plus cohérente et homogène.

GAIA-X est un projet qui n’ambitionne pas d’offrir une alternative aux solutions cloud des géants du marché mais plutôt d’être une entité de gouvernance et une plateforme édictant des principes de sécurité des données au sein de laquelle des entreprises pourront proposer leur offre de services compatibles. Ce type de projet est un exemple du genre de collaboration à mettre en place en Europe pour améliorer le niveau de sécurité du partage des données et ainsi booster l’innovation sur le vieux continent.

Grâce à la création et à la mise en plage du Règlement général sur la protection des données, l’Union européenne a su imposer un cadre légal unique, devenu à présent un modèle pour plusieurs pays à travers le monde. En tant que bouclier des citoyens européens, le RGPD leur a redonné le pouvoir sur leurs données et représente une fantastique avancée en matière de protection des données personnelles, sonnant le glas de pratiques de gestion des données qui ne sont plus acceptables. Il est désormais temps de proposer des solutions capables de concrétiser les grands principes du texte, comme de futures plateformes numériques qui seront GDPR by design, à l’image du projet GAIA-X.