La protection des données au cœur de la lutte pour la souveraineté numérique européenne

Plus d'un an après la création de la Plateforme des données de santé, et presque trois ans après l'entrée en vigueur du RGPD, la protection des données continue de susciter, à l'échelle de l'Europe, un débat sans fin et toujours aussi complexe.

Lancée il y a tout juste un an pour faciliter le partage des données de santé entre acteurs du secteur, la Plateforme des données de santé (PDS) ou Health Data Hub (HDH) a déjà connu de nombreuses agitations au cours de sa jeune vie.  

La CNIL a rapidement exprimé ses inquiétudes sur la question des transferts de données du Health Data Hub en dehors de l’UE et les mesures à mettre en place pour sécuriser ces données, réaffirmant son souhait que "(…) son hébergement et les services liés à sa gestion puissent être réservés à des entités relevant exclusivement des juridictions de l’UE". Des inquiétudes également exprimées par le Comité européen de la protection des données (CEPD). Seulement voilà, si les données sont bien hébergées au sein de l’UE, elles le sont sur un cloud appartenant à Microsoft, un géant de la tech américaine.

Ainsi, depuis un an le Conseil d’Etat a reçu plusieurs recours provenant d’actions collectives menées par des organisations civiles à l’encontre de la gestion de ces données par Microsoft, soutenant que certaines données sensibles seraient transférées aux Etats-Unis. Ces organisations s’appuient notamment sur l’arrêt de la Cour de justice de l’Union européenne de cet été, invalidant le Privacy Shield, un accord dans le domaine du droit de la protection des données personnelles, qui a été négocié entre l’UE et les États-Unis. Il n’en est rien. Le Conseil d’Etat s’est encore récemment prononcé en faveur du maintien du contrat avec Microsoft qui garantit qu’aucune donnée ne sera transférée en dehors de l’UE. Alors que la CNIL s’est prononcée il y a quelques semaines en faveur du transfert urgent de ces données vers un hébergeur européen, le Conseil d’Etat a de nouveau confirmé le contrat avec le fournisseur américain en l’absence d’illégalités manifestes qui justifieraient la suspension du traitement des données du Health Data Hub sur Microsoft Azure, notamment à une époque où le combat contre la pandémie mondiale de Covid-19 nécessite une accélération de la recherche. 

La question de la protection des données personnelles est imminemment centrale ici bien entendu, mais pas seulement. De nos jours la donnée est la pierre angulaire des entreprises prospères et se trouve au cœur des organisations les plus innovantes de notre époque, leur apportant des informations précieuses pour la prise de décision, la recherche et l’innovation ou encore pour une gestion des risques optimale.

Au-delà de la protection des données personnelles, cette lutte pour le contrôle des données du Health Data Hub n’est-elle pas que l’une des faces visibles d’une bataille mondiale pour la souveraineté numérique ? Cette affaire n’est-elle pas symptomatique d’une Europe qui peine à créer un espace protégé pour la circulation des données ?

Le contrôle de données est intrinsèquement lié à la souveraineté numérique. Prendre le contrôle sur les données c’est aussi affirmer sa souveraineté et dépendre dans une moindre mesure d’acteurs externes. Le patriotisme des données se multiplient à travers le monde, chacun protégeant jalousement son trésor. Ainsi, l’Etat américain n’a pas hésité en 2018 à faire voter le Cloud Act (Clarifying Lawful Overseas Use of Data), une loi fédérale permettant aux autorités locales et aux services de renseignement d’obtenir auprès des hébergeurs l’accès aux informations stockées sur leurs serveurs, que ces données soient stockées aux Etats-Unis ou à l’étranger. L’été dernier, le gouvernement américain a également exprimé sa volonté de vouloir interdire le réseau social TikTok qui appartient à la société chinoise ByteDance. Le réseau social serait soupçonné de récolter des données sur les utilisateurs qui seraient fournies aux autorités chinoises.

Au-delà des Etats-Unis, les entreprises européennes doivent également se montrer vigilantes en matière de stockage de leurs données. Des voix s’élèvent du côté des spécialistes du droit et de la donnée invitant les entreprises à ne pas confier leurs données à des prestataires étrangers. En effet lorsque l’on entrepose des données dans le cloud, la protection de celles-ci est soumise à la législation du pays de résidence du fournisseur. Or chaque pays à ses propres lois en matière d’accès à ses données. C’est pourquoi beaucoup appellent les entreprises européennes à se montrer vigilantes et d’éviter d’héberger leurs données chez des prestataires étrangers malgré des coûts avantageux, au risque que la confidentialité de ces données soit violée.

La capacité de l’Europe en innovation serait en péril sans souveraineté de la donnée. Créer un espace pour faciliter la circulation de manière protégée des données permet de faire émerger un cadre privilégié pour l’innovation en Europe.

L’une des principales difficultés rencontrées en Europe est la diversité des nations et des marchés qui peuvent freiner, la mise en place de projets et de politiques communes nécessaires pour accélérer la souveraineté et l’innovation numérique. Là où les Etats-Unis ou la Chine sont des marchés très vastes mais ne sont qu’une nation, le développement et la mise en place de technologies se fait de façon plus cohérente et homogène.

Des projets comme GAIA-X, qui n’a pas pour ambition d’offrir une alternative aux solutions cloud des géants du marché mais sera plutôt une entité de gouvernance et plateforme qui édictera des principes de sécurité  des données au sein de laquelle des entreprises pourront proposer leur offre de services compatibles, sont un exemple des collaborations à mettre en place à l’échelle européenne pour créer un espace sécurisé de partage des données et ainsi booster l’innovation sur le vieux continent.

Avec la création et la mise en place du Règlement général sur la protection des données, l’Union européenne a su imposer un cadre légal unique qui est maintenant copié par plusieurs pays à travers le monde. Le RGPD est devenu le bouclier des citoyens européens, il leur a redonné le pouvoir sur leurs données. Ce texte est une fantastique avancée en matière de protection des données personnelles et a sonné le glas de pratiques de gestion des données qui ne sont plus acceptables. Il est désormais temps de proposer des solutions capables de concrétiser les grands principes du texte, comme de futures plateformes numériques qui seront GDPR by design, dans la lignée du projet GAIA-X.