Le gouvernement va publier prochainement un appel d'offres pour l'hébergement de la base de données médicale le Health Data Hub, initialement confié à l'entreprise américaine Microsoft. "Il serait normal que, dans les mois à venir, nous puissions lancer un appel d'offres afin d'avoir un choix plus large avec les spécifications qui permettront à quelqu'un de se positionner", a déclaré Cédric O, le secrétaire d'Etat chargé du Numérique, lors d'une conférence de presse le 23 juin dont le contenu a été repris par ZDNet[1].
Accusations de favoritisme
Le choix d'un acteur américain à la place d'une entreprise française a été largement critiqué, allant même allant même jusqu'au dépôt d'un recours devant le Conseil d'Etat[2] pour des accusations de "favoritisme". Une procédure qui n'a pas eu l'effet escompté[3]. Le juge administratif a largement approuvé ce choix sauf sur quelques points techniques renvoyés à l'appréciation de la Commission nationale de l'informatique et des libertés (Cnil).
Sur Twitter[4], le fondateur et directeur général de l'entreprise française OVH, Octave Klaba, avait accusé le gouvernement ne peut pas avoir respecté la procédure légale d'attribution du marché. "Pas de cahier des charges. Pas d’appel d’offres. Le POC avec Microsoft qui se transforme en solution imposée", écrivait-il.
A noter que Cédric O ne tranche pas cette question d'ordre procédural. Il explique que le gouvernement a beau être attaché à des solutions françaises, il est "également ouvert à ce que des investisseurs et entreprises américaines puissent opérer en France".
Des raisons techniques
Egalement présent lors de cette conférence, Guillaume Poupard, directeur général de l'Agence nationale de la sécurité des systèmes d'information (Anssi), a justifié le choix gouvernemental par des raisons techniques. "Dans une phase de prototypage, le choix d'une solution facile d'emploi a été privilégié. La portabilité du système a été évoquée dès le départ et est un point important", a-t-il affirmé. Mais dans le même temps, il reconnaît que "le fait de revenir sur une solution européenne idéalement qualifiée par l'Anssi et non soumise à des lois extra-territoriales européennes serait de bon goût".
En effet, entreprise américaine veut dire applicabilité du "Cloud Act"[5]. Ce texte autorise les forces de l'ordre ou les agences de renseignement américaines à obtenir des opérateurs télécoms et des fournisseurs de services de cloud computing des informations stockées sur leurs serveurs que ces données soient situées aux États-Unis ou à l’étranger. C'est un point qui n'a pourtant pas particulièrement attiré l'attention du Conseil d'Etat. Dans son ordonnance, il estime les requérants n'ont pas précisé en quoi les autorités américaines seraient intéressées par ces données