Intervention de Stéphanie Combes

Je ne suis pas compétente moi-même pour la définir, mais les discussions que nous avons pu avoir au sujet du Health Data Hub font ressortir un enjeu d'autonomie stratégique. Il s'agit de savoir si l'on est en situation de dépendance et si nous pouvons nous assurer que les données puissent être à tout moment récupérées. Cette notion recouvre également un enjeu lié aux lois extraterritoriales, s'agissant des hébergeurs de cloud américains. La question des lois extraterritoriales est assez technique – plusieurs sont mises en avant, dont le Cloud Act américain – et il convient d'étudier le sujet de manière assez fine. Ces lois s'appliquent dans certains contextes, qui ne sont pas forcément valables pour tous les hébergements de toutes les données personnelles. Dans le cas du hub, les données sont pseudonymisées.

Se posent également des questions de filières. Nous pourrions souhaiter soutenir le plus possible les acteurs de la filière française – d'autant plus que le projet est porté par l'État. Cela crée des injonctions parfois contradictoires : l'État porte un projet, donc il ne souhaite travailler qu'avec des acteurs français ; en même temps, l'État nous demande d'être rapides et d'avoir des résultats concrets.

Il faut vraiment traiter cette question de la souveraineté – mais je ne pense pas être la personne pour le faire. Ma crainte serait qu'elle ne soit pas complètement traitée, c'est-à-dire que l'on n'atteigne pas une définition conceptuelle claire, et que cela ait un impact non maîtrisé sur l'écosystème. On parle de loi extraterritoriale – mais parle-t-on des actionnaires étrangers ? Tous ces critères doivent être élaborés et partagés, et nous devons nous mettre d'accord sur la cible. Sinon, nous allons mettre en place des critères extrêmement restrictifs et nous allons supprimer des usages.

J'ai une seconde crainte. J'entends beaucoup parler du cloud et de Microsoft, mais je n'entends pas beaucoup parler de la souveraineté des usages numériques de santé. Dans certains autres pays, et notamment aux États-Unis, ces questions avancent très vite. En mai 2018, le dispositif médical pour les examens de fond d'œil était le premier dispositif médical intégrant l'intelligence artificielle à être autorisé par la Food and drug administration (FDA). Cela a constitué une très belle avancée et depuis, une trentaine d'autres dispositifs médicaux ont été autorisés par la FDA. Nous téléchargerons bientôt toutes ces applications sur nos téléphones, car elles proposeront des usages de santé extrêmement intéressants et performants ; mais elles n'auront pas été construites grâce à des données de patients français et l'on ne saura même pas si elles ont été développées dans le respect du Règlement général sur la protection des données (RGPD). Il faut donc garder en tête les questions sur la souveraineté des usages, afin de ne pas nous retrouver dans cinq ans à discuter de ces mêmes sujets car nous aurons pris du retard par rapport à d'autres acteurs. Il faut donc procéder à des arbitrages en ayant bien en tête tous les enjeux ayant cours au même moment. Cela n'est pas simple.