La Cnil a autorisé l'hébergement temporaire chez l'américain Microsoft d'un entrepôt de données de santé pour la recherche alimenté par l'Assurance maladie, une première pour le gendarme français des libertés numériques. Jusqu'à présent, la Cnil n'avait jamais accepté d'autoriser des entrepôts alimentés par des données du Système national des données de santé (SNDS, géré par l'Assurance maladie), si ceux-ci devaient être hébergés sur une plateforme « cloud » non européenne.
Un choix par défaut, faute d’alternative européenne
La CNIL a rappelé que le choix de Microsoft comme hébergeur de données de santé des Français et des Européens avait été fait par défaut, faute d’alternative européenne satisfaisante. En effet, le ministère de la Santé avait lancé en 2022 un appel d’offres pour trouver un prestataire capable de fournir un service de cloud sécurisé, conforme au règlement général sur la protection des données (RGPD) et aux exigences techniques du projet EMC2. Trois fournisseurs français (OVH Cloud, Numspot et Cloud Temple) avaient été évalués, mais aucun n’avait été retenu, car ils ne répondaient pas aux critères de performance, de fiabilité et de sécurité requis.
La CNIL a donc validé le choix de Microsoft, qui héberge déjà les données du Health Data Hub français depuis 2019, pour une durée de trois ans. Elle a toutefois souligné que ce choix n’était pas satisfaisant au regard du principe de souveraineté numérique, et qu’il comportait un risque de transfert de données vers les États-Unis, en raison des lois extraterritoriales américaines, comme le Cloud Act et la loi FISA, qui vient d’être prolongée jusqu’en avril 2024. Qu’importe donc que les centres de données de Microsoft Azure soient situés en Europe. En conséquence, les données de santé des Français pourraient être accessibles aux services de renseignements américains, sans que les principaux intéressés n’en soient jamais informés.
Dans son rapport communiqué à la CNIL le 13 décembre 2023, cette mission d’expertise conclut :
- qu’aucun prestataire potentiel ne propose d’offres d’hébergement répondant aux exigences techniques et fonctionnelles du GIP PDS [ndlr. acteur public chargé par la loi de recueillir les bases de données de santé les plus importantes du pays] pour la mise en œuvre du projet EMC2 dans un délai compatible avec les impératifs ce dernier ;
- que le développement d’un démonstrateur "cloud de confiance", respectant les conditions de la circulaire précitée et permettant à terme d’héberger des projets de cette nature, et notamment la plateforme du GIP PDS, devrait se poursuivre sur les prochaines années ;
- que la construction d’une plateforme d’hébergement spécifique pour le projet EMC2 pourrait retarder la migration de la solution d’hébergement du GIP PDS pour l’ensemble de ses missions ;
- qu’en attendant cette migration, le projet EMC2 soit mené sur la solution technique actuelle du GIP PDS.
À la lumière de ces conclusions, la CNIL déplore qu’aucun prestataire susceptible de répondre actuellement aux besoins exprimés par le GIP PDS ne protège les données contre l’application de lois extraterritoriales de pays tiers.
De manière générale, elle regrette que la stratégie mise en place pour favoriser l’accès des chercheurs aux données de santé n’ait pas fourni l’occasion de stimuler une offre européenne à même de répondre à ce besoin. Le choix initial du GIP PDS, dès sa fondation, de recourir au cloud a conduit à privilégier des offres d’acteurs étasuniens dont il apparaît désormais difficile de se détacher à court terme malgré l’émergence progressive de fournisseurs souverains. Le projet EMC2 aurait pu être retenu par le GIP PDS pour préfigurer la solution souveraine vers laquelle il doit migrer.
La CNIL constate pour autant qu’il est nécessaire que les engagements pris vis-à-vis de l’EMA puissent être honorés. Dans ces conditions, elle autorise la constitution de l’entrepôt EMC2 pour la durée de trois ans, qui correspond à la réalisation du projet de migration de la plateforme de la PDS, projet confirmé par le gouvernement.
