Avec le Patriot Act, puis le Cloud Act, la France a perdu une partie de sa souveraineté juridique, balayée par les lois extraterritoriales américaines. Mais une volonté de reconquête se fait désormais jour.

Le constat est implacable, la France a perdu depuis l'instauration par les États-Unis du Patriot Act en 2001 une partie de sa souveraineté juridique. La cause : les lois extraterritoriales américaines, qui ont contraint les entreprises françaises et du monde entier à se soumettre au droit américain grâce à des liens parfois très ténus (paiement en dollars par exemple) avec les États-Unis. En dépit de la loi Sapin 2 de décembre 2016, la France - tout comme l'Europe - n'a jusqu'ici rien pu faire pour s'y opposer vraiment... alors même que les États-Unis se sont servis du droit comme "d'une arme de destruction dans la guerre économique" qu'ils mènent contre le reste du monde, a affirmé le député Raphaël Gauvain, qui a remis en juin 2019 un rapport sur la reconquête de la souveraineté de la France au Premier ministre. Dans un entretien à La Tribune, le député LREM martèle qu'il y a une "véritable instrumentalisation de cette procédure au service de l'économie et des entreprises américaines".

Les entreprises en situation de très grande vulnérabilité

Cette arme juridique a servi à piller leurs alliés traditionnels, notamment en Europe, en ciblant plus particulièrement l'Allemagne et la France. Ainsi, plusieurs dizaines de milliards de dollars d'amendes ont été réclamées par la justice américaine à des entreprises françaises, européennes, asiatiques et sud-américaines au motif que leurs pratiques commerciales, leurs clients ou certains de leurs paiements ne respectaient pas le droit américain. Les entreprises françaises "sont dans une situation de très grande vulnérabilité, les autorités françaises donnant depuis de longues années le sentiment de la passivité et l'impression d'avoir renoncé", a d'ailleurs constaté le rapport Gauvain.

Elles le sont encore plus avec l'instauration du Cloud Act en mars 2018. Car les États-Unis sont passés à la vitesse supérieure en élargissant les prérogatives prévues par le Patriot Act. Le Cloud Act permet légalement aux autorités américaines d'accéder aux données de toute personne ou entreprise liée d'une façon ou d'une autre aux États-Unis, peu importe leur lieu de stockage.
Une atteinte à la souveraineté diplomatique de la France

Longtemps, les enquêtes en matière de corruption active d'agents publics étrangers ont constitué l'élément central qui justifiait l'action extraterritoriale du ministère de la Justice américaine (DoJ). En quelque sorte un paravent éthique. Ce n'est plus aujourd'hui totalement le cas avec la multiplication des sanctions internationales décrétées par Washington, instaurées sans aucune concertation au niveau mondial. Cet unilatéralisme en matière de sanctions économiques et financières a d'ailleurs crû indépendamment de la couleur politique de l'administration américaine. Ou comment soumettre un pays sans envoyer un seul GI risquer sa vie... Résultat, certaines amendes infligées par les États-Unis ont été astronomiques comme celle record de près de 9 milliards de dollars payée par BNP Paribas pour violation des sanctions internationales en contournant entre 2000 et 2010 les embargos imposés par les États-Unis à Cuba, à l'Iran, au Soudan ou à la Libye.

Résultat, d'année en année, la liste des pays coupés du monde augmente par la seule volonté des États-Unis. Au 1er décembre 2018, l'Ofac (Office of Foreign Assets Control), chargé de l'application des sanctions internationales américaines dans le domaine financier, infligeait 30 régimes ou programmes actifs de sanctions à presque autant de pays, régimes ou types d'organisations à travers le monde. Pourtant, les divergences stratégiques entre l'Europe et les États-Unis au sujet de la politique de sanctions internationales n'ont jamais été aussi grandes. C'est le cas notamment sur le dossier iranien bien avant l'assassinat ciblé du général iranien Qassem Soleimani par les Etats-Unis, qui a embrasé le Moyen Orient. Ainsi, le constructeur PSA, qui avait investi 350 millions d'euros en Iran, a été obligé de tirer un trait sur environ 450.000 voitures immatriculées par an. Soit quasiment 15% de ses volumes mondiaux. Une telle situation est intolérable pour un pays comme la France, qui souhaite - en principe - mener une politique internationale non alignée à celle des États-Unis en tant que membre permanent au Conseil de l'ONU, et va très clairement à l'encontre de sa souveraineté diplomatique.
La France réfléchit à casser les lois extraterritoriales américaines

