Nos données de santé seront-elles un jour hébergées par un fournisseur français ou européen ? Alors que le nouveau contexte géopolitique a remis au goût du jour les velléités de souveraineté numérique du Vieux continent, la CNIL, l’autorité française chargée de protéger nos données personnelles, a demandé au gouvernement de « travailler activement à la mise en place d’une solution souveraine » autre que Microsoft pour la plateforme de données de santé des Français (et des Européens), destinée à la recherche.
Dans deux délibérations publiées le 11 mars dernier, le gendarme de notre vie privée somme le gouvernement de chercher « activement » un nouvel hébergeur pour le projet européen d’entrepôt de données de santé appelé « EMC2 », une version européenne du « Health Data Hub », la plateforme française de data de santé développée depuis 2019 dans l’Hexagone.
A lire aussi : Health Data Hub : tout comprendre à la polémique sur la plateforme de données de santé des Français (2024)
L’autorité indépendante profite des deux délibérations pour « réitérer ses regrets que la plateforme des données de santé ne dispose toujours pas à ce jour d’un prestataire susceptible de répondre à ses besoins tout en protégeant les données du SNDS (système national des données de santé) contre les accès des autorités publiques d’État tiers » – ici, les autorités américaines.
Une autorisation jusqu’en décembre 2026 sous conditions
En décembre 2023, la CNIL avait en effet validé le fait que Microsoft, une société américaine soumise aux lois extraterritoriales américaines, héberge les données de santé des Français et des Européens. Dans sa décision, le gendarme des données personnelles devait valider ou infirmer le choix controversé de ce fournisseur américain de cloud. Attendue au tournant, elle avait finalement donné son feu vert, mais seulement pour trois ans, et avec certains « regrets ». La CNIL « déplorait qu’aucun prestataire susceptible de répondre actuellement aux besoins exprimés par le (HDH) ne protège les données contre l’application de lois extraterritoriales de pays tiers ».
À lire aussi : La CNIL valide Microsoft comme hébergeur de données de santé des Français, mais avec des regrets
L’autorité française rappelait, en filigrane, que Microsoft, en tant que société américaine, est bien soumise aux lois extraterritoriales des États-Unis – dont le Cloud Act et la loi FISA, qui a été prolongée jusqu’en 2026. Qu’importe que les centres de données de Microsoft Azure soient situés en France ou en Europe. En conséquence, les données de santé des Français pourraient être accessibles aux services de renseignements américains, sans que les principaux intéressés en soient jamais informés.
Un appel d’offres en préparation
Et si, depuis, un rapport gouvernemental sur la plateforme, publié le 18 janvier 2024, préconisait bien de « programmer l’arrêt de l’hébergement sur (Microsoft) Azure de la plateforme du HDH et (le lancement des) travaux pour l’hébergement du HDH sur un cloud qualifié SecNumCoud, à horizon de 24 mois », soit jusqu’à janvier 2026, aucun appel d’offres n’a été publié en ce sens à ce jour, regrette la CNIL. Pourtant, la loi impose désormais au Health Data Hub d’être hébergé sur un cloud certifié « SecNumCloud » (SNC) – bien que son décret d’application ne soit pas encore publié. Ce SNC est le label de cybersécurité le plus élevé en France. Ce dernier, devenu obligatoire pour les données les plus sensibles, comprend aussi des exigences en termes de souveraineté qui excluent, de fait, tous les clouders américains comme Microsoft.
L’autorité rappelle également que son autorisation de décembre 2023 a été donnée à condition que le gouvernement trouve « rapidement » une solution « pour assurer un hébergement souverain des données du SNDS ». Or, « si le projet de stratégie nationale pour l’utilisation secondaire des données de santé prévoit un plan d’actions à ce sujet », « aucun appel d’offre n’a été publié en ce sens », regrette-t-elle. Seul élément nouveau, donné par la CNIL : cet appel d’offres, réclamé depuis des mois par les fournisseurs de cloud français, est bien en préparation au sein du gouvernement.
🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.
