Intervention de Jean-Noël Barrot

Mme Le Hénanff a eu raison de saluer votre travail, monsieur Latombe : avec celui d'autres députés et de plusieurs sénateurs, il a conduit à l'adoption mercredi soir d'un amendement sous-amendé de Mme la rapporteure relatif à la protection des données sensibles détenues par les administrations.

Nous débattons ce matin des données de santé. L'amendement que vous avez défendu en commission spéciale, qui a conduit à la rédaction d'un nouvel article, visait à ce que les données de santé soient stockées dans des clouds considérés comme SecNumCloud. Vous vous étonnez que la délégation au numérique en santé repousse ce type d'évolution. Notre objectif de garantir la souveraineté numérique est inchangé, mais elle a sans doute des raisons légitimes d'éviter que des contraintes trop lourdes ne pèsent sur les acteurs de la recherche qui recourent aux bases de données en santé.

Nous avons un objectif de souveraineté numérique, mais nous avons aussi un objectif de souveraineté en matière de santé. Or la crise de la covid a mis en lumière notre dépendance aux fournisseurs étrangers, y compris pour des molécules très basiques. Si nous voulons nous réapproprier notre capacité de concevoir et de fabriquer en France des médicaments, nous devons valoriser, avec toutes les garanties nécessaires, ce patrimoine exceptionnel que constituent les données de santé. Voilà pourquoi la mesure que vous proposez suscite quelques réticences.

Cependant, le Gouvernement suivra l'avis de Mme la rapporteure, en vous recommandant de retirer vos amendements, messieurs Latombe et Zgainski, au profit de celui de Mme Carel, qui resserre le dispositif en fixant une date limite de parution du décret.

Pour vous en convaincre, je prends un engagement devant vous. Il faut noter que l'amendement de Mme la rapporteure, sous-amendé par Mme Carel, représentera une avancée considérable. En effet, les bases actives de données de santé sont hébergées dans des solutions infonuagiques conformes à la norme HDS. Or, s'il est adopté, cet amendement imposera également le stockage des bases de données archivées dans des solutions certifiées HDS. C'est une évolution majeure qui entraînera la migration de ces archives vers des solutions beaucoup plus sécurisées.

Au fond, monsieur le député, vous suggérez d'aller plus loin encore dès à présent, en imposant des solutions certifiées non seulement HDS, mais plutôt SecNumCloud. Une telle mesure nous paraît cependant à la fois trop précoce et contraignante.

Toutefois, sous votre impulsion, le Gouvernement s'engage dès à présent devant l'Assemblée à faire évoluer le référentiel HDS. Cette nouvelle version inclura des exigences nouvelles en matière de souveraineté numérique. Cette évolution sera également l'occasion de clarifier le périmètre de certaines activités d'hébergement, d'offrir une matrice de correspondance entre les qualifications HDS et SecNumCloud et de simplifier les démarches de certification HDS pour les hébergeurs SecNumCloud.

Autrement dit, grâce à cette harmonisation, certaines bases d'archives qui ne sont actuellement pas sauvegardées dans des clouds qualifiés HDS migreront vers des hébergements certifiés SecNumCloud. Cinq ans après la mise en œuvre de la certification HDS, les remontées des établissements de santé et des industriels ont en effet conduit l'Agence du numérique en santé (ANS), en collaboration avec la délégation au numérique en santé, à réviser le référentiel de certification pour l'hébergement de données de santé à caractère personnel. Cette démarche a associé la Commission nationale de l'informatique et des libertés (Cnil), le haut fonctionnaire de défense et de sécurité du ministère de la santé ainsi que les hébergeurs de données de santé, les fédérations d'industriels de l'écosystème et les organismes certificateurs. Ce projet de révision a également fait l'objet d'une concertation publique par l'ANS fin 2022, à l'occasion de laquelle 247 contributions ont été reçues, analysées et traitées.

Les principales évolutions apportées à ce référentiel HDS clarifient d'abord les activités pour lesquelles les hébergeurs ont obtenu la certification – notamment en précisant la définition de l'activité d'administration et d'exploitation des systèmes de santé –, les obligations contractuelles de l'hébergeur, ensuite, et, enfin, l'articulation entre les exigences de la certification HDS et celles de la qualification SecNumCloud définie par l'Agence nationale de la sécurité des systèmes d'information (Anssi) pour faciliter le travail des candidats qui souhaitent l'obtenir.

Il nous importe, comme à vous, d'intégrer des exigences de souveraineté des données afin de mieux les protéger au regard des transferts vers des pays situés en dehors de l'Union européenne ou d'accès non autorisé par des pays tiers. Cette version révisée du référentiel HDS, qui va s'imposer à tous, ajoute ainsi de nouvelles exigences qui seront dévoilées dans les prochaines semaines.

Pour conclure, le référentiel prévoit également un renforcement des exigences de souveraineté lorsque les discussions européennes sur le schéma européen de certification des services clouds – EU Common criteria (EUCS) – auront abouti, au plus tard en 2027.

Une prochaine étape sera franchie dans les prochains jours lorsque sera pris l'arrêté approuvant la version révisée de ce référentiel. Cette évolution sera également notifiée à la Commission européenne, comme l'exige le droit européen. À compter de la publication de l'arrêté approuvant les référentiels, prévue pour début 2024, les organismes certificateurs bénéficieront d'un délai de six mois pour adapter leurs procédures de certification et ce nouveau référentiel sera applicable aux demandes de certificat de conformité présentées aux organismes certificateurs six mois à partir de la publication de l'arrêté. À l'issue de ce délai de six mois, les organismes ne pourront donc plus délivrer que des certificats de conformité au nouveau référentiel.

Voilà en quelques mots, monsieur le député, de quelle manière le Gouvernement prend en compte ce sujet important, sous l'impulsion du Parlement, considérant qu'il répond également à votre préoccupation légitime en la matière. C'est la raison pour laquelle je vous demande une nouvelle fois de retirer ces sous-amendements, au profit du sous-amendement n° 1084 de Mme Carel.