Philippe Latombe
Question N° 3579 au Ministère de la santé
Question soumise le 29 novembre 2022
M. Philippe Latombe attire l'attention de M. le ministre de la santé et de la prévention sur le choix fait par l'Institut Curie de déployer Microsoft Teams pour assurer la continuité des soins et innover. Reconnue d'utilité publique depuis 1921, cette fondation, spécialisée dans les recherches scientifiques fondamentales, translationnelles et cliniques en matière de physique, de chimie, de biologie, de radiobiologie pour lutter contre les maladies et particulièrement le cancer, a commencé, lors de la récente crise sanitaire, à utiliser Microsoft Teams pour la téléconsultation, les réunions de concertation pluridisciplinaires ou encore les réunions de crise. Comme indiqué dans sa communication, l'ensemble du personnel soignant et administratif s'est ensuite emparé de l'outil pour proposer de nouveaux processus, tels que l'accueil des internes ou le planning des gardes, afin d'améliorer encore davantage l'efficacité de l'hôpital et mieux servir les patients. Étant donné le caractère particulièrement sensible de telles activités et les risques induits pour les données collectées, il souhaite savoir s'il trouve approprié qu'une telle mission ait été confiée à une entreprise sous le coup de l'extraterritorialité du droit américain et du Cloud Act et lui demande quelles mesures il envisage de prendre pour répondre, en conformité avec les décisions de la CJUE et l'arrêt Schrems II, aux exigences de souveraineté inhérentes au caractère sensible des données personnelles des patients et de celles de la recherche.
Réponse émise le 12 décembre 2023
L'Institut Curie a déployé Microsoft Teams et l'utilise pour la téléconsultation, pour les réunions de concertation pluridisciplinaires ou encore les réunions de crise. Pour ces usages, le recours à un outil américain n'est pas interdit par la réglementation de l'Union européenne ou française. Dans le cadre de l'application du règlement général sur la protection des données et depuis la décision d'adéquation prise par la Commission Européenne le 10 juillet 2023 constatant que les États-Unis assurent un niveau de protection substantiellement équivalent à celui de l'Union européenne, une administration ou une collectivité locale peut recourir aux services d'un prestataire américain s'il est inscrit sur la liste des entités auto-certifiées du département du commerce, ce qui est le cas de Microsoft en l'espèce.
Aucun commentaire n'a encore été formulé sur cette question.