Intervention de Philippe Latombe

L'amendement de Mme Le Hénanff ne correspond pas à celui que j'avais déposé en commission spéciale. Le véritable problème auquel nous sommes confrontés est la protection des données de santé, en base active comme en archivage.

Il y a plus de deux ans, à l'Assemblée et au Sénat, le Gouvernement s'était engagé à transférer dans un délai de deux ans la Plateforme des données de santé (PDS - Health Data Hub) vers un cloud souverain. Ce n'est toujours pas le cas aujourd'hui et, d'après les prévisions du Health Data Hub, ce ne sera possible qu'au troisième trimestre de l'année 2025, soit un délai beaucoup trop long. Dès que l'occasion m'en est donnée, je rappelle au Gouvernement sa promesse car il est urgent que les données de santé de nos concitoyens soient protégées.

L'intérêt de la certification SecNumCloud est précisément de garantir une immunité aux règles extraterritoriales. Si elle s'appliquait au Health Data Hub, alors celui-ci ne pourrait plus utiliser le serveur Microsoft Azure. La certification SecNumCloud pourrait concerner également les start-up qui recourent à Amazon Web Services (AWS), le principal cloud dans le domaine de la recherche médicale.

Je m'étonne que la délégation au numérique en santé s'oppose systématiquement aux mesures que nous proposons. C'est une mauvaise nouvelle pour nos concitoyens qui expriment pourtant une forte défiance à l'égard du stockage de leurs données personnelles et qui sont de plus en plus nombreux à refuser l'utilisation de leurs données de santé. L'hébergement de ces données est une question préoccupante. Le Health Data Hub s'est enkysté depuis trois ans, ce qui est révélateur de la difficulté du Gouvernement à tenir son engagement, que nous ne cessons de lui rappeler. Les Français ne croient plus dans ce dispositif, comme le montre leur défiance à l'égard du dossier médical partagé (DMP).

L'amendement de Mme la rapporteure renvoie à un décret : le sous-amendement n° 1122 précise le délai dans lequel ce décret doit être pris, soit au plus tard un an après la promulgation de la loi ; le sous-amendement n° 1120 prévoit que ce décret intègre des mesures d'immunité aux règles extraterritoriales. Certes, la certification SecNumCloud constitue un processus compliqué, puisqu'il faut satisfaire 250 critères exigeants, mais le référentiel HDS n'est pas suffisamment robuste – une simple certification ISO 27001 et une seule journée d'intervention des consultants ! Nous proposons donc, à tout le moins, d'intégrer dans le décret les mesures d'immunité aux règles extraterritoriales prévues par SecNumCloud.

Si les deux sous-amendements sont adoptés, je voterai en faveur de l'amendement de Mme Le Hénanff. Dans le cas contraire, j'appelle l'Assemblée à le rejeter.