Toutefois, ni la France ni l'Europe n'ont, pour l'heure, les moyens juridiques de réagir de manière efficace à des sanctions internationales prises par les États-Unis, qui n'iraient pas dans le sens de leurs intérêts. "Notre environnement juridique mérite d'être adapté au rapport de force qui s'engage actuellement avec certains de nos partenaires, tentés par une application extraterritoriale de leur droit", a d'ailleurs reconnu devant le Sénat la secrétaire générale de la défense et de la sécurité nationale Claire Landais. Mais comment la France peut-elle reconquérir sa souveraineté juridique ? Près de vingt ans après le Patriot Act et plusieurs rapports alarmistes tombés dans l'oubli par un incroyable manque de volonté politique (rapports Urvoas et Lellouche-Berger notamment), l'État français et l'Europe y travaillent enfin.

Le rapport Gauvain participe donc enfin à cette prise de conscience, qui devrait logiquement trouver un prolongement législatif en 2020. Avec un leitmotiv puissant, celui de laisser la naïveté des États au vestiaire face aux impératifs de souveraineté, comme le soulignait au Sénat en mai dernier Thierry Breton, alors encore PDG d'Atos et aujourd'hui commissaire européen.

Des avis juridiques trop peu protégés

Dans ce contexte, "le gouvernement et les administrations travaillent sur des textes", assure-t-on à La Tribune. Ainsi, sous l'impulsion de Matignon, un groupe interministériel (ministères de l'Économie, de la Justice et des Affaires étrangères) "a amorcé une réflexion sur la base du rapport de Raphaël Gauvain, afin d'actualiser la loi de 1968, dite de blocage", a précisé en septembre au Sénat la garde des Sceaux, Nicole Belloubet. Cette loi était censée imposer aux autorités administratives et judiciaires étrangères, souhaitant se faire remettre des informations stratégiques détenues par des entreprises situées en France, de passer par le canal de la coopération. Mais cette loi a été piétinée par les États-Unis.

La France réfléchit aussi à la création d'un statut particulier pour les avocats en entreprise afin de protéger les précieux avis juridiques. Car elle est l'une des rares grandes puissances économiques à ne pas préserver la confidentialité des avis juridiques en entreprise. Cette lacune fragilise les sociétés françaises et "contribue à faire de la France une cible de choix et un terrain de chasse privilégié pour les autorités judiciaires étrangères, notamment les autorités américaines", a fait valoir Raphaël Gauvain dans son rapport.
Face au Cloud Act, l'arme du RGPD

Pour le ministre de l'Intérieur, la reconquête de la souveraineté passe par la montée en puissance de l'euro : "La véritable solution, c'est notamment d'avoir une monnaie européenne suffisamment puissante pour que les entreprises européennes puissent travailler à travers le monde sans utiliser le dollar. Il faut raisonner de la même manière au sujet du cloud et, plus largement, pour l'ensemble de nos outils". Mais le chemin sera trop long pour imposer l'euro dans les transactions internationales.

Pour se faire respecter des États-Unis, la confrontation passe surtout par le strict respect du Règlement général sur la protection des données (RGPD) afin de contrer le Cloud Act. Car "l'Europe a réussi avec le RGPD à créer, sans le vouloir, un instrument à portée extraterritoriale qui défend nos valeurs", a souligné en juillet 2019 le président de la Fédération Syntec, Laurent Giovachini. "Le RGPD a instauré un cadre juridique ambitieux et puissant", a d'ailleurs fait observer en juillet dernier la présidente de la Cnil, Marie-Laure Denis. Le RGPD a vocation à s'appliquer à un marché économique de plus de 500 millions de personnes auquel les acteurs du numérique s'intéressent.

"Dans la perspective de tels conflits de normes, il est essentiel pour rester crédibles de pouvoir leur opposer des outils comme le RGPD ou une loi de blocage rénovée, a estimé Claire Landais. Ces textes normatifs auront, d'une part, un effet incitatif dans les négociations qui doivent s'engager entre États et, d'autre part, un effet dissuasif sur les sociétés étrangères concernées, exposées au risque d'être en infraction avec nos normes". Le RGPD interpelle déjà les entreprises américaines, comme s'en est aperçue Marie-Laure Denis : "J'ai pu constater à quel point les entreprises américaines étaient intéressées par l'affirmation européenne d'une législation extraterritoriale". Car quoi qu'il arrive, les États-Unis ne respecteront que l'épreuve de force. La France semble y être prête, mais l'Europe des 28 le veut-elle ?
Michel Cabirol

L’Association Interhop.org est une initiative de professionnels de santé spécialisés dans l’usage et la gestion des données de santé, ainsi que la recherche en machine learning dans de multiples domaines médicaux. Aujourd’hui, en leur donnant la parole sur ce blog, nous publions à la fois une alerte et une présentation de leur initiative.

