Entraînement des intelligences artificielles européennes dans le domaine de la santé

Objet: Entraînement des intelligences artificielles européennes dans le domaine de la santé

La société américaine Microsoft s’est vu confier l’hébergement des données de santé des Français au sein d’un entrepôt qui rassemble des données de santé de plusieurs pays européens, dénommé EMC21.

Ce transfert s’inscrit dans le contexte réglementaire du cadre de protection des données UE- États-Unis, qui est le nouveau système d’échange de données entre les États-Unis et l’Europe, en vigueur depuis 2022.

Mes questions à la Commission seront donc les suivantes:

1. Peut-elle garantir que les données de santé européennes ne seront pas recueillies par les services de renseignement américains, puisque Microsoft est soumis à

l’extraterritorialité des lois américaines, notamment l’article 702 de la loi sur la surveillance et le renseignement étranger2?

2. Agira-t-elle pour éviter ces transferts de données stratégiques vers des entreprises issues de pays tiers, aux dépens d’entreprises françaises et européennes comme OVHcloud ou Cloud Temple?

3. Agira-t-elle pour développer des intelligences artificielles européennes, entraînées par nos données de santé agrégées, qui permettront à terme de prévenir les problèmes de santé de nos concitoyens, après avoir obtenu leur consentement, mais aussi d’améliorer l’efficacité des traitements, voire d’en concevoir de nouveaux, plus efficaces?

Dépôt: 4.12.2024

1 https://www.conseil-etat.fr/fr/arianeweb/CE/decision/2024-11-19/491644

2 https://next.ink/159167/hdh-le-conseil-detat-valide-lhebergement-des-donnees-de-sante-demc2-chez-

microsoft/

Réponse donnée par M. McGrath au nom de la Commission européenne (18 mars 2025)

Dans sa décision à laquelle renvoie l'Honorable Parlementaire, le Conseil d'État reconnaît que les données de santé concernées seront hébergées dans des centres de données situés dans l'Union européenne et qu'aucun transfert de données de santé vers un pays tiers n'est prévu.

Les garanties en matière de nécessité et de proportionnalité mises en place par le décret présidentiel n o 14086 (3) dans le contexte du cadre de protection des données UE — États-Unis (CPD) s'appliquent à la surveillance exercée au titre de l'article 702 de la loi sur la surveillance et le renseignement étranger («Foreign Intelligence Surveillance Act» ou «FISA») (4). Ces garanties et la réactivation de l'article 702 du FISA ont récemment été évaluées dans le premier rapport d'examen du CPD et font l'objet d'un suivi continu de la part de la Commission (5).

Les transferts de données à caractère personnel vers des pays tiers situés en dehors de l'Espace économique européen ne peuvent se faire que dans le respect des règles énoncées dans le règlement général sur la protection des données (6).

Dans le cadre des initiatives à venir sur l'utilisation et le stockage des données, telles que la stratégie pour une union européenne des données et la législation sur le développement de l'informatique en nuage et de l'IA, la Commission s'efforcera de renforcer la position du secteur européen de l'informatique en nuage et de prévenir toute utilisation abusive de nos données les plus sensibles (7).

1 ∙ ⸱ https://www.conseil-etat.fr/fr/arianeweb/CE/decision/2024-11-19/491644

2 ∙ ⸱ https://next.ink/159167/hdh-le-conseil-detat-valide-lhebergement-des-donnees-de-sante-demc2-chez-microsoft/

3 ∙ ⸱ Décret présidentiel sur le renforcement des garanties pour les activités de renseignement d'origine électromagnétique menées par les États-Unis —

https://www.govinfo.gov/content/pkg/FR-2022-10-14/pdf/2022-22531.pdf 4 ∙ ⸱ Voir les considérants 124 et 125 de la décision d'exécution (UE) 2023/1795 de la Commission du 10 juillet 2023 constatant, conformément au règlement (UE) 2016/679 du Parlement européen et du Conseil, le niveau de protection adéquat des données à caractère personnel assuré par le cadre de protection des données UE — États-Unis; 50 U.S. Code § 1881a. 5 ∙ ⸱

Rapport de la Commission au Parlement européen et au Conseil du 9 octobre 2024 sur le premier examen périodique du fonctionnement de la décision d'adéquation relative au cadre de protection des données UE — États-Unis, COM(2024) 451 final. Il est également rappelé qu'en vertu du RGPD, toutes les décisions d'adéquation font l'objet d'un suivi continu et que tous les outils nécessaires pour réagir à toute évolution éventuelle sont en place. En particulier, la Commission a le pouvoir de suspendre, de modifier ou d'abroger la décision d'adéquation si elle conclut qu'un niveau de protection adéquat n'est plus assuré [voir article 3, paragraphe 5, de la décision d'exécution (UE) 2023/1795 de la Commission et article 45, paragraphe 5, du RGPD]. 6 ∙ ⸱ Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données); JO L 119 du 4.5.2016, p. 1. 7 ∙ ⸱

Communication de la Commission au Parlement européen, au Conseil européen, au Conseil, au Comité économique et social et au Comité des régions — Une boussole pour la compétitivité de l'UE, 29 janvier 2025, COM(2025) 30 final — https://eur-lex.europa.eu/legal-content/FR/TXT/PDF/? uri=CELEX:52025DC0030














| | )La Commission soutient le développement d'infrastructures visant à favoriser l'innovation et le déploiement de technologies numériques dans le domaine de la santé et des soins, et ainsi permettre le développement et l'expérimentation de technologies fondées sur l'IA pour le diagnostic et le traitement.

La Commission a également proposé la création de l'espace européen des données de santé (8), afin de soutenir le développement de l'IA en veillant à ce que les données de santé électroniques puissent être mises à disposition à des fins de «recherche scientifique ayant trait aux secteurs de la santé ou des soins [...], notamment dans [...] les systèmes d'IA» (9), sous réserve des garanties applicables (10).

8 ∙ ⸱ https://oeil.secure.europarl.europa.eu/oeil/fr/procedure-file?reference=2022/0140(COD) Le Conseil a adopté l'acte législatif le 21 janvier 2025, après la

première lecture au Parlement. L'acte final a été signé le 11 février 2025. 9 ∙ ⸱ Article 53, paragraphe 1, point e), du règlement relatif à l'espace européen des données de santé (EHDS). 10 ∙ ⸱ Il convient en outre de noter que plusieurs actions sont financées, et continueront de l'être, au titre d'Horizon Europe, du programme pour une Europe numérique et du programme «L'UE pour la santé», afin de permettre des avancées fondées sur l'IA dans le domaine de la recherche biomédicale et des soins cliniques, et notamment de la prévention des maladies, l'une des priorités de cette Commission.