« Notre » pleine souveraineté numérique ne pourra, pour l’essentiel, être qu’européenne, n’en déplaise aux europhobiques. Si un jour (lointain), nous pourrons nous passer totalement des GAFAM, voire même les concurrencer sur leur propre territoire, il faudra sans doute agir à l’échelle du continent, du moins à celle de l’Union européenne. En matière de protection des données, c’est déjà ce que nous faisons avec le RGPD, le règlement sur la protection des données à caractère personnel, mais il faudrait être bien naïf pour croire qu’un bouclier purement juridique, qui plus est très imparfait, puisse nous garantir une souverainement numérique.

L’idéal serait d’accéder à la souveraineté industrielle, tant sur le matériel que sur les logiciels : du made in Europe pour les serveurs, les clouds, les systèmes d’exploitation, les applicatifs, les composants électroniques, en particulier les processeurs… Ce n’est pas pour aujourd’hui, et hélas pas pour demain.

Dans certains domaines relevant du régalien ou des données les plus sensibles, la souveraineté devrait même être nationale. Et c’est justement là qu’elle l’est le moins !

Quoi de plus régalien que les données militaires ? Et à qui le ministère de la Défense les a-t-il confiées sans appel d’offres ? À Microsoft ! Quoi de plus sensible que les données de santé (l’or noir de demain) ? Et à qui le ministère de la Santé les a-t-il confiées ? À Microsoft, encore, dans le cadre du HDH (Health Data Hub) !

C’est une véritable folie, défendue bec et ongles par Stéphanie Combes, directrice du groupement d’intérêt public « Plateforme nationale d’accès aux données de santé », appelée en très mauvais français « Health Data Hub » ou HDH. Cette auguste grande commise de l’Etat (ou de Microsoft ?) fut auditionnée le 18 février 2021 par la mission d’information « souveraineté numérique nationale et européenne » de l’Assemblée nationale, sous la direction du député MoDem Philippe Latombe, l’un des parlementaires les mieux informés et les plus compétents en la matière. Lequel sera l’invité du prochain Webinaire d’Opinion Internationale mardi 9 mars 2021 à 19h (sur une Solution 100% française, Private Discuss), justement consacré aux enjeux de la souveraineté numérique.

Il suffit de visionner l’audition de Stéphanie Combes pour s’étonner combien elle a esquivé les questions gênantes, soit  en affirmant ne pas être le bon interlocuteur pour y répondre, soit en écartant, non sans une certaine morgue, les objections juridiques qui pouvaient entraver sa révérence appuyée au géant américain. Pas davantage de considération n’a été accordée aux possibles alternatives à Microsoft permettant d’éviter que les données de santé des Français puissent alimenter l’intelligence artificielle américaine, alors que l’IA est un pilier de l’indépendance numérique, voire économique de demain. Cerise sur le gâteau (empoisonné), on a bien compris que les conditions financières du contrat avec Microsoft ne furent pas négociées (« signez ici ! ») et que le ticket de sortie serait si cher qu’il vaudrait mieux rester mariés à vie.

Miss HDH a pourtant tort, sur tous les tableaux…

Sur le plan juridique, la Cour de justice de l’Union européenne (CJUE) avait rendu en juillet dernier un arrêt dit « Schrems 2 » invalidant le régime de transferts de données entre l’Union européenne et les États-Unis, dit « Privacy shield », quelles que soient les clauses contractuelles encadrant le transfert. Et pour cause : le droit américain, par essence extraterritorial, ne fait pas grand cas du RGPD, et ne peut garantir aux citoyens européens que leurs données ne soient transférées vers les États-Unis, malgré les engagements des entreprises, la localisation des serveurs en Europe et les clés de chiffrement. Les utilisateurs de Google, Amazon, Facebook, Apple, Microsoft (nos fameux GAFAM) doivent en être conscients.

Mais avec le Health Data Hub, cela va encore plus loin : nos données les plus sensibles (considérées comme telles par le RGPD) peuvent être utilisées, revendues ou transférées aux autorités américaines par Microsoft. Comme le gouvernement français ne semble pas avoir saisi la portée de l’arrêt « Schrems 2 », le conseil de la Caisse nationale de l’assurance maladie (Cnam) a réitéré solennellement son opposition à l’hébergement des données de santé des Français par Microsoft « Azure » dans un communiqué du 19 février, précisant que « les conditions juridiques nécessaires à la protection de ces données ne semblent pas réunies pour que l’ensemble de la base principale soit mise à disposition d’une entreprise non soumise exclusivement au droit européen ».

Sur le plan technique, des solutions européennes et même nationales peuvent être mises en œuvre rapidement. D’abord, les hubs de santé français existent déjà : celui de l’APHP (Assistance Publique Hôpitaux de Paris) qui fonctionne sur logiciel libre (Microsoft n’apprécie pas !) ou encore le West Data Hub, développé par les CHU de l’ouest. Ensuite, des entreprises françaises comme Outscale (soutenue par Dassault Systèmes), Thalès, Scaleway, Rapid.space, Claranet, Euris, Clevercloud, Platform.sh, ou bien sûr, OVH, sans oublier la solution franco-allemande Gaia-X, sont en mesure de fournir des serveurs en Cloud permettant de s’affranchir de Microsoft. D’autres start-ups travaillent sur les applicatifs et même les systèmes d’exploitation. Pourquoi, dès lors, la directrice du HDH s’acharne-t-elle à défendre le géant américain, jusqu’à tenter de convaincre le gouvernement de pérenniser cette dangereuse capitulation ?

Dans une lettre adressée à la CNIL en novembre 2020, Olivier Véran, ministre de la Santé, s’était engagé à adopter une alternative à Microsoft dans les deux ans, une position confirmée par Cédric O, secrétaire d’État chargé du numérique. Mais Miss Combes préfère sacrifier les données de santé des Français et notre souveraineté numérique à une forme de petit confort opérationnel. Évidemment, aucune entreprise française ne peut fournir directement un système intégré clés en main. La mission devrait donc être répartie entre plusieurs acteurs : cloud, briques technologiques, cybersécurité… Mais toutes les compétences sont à portée de main, pour peu qu’on les mobilise et qu’on les harmonise. Mais par paresse intellectuelle (et sans doute aussi grâce au puissant lobbying de Microsoft), on se condamne à la dépendance et à l’échec. L’État saupoudre les start-ups de subventions au lieu de leur ouvrir des marchés. Dans cette fichue tradition française, on ne fait confiance qu’aux gros. Cela rassure. Aux États-Unis, on a fait le contraire, avec le « Small Business Act », pour réserver des marchés publics aux PME. Avec la mentalité française, les start-ups que furent les GAFAM le seraient restées !

Dommage car nos PME françaises respectent de surcroît le RGPD, notre vie privée, nos données. Pourquoi les services publics n’en font pas autant, ne serait-ce que dans le cadre du télétravail ?

L’heure est grave et l’enjeu colossal. Brader notre souveraineté numérique, en particulier en matière de santé, comme le suggère avec détermination Stéphanie Combes, patronne du HDH, serait une faute politique, économique et même éthique majeure. Une faute juridique également, à la lumière de la jurisprudence de la Cour de Luxembourg, dont le gouvernement doit tenir le plus grand compte. Oui, l’enjeu est colossal, bien trop pour qu’on l’abandonne à une haute fonctionnaire séduite par l’ogre américain.

La parole est à Monsieur le Président de la République, gardien de notre souveraineté.

Michel Taube