En effet, promouvant un usage éthique, solidaire et intelligent des données de santé, Interhop s’interroge au sujet du récent projet Health Data Hub annoncé par le gouvernement français pour le 1er décembre prochain. Devons-nous sacrifier le bon usage des données de santé sur l’autel de la « valorisation » et sous l’œil bienveillant de Microsoft ? Tout comme dans l’Éducation Nationale des milliers d’enseignants tentent chaque jour de ne pas laisser le cerveaux de nos enfants en proie au logiciels fermés et addictifs, il nous appartient à tous de ne pas laisser nos données de santé à la merci de la recherche de la rentabilité au mépris de l’éthique et de la science.

Hold-up sur les données de santé, patients et soignants unissons-nous Par Interhop.org

La plateforme nationale des données de santé ou Health Data Hub, pour les plus américains d’entre nous, doit voir le jour d’ici la fin de l’année. Il s’agit d’un projet qui, selon le Ministère de la Santé, vise à « favoriser l’utilisation et de multiplier les possibilités d’exploitation des données de santé » en créant notamment « une plateforme technologique de mise à disposition des données de santé ».

Or, à la lecture du rapport d’étude qui en détermine les contours, le projet n’est pas sans rappeler de mauvais souvenirs. Vous rappelez-vous, par exemple, du contexte conduisant à la création de la CNIL (Commission nationale de l’informatique et des libertés) en 1978 en France ? L’affaire a éclaté en mars 1974, dans les pages du journal Le Monde. Il s’agissait de la tentative plus ou moins contrecarrée du projet SAFARI (Système Automatisé pour les Fichiers Administratifs et le Répertoire des Individus) visant à créer une banque de données de tous les citoyens français en interconnectant les bases de plusieurs institutions grâce à un numéro unique d’identification du citoyen : le numéro de Sécurité Sociale.

Ce scandale n’était pourtant pas inédit, et il ne fut pas le dernier… À travers l’histoire, toutes les tentatives montrent que la centralisation des données correspond à la fois à un besoin de gouvernement et de rentabilité tout en entamant toujours un peu plus le respect de nos vies privées et la liberté. L’histoire de la CNIL est jalonnée d’exemples. Quant aux motifs, ils relèvent toujours d’une très mauvaise habitude, celle de (faire) croire que la centralisation d’un maximum d’informations permet de les valoriser au mieux, par la « magie » de l’informatique, et donc d’être source de « progrès » grâce aux « entreprises innovantes ».

Concernant le « Health Data Hub », il s’agit d’un point d’accès unique à l’ensemble du Système National des Données de Santé (SNDS) issu de la solidarité nationale (cabinets de médecins généralistes, pharmacies, hôpitaux, Dossier Médical Partagé, registres divers et variés…). L’évènement semble si important qu’il a même été annoncé par le Président Macron en mars 2018. Par ailleurs, il est important de pointer que le SNDS avait été épinglé pour l´obsolescence de son système de chiffrement en 2017 par la CNIL.

De plus, l’infrastructure technique du Health Data Hub est dépendante de Microsoft Azure. Et ce point à lui seul soulève de grandes problématiques d’ordre éthique et réglementaire.

Alors que le Règlement Général sur la Protection des Données (RGPD) protège les citoyens européens d’un envoi de leurs données en dehors du territoire européen, la loi Américaine (Cloud Act) permet de contraindre tout fournisseur de service américain à transférer aux autorités les données qu’il héberge, que celles-ci soient stockées aux États-Unis ou à l’étranger.

Entre les deux textes, lequel aura le dernier mot ?

Les citoyens et patients français sont donc soumis à un risque fort de rupture du secret professionnel. La symbolique est vertigineuse puisque l’on parle d’un reniement du millénaire serment d’Hippocrate.

Le risque sanitaire d’une telle démarche est énorme. Les patients acceptent de se faire soigner dans les hôpitaux français et ils ont confiance dans ce système. La perte de confiance est difficilement réparable et risque d’être désastreuse en terme de santé publique.

C’est sous couvert de l’expertise et du « progrès » que le pouvoir choisit le Health Data Hub, solution centralisatrice, alors même que des solutions fédérées peuvent d’ores et déjà mutualiser les données de santé des citoyens Français et permettre des recherches de pointe. Bien que les hôpitaux français et leurs chercheurs œuvrent dans les règles de l’art depuis des années, il apparaît subitement que les données de santé ne sauraient être mieux valorisées que sous l’égide d’un système central, rassemblant un maximum de données, surveillant les flux et dont la gestion ne saurait être mieux maîtrisée qu’avec l’aide d’un géant de l’informatique : Microsoft.

