Intervention de Annie Delmont-Koropoulis

Les données de santé françaises sont aujourd'hui bien hébergées en Europe. La CNIL est très claire sur le sujet : en raison de certaines dispositions du droit américain, l'utilisation d'une solution fournie par Microsoft, entreprise placée sous juridiction américaine, entraîne un risque de transfert de données personnelles de santé vers les États-Unis. Elle s'appuie notamment sur l'arrêt Schrems II de la Cour de justice de l'Union européenne du 16 juillet 2020, selon lequel le caractère extraterritorial de la législation américaine ne permet pas de garantir un niveau de protection des données de citoyens européens équivalent à celui assuré par le règlement général sur la protection des données (RGPD). Le Conseil d'État a également souligné, dans une ordonnance du 13 octobre 2020, le risque de transferts de données personnelles vers les États-Unis ; mais en raison de l'intérêt public qui s'attache au maintien d'un outil de gestion de données - en particulier dans le cadre de la crise sanitaire -, il a estimé que le maintien du contrat avec Microsoft, à condition qu'il soit entouré de garanties supplémentaires, n'était pas illégal. Ces garanties ont été incluses par un arrêté du 9 octobre 2020 selon lequel aucun transfert de données à caractère personnel ne peut être réalisé en dehors de l'Union européenne.

Il paraît très improbable de trouver à court terme une solution européenne de gestion propre à assurer notre sécurité en matière de stockage de données de santé. Mais à ce stade de la discussion parlementaire, il est politiquement important de réaffirmer cet impératif, et de pousser le Gouvernement à s'expliquer sur le sujet : quelles sont les conditions qui ont entouré la conclusion du contrat, sans appel d'offre préalable, avec Microsoft en avril 2020 ? Où en sont les démarches engagées par le Gouvernement pour nous permettre de nous conformer à l'esprit de la jurisprudence Schrems II ? Il n'est pas suffisant d'affirmer que « les États-Unis n'auraient aucun intérêt à récupérer ces données ». Il y va de la confiance que nos concitoyens peuvent accorder au système national des données de santé. Je vous propose d'interroger le ministre sur ce point en séance.