Un feu vert et des « regrets » : cette fois, c’est officiel, la CNIL, le gendarme français de nos données personnelles, a bien validé le fait que Microsoft héberge nos données de santé et celles des Européens. C’est une première. L’autorité française devait autoriser le choix de ce fournisseur américain de cloud, dans le cadre d’un projet européen d’entrepôt de données de santé appelé « EMC2 ». Il s’agit d’une version européenne du « Health Data Hub », la plateforme française de data de santé développée depuis 2019 dans l’Hexagone. La décision prise par la CNIL le 21 décembre dernier vient d’être publiée sur Legifrance, ce mercredi 31 janvier.
Le contenu de la décision était déjà connu. Début janvier, 01net.com vous expliquait comment trois clouders français (OVH Cloud, Numspot et Cloud Temple) avaient été évalués par la Délégation du Numérique en Santé (DNS) — une branche du ministère de la Santé chargée des chantiers de e-santé. L’objectif de l’administration était d’estimer si ces sociétés pouvaient prendre la suite de Microsoft, l’actuel hébergeur controversé du Health Data Hub (HDH), dans ce projet de plateforme de données de santé européen, l’EMC2.
À lire aussi : Health Data Hub : le cloud français est passé sur le grill… pour mieux faire gagner Microsoft ?
Selon l’évaluation faite par l’administration française, aucun clouder français ou européen n’arriverait au niveau de Microsoft
À cette occasion, le dirigeant de Numspot, une des trois sociétés auditées, nous avait expliqué que la CNIL avait donné son feu vert pour que Microsoft soit l’hébergeur de cette plateforme européenne. Interrogée par 01net.com, la CNIL avait confirmé qu’il y avait bien eu une délibération le 21 décembre à ce sujet, mais que la décision n’était pas encore publiée. C’est maintenant chose faite.
À l’origine de cette procédure, un appel d’offres avait été émis par l’agence européenne du médicament pour développer une plateforme de données de santé des Européens, accessibles à certains chercheurs sous conditions. Le Health Data Hub, en partenariat avec d’autres sociétés européennes, avait remporté ce projet, appelé EMC2, en 2022.
Pour répondre aux exigences de la CNIL et à la doctrine de l’État français – qui impose désormais le choix d’un fournisseur de cloud non soumis aux lois extraterritoriales pour les données particulièrement sensibles, comme les data de santé – une évaluation des clouders français avait été faite à la fin de l’année dernière.
La « consultation » de ces trois clouders, aux conditions décrites par certains comme « rocambolesques » avait abouti à cette conclusion de l’administration : aucune des trois sociétés françaises n’offrait des solutions de cloud suffisamment avancées pour remplacer Microsoft dans ce projet européen, le EMC2, nous expliquaient les dirigeants de ces trois sociétés, au début du mois.
La CNIL, dans sa délibération, explique ainsi avoir reçu les conclusions de cette « mission d’expertise » le 13 décembre 2023. Selon ce rapport, écrit-elle, « aucun prestataire potentiel ne propose d’offres d’hébergement répondant aux exigences techniques et fonctionnelles du (HDH) pour la mise en œuvre du projet EMC2 dans un délai compatible avec les impératifs ce dernier ». En attendant une solution française ou européenne, la DNS préconisait que le « projet EMC2 soit mené sur la solution technique actuelle du (HDH) ». Donc que Microsoft soit bien le clouder de la plateforme de données de santé européenne.
La CNIL suit la conclusion de l’administration, mais avec des regrets
Et le gendarme français de notre vie privée suit la conclusion de l’administration française : elle valide bien le choix de Microsoft, mais seulement pour trois ans, et avec certains « regrets ». Ainsi, la CNIL « déplore qu’aucun prestataire susceptible de répondre actuellement aux besoins exprimés par le (HDH) ne protège les données contre l’application de lois extraterritoriales de pays tiers ».
L’autorité française rappelle, en filigrane, que Microsoft, en tant que société américaine, est bien soumise aux lois extraterritoriales des États-Unis – dont le Cloud Act et la loi FISA, qui vient d’être prolongée jusqu’en avril 2024. Qu’importe que les centres de données de Microsoft Azure soient situés en Europe. En conséquence, les données de santé des Français pourraient être accessibles aux services de renseignements américains, sans que les principaux intéressés n’en soient jamais informés.
À lire aussi : Transfert de données UE-US : la nouvelle cour de Biden déjà sous le feu des critiques
L’autorité française en profite d’ailleurs pour critiquer le choix initial, fait en 2019, de choisir Microsoft pour le Health Data Hub, la plateforme française qui héberge les données de santé des Français, et qui fonctionne aujourd’hui au ralenti.
