Intervention de Jean-Renaud Roy

Non. Quand Mme Stéphanie Combes explique que la mise en œuvre de l'hébergement du Health Data Hub par Microsoft est garantie et permet de se soustraire aux lois extraterritoriales et au Cloud Act, c'est aussi car le champ d'application de ces lois extraterritoriales ne correspond pas aux activités du Health Data Hub aujourd'hui. Tout simplement. Les raisons au titre desquelles un juge américain peut lancer un mandat sous Cloud Act ne coïncident pas avec les activités du Health Data Hub.

Il faut savoir de quoi l'on parle, et pourquoi nous avons conclu cet accord avec Orange et Capgemini. Il s'agit, par cet accord, de répondre aux besoins de clients ayant des besoins très spécifiques en matière de résilience, de sécurité, de gestion de données sensibles. Les objectifs de GAIA-X sont la gestion des données sensibles des Européens.

Tout un espace du cloud est, formellement, au titre du droit, éventuellement exposé à une juridiction américaine – mais il n'en fera pas l'objet, car cela ne sert à rien, au titre du Cloud Act, d'aller rechercher une donnée de santé anonymisée, dont on ne sait rien faire et qu'on ne peut pas déchiffrer. Oui, sur le principe, nous sommes exposés à l'extraterritorialité, mais, dans la pratique, cela ne peut arriver.

L'application des lois extraterritoriales américaines ne peut pas nous viser pour plusieurs raisons. Tout d'abord, certains éléments nous font dire que la décision Schrems II ne s'appliquera pas au Health Data Hub. Ce point est très important. Ensuite, chaque loi extraterritoriale dispose d'un champ d'application propre : celui-ci permet au juge américain de se saisir d'un mandat en poursuivant un objectif. Rien ne concerne aujourd'hui le Health Data Hub dans les champs d'application des trois types de mandats existant et ouvrant la possibilité à la justice américaine de saisir des données par un exercice extraterritorial de ses fonctions (Cloud Act, Foreign Intelligence Surveillance Act, Executive Order 12333). Cela est notre point de vue. De fait, Mme Stéphanie Combes a raison en affirmant que le Health Data Hub n'est pas concerné par le Cloud Act.

J'illustrerai mon propos par des exemples. Le Cloud Act nécessite que les données soient hébergées par Microsoft, qu'elles soient en notre possession, sous notre garde et notre contrôle. Les données du Health Data Hub ne sont pas en notre possession : elles sont sous notre garde, mais pas sous notre contrôle. De plus, elles sont chiffrées. En outre, pour être exposé au Cloud Act, il faut que le mandat spécifique concerne une personne visée par une enquête criminelle. Je ne vois pas comment un mandat – qui doit concerner une personne donnée, pour un crime donné – pourrait être édité au titre du Cloud Act afin d'accéder à des données anonymisées. Il faudrait, pour reconstituer ces données, disposer des bases de données originales et déchiffrées de la Caisse nationale de l'assurance maladie (CNAM) et du Health Data Hub. La reconstitution est donc très compliquée. Le Health Data Hub rassemble donc des données de santé qui n'entrent pas dans le champ d'une enquête criminelle du Cloud Act.

L'article 702 du Foreign Intelligence Surveillance Act (FISA) permet la surveillance ciblée d'une personne étrangère, à l'extérieur des États-Unis. Cela est important : cette définition a l'air très offensive et problématique en matière de souveraineté – je peux le comprendre. La cible du FISA est la surveillance d'un agent d'une puissance étrangère qui n'est pas un allié des États-Unis. La France est un allié des États-Unis et le Health Data Hub n'est pas un agent d'une puissance étrangère, tel que le définit le droit américain. L'article 702 du FISA cible le terrorisme (terrorisme international, activité clandestine de renseignement, prolifération d'armes). Le Health Data Hub ne sert à rien de tout cela. Il ne rentre donc pas dans le champ d'application de l'article 702 du FISA.

Le décret présidentiel Executive Order 12333 permet d'exiger la transmission de données en dehors des États-Unis et peut conférer à une autorité américaine le pouvoir de mener des activités de renseignement. Je comprends que cela puisse soulever beaucoup de questions. Il faut tout de même reconnaître la transparence des États-Unis dans l'exercice de ces activités de renseignement : ces dispositions sont prévues dans leur droit. Un fondement légal est nécessaire pour qu'une entreprise, dans notre cas Microsoft ou même le Health Data Hub, soit sommée de fournir des renseignements. Ce décret présidentiel vise à l'acquisition de renseignements importants pour la détection d'activités terroristes internationales, de prolifération d'armes de destruction massive et d'espionnage menées par des puissances étrangères de manière offensive contre les États-Unis. Franchement, les données contenues dans le Health Data Hub n'ont absolument rien à voir avec le champ d'application de ces trois lois extraterritoriales.

Enfin, nous pensons que la décision Schrems II ne s'applique pas au Health Data Hub. Le Conseil d'État a affirmé que la manière dont Microsoft a hébergé le Health Data Hub ne contrevenait absolument pas au RGPD même dans le cadre de la jurisprudence Schrems II. En fait, la décision Schrems II concerne le transfert de données d'une entreprise au sein de cette même entreprise, entre une filiale en Europe et une filiale aux États-Unis. Microsoft n'est que le pourvoyeur de la plateforme technologique d'hébergement du Health Data Hub. Le Health Data Hub a été construit par-dessus, comme une plateforme programmable totalement indépendante. Le Health Data Hub n'a pas d'entité juridique aux États-Unis, donc le Health Data Hub n'a pas à transférer de données vers les États-Unis. De fait, la décision Schrems II ne s'applique pas à notre cas et n'a pas de conséquence directe sur le fait que le Health Data Hub héberge ses données sur le cloud Microsoft en France.