Un décret publié par le gouvernement impose désormais aux opérateurs de cloud hébergeant des données de santé de mentionner explicitement dans leurs contrats les risques d’accès à ces données par des autorités étrangères. La mesure cible un angle mort bien connu des spécialistes mais ignoré des décideurs : la législation américaine permet aux autorités américaines de demander des données à leurs sociétés de cloud, même lorsqu’elles sont stockées sur des serveurs situés en dehors du territoire américain.
Une transparence forcée qui pourrait rééquilibrer le marché
Sébastien Lescop, co-directeur général de Cloud Temple, résume le problème à l’AFP : ces risques « sont généralement invisibles aux yeux des chefs d’entreprise français » et ne sont pas connus « uniquement des techniciens ». Le décret impose aux opérateurs de rendre publique et de tenir à jour une cartographie des transferts de données vers les pays hors Espace économique européen, ainsi qu’une description des risques d’accès non autorisés.
Les clients concernés sont les établissements de santé, les structures médico-sociales et les fabricants d’appareils numériques de santé. En les informant contractuellement des risques liés à une législation non européenne, le décret introduit une variable jusqu’alors absente des appels d’offres. Sébastien Lescop voit la possibilité de « créer une forme d’éthique dans les achats digitaux » au profit des opérateurs européens, dont Cloud Temple est l’un des bénéficiaires directs.
Il tempère toutefois les attentes : « A court terme, cela ne changera rien. À moyen terme, cela permettra peut-être de changer de position. » Rendre visible un risque ne suffit pas pour modifier les contrats existants ou pour renverser la domination des grands opérateurs américains sur le marché du cloud santé en France.
