Intervention de Anne Le Hénanff
Réunion du jeudi 21 septembre 2023 à 9h35
Commission spéciale chargée d'examiner le projet de loi visant à sécuriser et réguler l'espace numérique
Anne Le Hénanff, rapporteure :J'émets un avis défavorable, même si votre amendement part d'une bonne intention. Nous partageons l'idée qu'il faut préserver les données des Français, mais ce que vous proposez est absolument irréalisable. On ne peut pas faire migrer au 1er juillet 2024 les données de santé actuelles dans le cadre du référentiel SecNumCloud.
Cette qualification, qui est délivrée par l'Anssi et qui correspond au plus haut niveau de sécurisation des données en France, comprend 700 items, soit 70 pages. Nous avons auditionné, comme vous l'aviez demandé, Cloud Temple, qui nous a dit que cette certification demandait deux à trois ans de travail à une entreprise disposant pour cela de vingt équivalents temps plein. Le délai que vous proposez est donc surprenant.
Par ailleurs, demander, voire exiger compte tenu du ton de votre intervention, que toutes les données de santé des Français, de la civilité aux examens biologiques réalisés, soient hébergées sur un cloud souverain ou ayant la qualification SecNumCloud n'est pas sérieux. Il faut procéder, avant une migration de ce type, à une qualification des données. Il n'est pas nécessaire que toutes les données de santé soient conservées au niveau SecNumCloud. Une cartographie préalable, qui prend du temps, s'impose.
Le ministère de la santé, que j'ai tenu à auditionner, suit une démarche assez remarquable en matière de protection des données. Le référentiel HDS, Hébergeurs de donnés de santé, qui est à 100 % français, permet de protéger ces données : on ne peut pas faire comme s'il n'existait pas. Je me suis tournée vers la société Medaviz, qui fait de la télémédecine – 70 000 patients ont recours à ses services – et qui est implantée dans mon territoire. Pour son PDG, la migration en SecNumCloud ne présente pas d'intérêt : c'est très lourd et, à ce stade, le référentiel HDS est satisfaisant.
Nous avons pour ambition d'aller vers un niveau optimal de sécurité, notamment dans le cadre de la circulaire « Cloud au centre », mais une migration vers le référentiel SecNumCloud au 1er juillet 2024 serait absolument irréalisable.