Il est à noter que d’une part, il n’a jamais été démontré que le développement d’un bon algorithme (méthode générale pour résoudre un type de problèmes) nécessite une grande quantité de données, et que d’autre part, on attend toujours les essais cliniques qui démontreraient les bénéfices d’une application sur la santé des patients.

Pour aller plus loin, le réseau d’éducation populaire Framasoft, créé en 2001 et consacré principalement au développement de logiciels libres, veut montrer qu’il est possible d’impacter le monde en faisant et en décentralisant. C’est cette voie qu’il faut suivre.

La loi pour une République numérique fournit un cadre légal parfait pour initier des collaborations et du partage. La diffusion libre du savoir s’inscrit totalement dans la mission de service publique des hôpitaux telle qu’imaginée il y a des décennies par le Conseil National de la Résistance, puis par Ambroise Croizat lors de la création de la Sécurité Sociale.

On ne s’étonne pas que le site Médiapart ait alerté le 22 novembre dernier sur les conditions de l’exploitation des données de santé. Il est rappelé à juste titre que si la CNIL s’inquiète ouvertement à ce sujet, c’est surtout quant à la finalité de l’exploitation des données. Or, la récente Loi Santé a fait disparaître le motif d’intérêt scientifique pour ne garder que celui de l’intérêt général…

Quant à la confidentialité des données, confier cette responsabilité à une entreprise américaine semble être une grande erreur tant la ré-identification d’une personne sur la base du recoupement de données médicales anonymisées est en réalité plutôt simple, comme le montre un article récent dans Nature.

Ainsi, aujourd’hui en France se développe toute une stratégie visant à valoriser les données publiques de santé, en permettant à des entreprises (non seulement des start-up du secteur médical, mais aussi des assureurs, par exemple) d’y avoir accès, dans la droite ligne d’une idéologie de la privatisation des communs. En plus, dans le cas de Microsoft, il s’agit de les héberger, et de conditionner les technologies employées. Quant aux promesses scientifiques, elles disparaissent derrière des boîtes noires d’algorithmes plus ou moins fiables ou, disons plutôt, derrière les discours qui sous le « noble » prétexte de guérir le cancer, cherchent en fait à lever des fonds.

Quelles sont les alternatives ?

Le monde médical et hospitalier est loin de plier entièrement sous le poids des injonctions.

Depuis plusieurs années, les hôpitaux s’organisent avec la création d’Entrepôts de Données de Santé (EDS). Ceux-ci visent à collecter l’ensemble des données des dossiers des patients pour promouvoir une recherche éthique en santé. Par exemple, le projet eHop a réussi à fédérer plusieurs hôpitaux de la Région Grand Ouest (Angers, Brest, Nantes, Poitiers, Rennes, Tours). Le partage en réseau au sein des hôpitaux est au cœur de ce projet.

Par aller plus loin dans le partage, les professionnels dans les hôpitaux français reprennent l’initiative de Framasoft et l’appliquent au domaine de la santé. Ils ont donc créé Interhop.org, association loi 1901 pour promouvoir l’interopérabilité et « le libre » en santé.

Pourquoi interopérer ?

L’interopérabilité des systèmes informatisés est le moteur du partage des connaissances et des compétences ainsi que le moyen de lutter contre l’emprisonnement technologique. En santé, l’interopérabilité est gage de la reproductibilité de la recherche, du partage et de la comparaison des pratiques pour une recherche performante et transparente.

L’interopérabilité est effective grâce aux standards ouverts d’échange définis pour la santé (OMOP et FHIR)

Pourquoi décentraliser ?

Comme dans le cas des logiciels libres, la décentralisation est non seulement une alternative mais aussi un gage d’efficacité dans le machine learning (ou « apprentissage automatique »), l’objectif visé étant de rendre la machine ou l’ordinateur capable d’apporter des solutions à des problèmes compliqués, par le traitement d’une quantité astronomique d’informations.

La décentralisation associée à l’apprentissage fédéré permet de promouvoir la recherche en santé en préservant, d’une part la confidentialité des données, d’autre part la sécurité de leur stockage. Cette technique permet de faire voyager les algorithmes dans chaque centre partenaire sans mobiliser les données. La décentralisation maintient localement les compétences (ingénieurs, soignants) nécessaires à la qualification des données de santé.

Pourquoi partager ?