À lire aussi : Health Data Hub : tout comprendre à la polémique sur la plateforme de données de santé des Français
Elle déclare ainsi « regretter que la stratégie mise en place pour favoriser l’accès des chercheurs aux données de santé n’ait pas fourni l’occasion de stimuler une offre européenne à même de répondre à ce besoin ». Elle va même plus loin, puisqu’elle écrit noir sur blanc qu’avec ce « choix initial »,
« il apparaît désormais difficile de se détacher à court terme (des offres d’acteurs américains, NDLR) malgré l’émergence progressive de fournisseurs souverains. Le projet EMC2 aurait pu être retenu par le HDH pour préfigurer la solution souveraine vers laquelle il doit migrer ».
En d’autres termes, la CNIL note que l’occasion de faire monter en gamme l’offre française ou européenne de cloud, par le biais de la commande publique, a été manquée.
À lire aussi : « C’est une bombinette » : notre souveraineté numérique en danger avec la loi sur le renseignement US, selon ce député
Mais compte tenu des engagements pris vis-à-vis de l’Agence européenne des médicaments, l’autorité qui a émis l’appel d’offres remporté par le Health Data Hub, la CNIL valide bien le choix de Microsoft, pour héberger l’entrepôt EMC2, mais pour une durée de trois ans.
La CNIL précise aussi que les données de santé concernées par ce EMC2 sont celles de certains patients de quatre hôpitaux français (Hospices civils de Lyon, centre Léon Bérard, CHU de Nancy et Fondation hôpital Saint-Joseph), ainsi que les données de l’Assurance maladie (parcours de soin, ordonnances…). Il s’agit d’une première puisque jusqu’à présent, le HDH, dans sa version française, avait le rôle de guichet unique. Pour chaque demande émanant de centres de recherche, le HDH devait déposer une demande auprès de telle base de données. La demande devait à chaque fois recevoir l’aval de la CNIL, conduisant à une procédure de plusieurs mois, et à un fonctionnement plus que ralenti.
Pour les clouders français qui étaient candidats à l’hébergement d’un tel projet, le choix de Microsoft est regrettable, nous expliquaient-ils début janvier. Car d’un côté, Microsoft ne répond pas à la doctrine « Cloud au centre » de l’administration, qui impose aux hébergeurs des données de santé un référentiel « SecNumCloud », le plus haut label de cybersécurité. La version 3.2 de ce référentiel prévoit une immunité aux lois extraterritoriales – ce qui exclut les hyperscalers américains dont fait partie Microsoft.
Mais de l’autre, on impose aux clouders français et européen ce référentiel, dont l’obtention prend du temps. Un « deux poids, deux mesures », qui pourrait finir par prendre fin. Un rapport gouvernemental sur la plateforme, publié le 18 janvier dernier, préconise en effet de « programmer l’arrêt de l’hébergement sur Azure de la plateforme du HDH et (le lancement des) travaux pour l’hébergement du HDH sur un cloud qualifié SecNumCoud, à horizon de 24 mois ». Cette échéance y est qualifiée « d’ambitieuse, mais de crédible à ce stade ».
À lire aussi : Quel est cet article 10 Bis A qui met le bazar dans le projet de loi pour sécuriser l’espace numérique (SREN) ?
🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.
Source : Délibération du 21 décembre 2023 de la CNIL, publiée le 31 janvier 2024 sur Legifrance
Nous avons des hébergeurs low cost (surtout OVH), c’est normal qu’aucun ne soit qualifié pour cela… et ce n’est pas près de changer. 24 mois n’y changeront rien.
Les regrets de la CNIL indiquent bien que le DPF (Data Privacy Framework) – qui, encore récemment, n’était pas publié au Journal Officiel de l’U.E. – ne tient pas debout.
Les sujets de données personnelles aux USA sont traités par la FTC (Federal Trade Commission) : les données personnelles sont commercialisables et non la propriété de chaque individu (principe de base du RGPD).
Quel est le bilan carbone d’un hébergement Microsoft (60% de l’électricité aux USA provient d’énergies fossiles) ?
On peut être dans Azure et en France (donc avec de l’électricité décarbonnée)
Tous les arguments minimum pour dénoncer la CNIL aux tribunaux
OVH hébergeur low cost ? pourtant de nombreuses (grosses) boites y font appel et sont satisfaites !
ils n’ont pas le CA de Microsoft ca c’est certains pour autant je préfère une Ferrari à une VW. La qualité prime sur la Quantité ou le déluge de matraquage publicitaire.
D’ailleurs l’article dit qu’actuellement deja chez MS la plateforme ramme du cake. donc ca n’a rien de folichon!
et perso ca me fait chier que les caincain aient accès à mes données de SANTE sous couvert de NSA ou autre organisation lugubre.