Je voulais revenir, puisque vous nous posez la question, M. le rapporteur, sur le contexte autour du contentieux qui englobe le HDH. Vous avez rappelé qu'InterHop était membre de SantéNathon et avait porté ce contentieux devant le Conseil d'État. Pour rappeler le contexte, cela me paraît important, le projet HDH est né fin 2018 et a été mis en place début 2019. Nous avons très tôt su que le choix de la solution technique serait porté sur Microsoft, et ce, sans qu'un appel d'offres ne soit réalisé comme Mme Stéphanie Combe l'a rappelé lors de l'audition de ce matin. Un décret devait normalement permettre de régir le traitement des données au sein du SNDS – le périmètre historique de celui-ci étant modifié. Nous étions dans l'attente de ce décret réglementaire pour procéder à la mise en place et au traitement des données au sein du HDH. Cependant, le contexte sanitaire lié à la crise du Covid -19 et l'état d'urgence ont permis, au regard d'un cadre dérogatoire, de « pousser » le droit commun et de mettre en place les projets et les bases au sein du HDH, alors même que le décret réglementaire n'était pas sorti. Une logique inverse s'est mise en place. Je tiens à rappeler que, normalement, les données de santé d'ores et déjà présentes sur le HDH devront être supprimées à l'issue de l'état d'urgence sanitaire, sauf si le décret d'application venait – lors de sa sortie – à les rendre légales et utilisables à l'issue de cette période.
Dans ce contexte, l'association InterHop s'est saisie de la jurisprudence Schrems II de juillet 2020. Cet arrêt a fait valoir que le droit américain n'assurait pas, en l'état, un niveau de protection équivalent au RGPD, ce qui a donné lieu à la fin du Privacy Shield. Au-delà, l'intérêt de cette jurisprudence réside dans le fait qu'elle a permis l'appréciation concrète, par le juge européen, des pratiques de renseignement des services américains, sur le fondement notamment de deux bases légales intéressantes : la section 702 du Foreign Intelligence Surveillance Act (FISA), qui permet l'obtention immédiate et rapide, par le gouvernement, d'informations très larges, sans aucune notification et sans garantie pour les citoyens européens, et, plus attentatoire aux libertés fondamentales et au droit à la protection des données personnelles, l'Executive Order 12333. Ce décret présidentiel autorise, à des fins de renseignement, des techniques d'interception sur les signaux en transit, mais également en dehors des États-Unis, par les câbles sous-marins, ce qui n'est pas sans faire écho aux révélations d'Edward Snowden de 2013.
L'existence de cette collecte large, massive, soumise à la discrétion du gouvernement, sans aucun ciblage et sans autorité indépendante, sans même de droit opposable pour les citoyens européens, s'avère totalement en inadéquation avec le RGPD. Je tiens à le rappeler car, lors des différentes auditions que vous avez pu mener, le Cloud Act est souvent évoqué, alors que ces deux bases légales ne le sont pas. Microsoft y est pourtant soumis, en tant que personne morale soumise au droit américain. Il serait donc contraint de transmettre des données si elles lui étaient demandées au titre du FISA ou de l' Executive Order 12333, et ce, bien que ces données soient conservées sur le territoire européen.
Dans le référé-liberté porté par SantéNathon, dont InterHop est membre, nous avons essayé de faire valoir l'atteinte à cette liberté fondamentale que constitue le droit à la protection des données et à la vie privée, en faisant reconnaître du juge administratif que les risques étaient avérés au regard du FISA ou de l' Executive Order et que cela constituait une violation des libertés fondamentales. Entre le moment où nous avons déposé le référé et le moment où l'ordonnance a été rendue, un arrêté émanant du ministre de la Santé a été pris le 10 octobre pour interdire le transfert des données vers le territoire des États-Unis. Cependant, nous voulions faire valoir que, indépendamment de ce transfert-là, les données étaient, quoi qu'il en soit, mises en péril de par ces deux textes dont je viens de vous parler. La CNIL l'a très clairement rappelé. Un mémoire en observation a été produit lors de l'audience. Nous sommes donc dans une situation où ces risques ont été reconnus à la fois par le Conseil d'État, puisque le juge des référés a admis qu'il y avait effectivement des risques, par la CNIL et par le juge de l'Union Européenne, dans l'arrêt Schrems II. C'est un élément important qui mérite, je pense, d'être rappelé. Le ministre de la Santé a d'ailleurs lui-même reconnu qu'il existait des risques dans un échange de courriers avec la CNIL. Ces risques existent et sont donc avérés. Dans ce contexte, il nous semble essentiel de défendre les données personnelles des citoyens français comme européens.
Cette audience a également été l'occasion d'aborder les enjeux de sécurité, en particulier la centralisation des données de santé. Il est question ici des données de santé de plus de 67 millions de Français, ainsi que de celles des personnes étrangères soignées sur le territoire français. Il a été rappelé que les clés de chiffrement étaient détenues par Microsoft. Il semblerait d'ailleurs que cette information n'ait pas été démentie dans l'audition que vous avez menée, ce matin. Nous sommes dans une situation où la société Microsoft conserve elle-même les clés de chiffrement. C'est un peu comme si on avait un prisonnier à qui l'on remettait les clés de la cellule. Selon nous, dès lors que les data scientists – qui fondent la recherche au sein du HDH – ont besoin d'utiliser ces données, et que Microsoft a accès aux clés de chiffrement, cela signifie que Microsoft déchiffre les données pour permettre la recherche. Or, même si ces données sont pseudonymisées, elles sont ré-identifiables en les croisant entre elles.