Un décret publié par le gouvernement impose désormais aux opérateurs de cloud hébergeant des données de santé de mentionner explicitement dans leurs contrats les risques d’accès à ces données par des autorités étrangères. La mesure vise un angle mort bien connu des spécialistes mais ignoré des décideurs : les législations américaines permettent aux autorités des États-Unis de réclamer des données à leurs entreprises cloud, même quand celles-ci sont stockées sur des serveurs situés hors du territoire américain.
Une transparence forcée qui pourrait rééquilibrer le marché
Sébastien Lescop, codirecteur général de Cloud Temple, résume le problème à l’AFP : ces risques « sont généralement invisibles pour les dirigeants d’entreprises françaises » et ne sont connus « que des techniciens ». Le décret contraint les opérateurs à rendre publique et à maintenir à jour une cartographie des transferts de données vers les pays hors Espace économique européen, ainsi qu’une description des risques d’accès non autorisés.
Les clients concernés sont les établissements de santé, les structures médico-sociales et les fabricants de dispositifs numériques en santé. En les informant contractuellement des risques liés aux législations extra-européennes, le décret introduit une variable jusqu’ici absente des appels d’offres. Sébastien Lescop y voit la possibilité de « créer une forme de déontologie dans les achats numériques » en faveur des opérateurs européens, dont Cloud Temple est l’un des bénéficiaires directs.
Il tempère néanmoins les attentes : « À court terme, cela ne changera rien. À moyen terme, cela peut permettre d’infléchir des positions ». Rendre visible un risque ne suffit pas à modifier des contrats existants ni à renverser la domination des gros opérateurs américains sur le marché du cloud de la santé en France.
