Intervention de Stéphanie Combes

Réunion du jeudi 18 février 2021 à 9h30
Mission d'information sur le thème « bâtir et promouvoir une souveraineté numérique nationale et européenne »

Stéphanie Combes, directrice du groupement d'intérêt public Plateforme nationale d'accès aux données de santé (Health Data Hub) :

Il est intéressant que vous reliiez ces deux questions car, à mes yeux, il n'existe pas tellement de rapport entre elles.

L'arrêt Schrems II porte sur le transfert de données personnelles. Pendant toute la première moitié de l'année 2020, notre effort de pédagogie lors des débats sur le Health Data Hub a consisté à expliquer qu'il n'y avait pas de transfert de données de santé. D'aucuns affirmaient alors que les données étaient hébergées aux Pays-Bas puis traitées aux États-Unis – cela est un non-sens du point de vue technologique. Nous avons mis un certain temps à convaincre et à montrer, avenant à l'appui, que les administrateurs de Microsoft n'accédaient jamais aux données et que les services d'utilisation des données étaient également régionalisés. Nous avons réussi à documenter cela et à en convaincre la CNIL. Le Conseil d'État en a ensuite attesté en affirmant qu'il n'y a pas de transfert de données personnelles. En revanche, Schrems II est un vrai problème pour les acteurs qui procèdent à des transferts de données, en raison des clauses contractuelles types et des mesures techniques et organisationnelles à mettre en place pour améliorer la sécurité des transferts de leurs données personnelles.

Les engagements pris en matière de souveraineté par M. Cédric O ou par le ministère de la santé sont fondés sur le risque extraterritorial, lequel n'a pas été reconnu par le Conseil d'État. La compréhension des lois extraterritoriales est donc problématique. Nous menons des travaux juridiques pour documenter l'impact des lois extraterritoriales ; nous identifions, avec la DINUM, nos services essentiels ; et enfin, nous recherchons des financements. Si nous créons demain cette plateforme, nous aurons besoin de financements. Nous avons identifié des financements dans le plan de relance – l'accélération de la stratégie du cloud souverain est portée par la direction générale des entreprises (DGE). Par ailleurs, nous participons aux projets européens et nous suivons toutes les activités de l'ANSSI autour de la cybersécurité dans le cadre du plan de relance. Je suis donc assez confiante dans notre capacité interministérielle à débloquer les 20 millions d'euros nécessaires au développement d'une solution souveraine. Évidemment, cette solution souveraine ne servirait alors pas qu'au Health Data Hub – l'enjeu d'une plateforme souveraine va concerner de nombreux autres data hubs dans beaucoup d'autres secteurs.

Aucun commentaire n'a encore été formulé sur cette intervention.

Cette législature étant désormais achevée, les commentaires sont désactivés.
Vous pouvez commenter les travaux des nouveaux députés sur le NosDéputés.fr de la législature en cours.