La solidarité, le partage et l’entraide entre les différents acteurs d’Interhop.org sont les valeurs centrales de l’association. Au même titre qu’Internet est un bien commun, le savoir en informatique médical doit être disponible et accessible à tous. Interhop.org veut promouvoir la dimension éthique particulière que reflète l’ouverture de l’innovation dans le domaine médical et veut prendre des mesures actives pour empêcher la privatisation de la médecine.

Les membres d’Interhop.org s’engagent à partager librement plateforme technique d’analyse big data, algorithmes et logiciels produits par les membres. Les standards ouverts d’échange sont les moyens exclusifs par lesquels ils travaillent et exposent leurs travaux dans le milieu de la santé. Les centres hospitaliers au sein d’Interhop.org décident de se coordonner pour faciliter et agir en synergie.

Pourquoi soigner librement ?

L’interconnexion entre le soin et la recherche est de plus en plus forte. Les technologies développées au sein des hôpitaux sont facilement disponibles pour le patient.

L’Association Interhop.org veut prévenir les risques de vassalisation aux géants du numériques en facilitant la recherche pour une santé toujours améliorée. L’expertise des centres hospitaliers sur leurs données, dans la compréhension des modèles et de l’utilisation des nouvelles technologies au chevet des patients, est très importante. Le tissu d’enseignants-chercheurs est majeur. Ainsi en promouvant le Libre, les membres d’Interhop.org s’engagent pour une santé innovante, locale, à faible coût et protectrice de l’intérêt général.

Les données de santé sont tout à la fois le bien accessible et propre à chaque patient et le patrimoine inaliénable et transparent de la collectivité. Il est important de garder la main sur les technologies employées. Cela passe par des solutions qui privilégient l’interopérabilité et le logiciel libre mais aussi le contrôle des contenus par les patients.

L'association des américains accidentels a porté plainte contre la France auprès de la Commission européenne pour violation du droit de l'Union européenne. Elle accuse la législation américaine Fatca, qui oblige les banques européennes à transmettre au fisc américain les données bancaires de leurs clients nés aux États-Unis, de ne pas respecter le droit communautaire en matière de protection des données.

C'est une nouvelle étape dans le combat mené par les américains accidentels. L'Association des américains accidentels a annoncé avoir déposé, ce jeudi 3 octobre, une plainte contre la France auprès de la Commission européenne, après avoir été déboutée en juillet par le Conseil d'Etat du refus de ses membres d'être assujettis à une réglementation fiscale. Cette réglementation, le Foreign account tax compliance act (Fatca), adopté par Washington en 2010 et appliqué en France depuis 2014, permet à l'administration fiscale américaine de demander aux banques étrangères des informations sur leurs clients considérés comme des "personnes américaines".

L'association considère que l'accord intergouvernemental franco-américain du 14 novembre 2013, qui permet l'application du Fatca en France, "viole le règlement général de l'UE sur la protection des données" en autorisant le stockage et la transmission massifs aux Etats-Unis des données personnelles", selon un communiqué. Selon les "Américains accidentels", le mécanisme de transmission de données "ne tient pas compte du fait que la plupart de ces personnes n'ont aucun lien avec les États-Unis" et "ne permet pas aux personnes concernées d'accéder aux données qu'elles ont transmises ni de corriger les erreurs qui pourraient s'y glisser".

Le Conseil d'Etat avait pour sa part estimé lors d'une audience début juillet que le Fatca ne présentait pas de défaut d'exécution "avéré" mais tout au plus "des difficultés techniques de mise en oeuvre". Selon le communiqué de l'association, "la Commission européenne dispose d'un délai de 12 mois à compter du 3 octobre pour examiner l'affaire et décider s'il y a lieu d'engager une procédure formelle d'infraction contre la France." La Fédération bancaire française (FBF) avait pour sa part prévenu fin juillet que les banques françaises "pourraient être contraintes de fermer 40.000 comptes d'ici à la fin 2019 faute d'accord sur l'application d'une règlementation fiscale américaine". En refusant de transmettre les informations demandées par les autorités américaines, les banques s'exposeraient à des sanctions à hauteur de 30% de leurs flux financiers avec les Etats-Unis, avait expliqué le patron de la FBF, Laurent Mignon.

En 2017, les Etats-Unis avaient accepté un moratoire valide jusqu'à la fin décembre 2019, stipulant qu'il n'y aurait pas infraction si, faute d'un identifiant fiscal, les banques fournissaient la date de naissance des clients concernés et leur demandaient chaque année des identifiants fiscaux. Mais cette dérogation prendra fin au 1er janvier 2020, "y compris pour les comptes ouverts avant cette date", selon la FBF. Il y a donc urgence à trouver une solution.