La CNIL précise aussi que les données de santé concernées sont celles de certains patients de quatre hôpitaux français (Hospices civils de Lyon, centre Léon Bérard, CHU de Nancy et Fondation hôpital Saint-Joseph), ainsi que les données de l’Assurance maladie (remboursements de consultations et de soins, parcours hospitaliers, etc...) qui pourront être centralisées dans ce EMC2.
- des dossiers médicaux issus des Hospices civils de Lyon (HCL), du centre Léon Bérard (CLB), du centre hospitalier universitaire de Nancy (CHU de Nancy) et de la Fondation hôpital Saint-Joseph (FHSJ), ci-après " les établissements partenaires " ;
- des composantes de la base principale du SNDS.
Un appel à développer une solution européenne
La CNIL a enfin appelé à développer une solution européenne pour l’hébergement des données de santé, afin de garantir la souveraineté numérique et la protection des droits fondamentaux des citoyens. Elle a souligné que le projet EMC2 était une opportunité pour favoriser l’émergence d’un acteur européen du cloud, capable de répondre aux besoins spécifiques du secteur de la santé. Elle a également invité le ministère de la Santé à préparer la transition vers un autre hébergeur à l’issue du contrat de trois ans avec Microsoft, et à associer la CNIL à ce processus.
La CNIL a conclu sa décision en rappelant l’importance du projet EMC2, qui vise à faciliter la recherche sur les données de santé, et à améliorer la prévention, le diagnostic et le traitement des maladies. Elle a affirmé sa volonté d’accompagner ce projet, tout en veillant au respect du RGPD et des principes de souveraineté numérique.
Un rapport gouvernemental sur la plateforme, publié le 18 janvier dernier, préconise de « programmer l’arrêt de l’hébergement sur Azure du HDH [ndlr. Health Data Hub] et lancer les travaux pour l’hébergement du HDH, y compris la copie de la base principale du SNDS, sur un cloud SecNumCloud, à horizon de 24 mois », assurant qu'il s'agit d'une échéance ambitieuse mais crédible à ce stade.
Pour mémoire, les fournisseurs français de cloud qui étaient candidats à l’hébergement d’un tel projet avançaient début janvier que le choix de Microsoft est regrettable. Ils avançaient par exemple que Microsoft ne répond pas à la doctrine « Cloud au centre » de l’administration, qui impose aux hébergeurs des données de santé un référentiel « SecNumCloud », le plus haut label de cybersécurité.
OVH par exemple a obtenu la qualification SecNumCloud en janvier 2021 pour son offre "Hosted Private Cloud". Suivant les recommandations de l'ANSSI, OVHcloud a mis en place pour cette nouvelle offre des procédures de sécurité physique, organisationnelle et contractuelle renforcées qui garantissent pour le client final. Les garanties de souveraineté des données de l'offre Hosted Private Cloud auxquelles s’ajoute désormais le Visa de Sécurité pour SecNumCloud la rendent adaptée à l’hébergement des données sensibles des organisations, telles que les données de santé, les données financières, etc.
La première version officielle du SecNumCloud remonte à 2016. SecNumCloud est une évolution du label Secure Cloud présenté par l’ANSSI en 2014. Le label s’appuie sur la norme ISO 27001, qui définit les exigences et les bonnes pratiques en matière de management de la sécurité de l’information. Cependant, il ajoute de nouvelles exigences additionnelles spécifiques aux acteurs cloud. SecNumCloud a été ensuite révisé en 2018 pour aboutir à sa version 3.1. Ce processus a également permis à l'ANSSI de la rendre compatible avec RGPD (Règlement général sur la protection des données).
La version 3.2 du référentiel, disponible en ligne depuis octobre 2021, apporte plusieurs modifications, notamment des orientations sur la façon dont une entreprise peut s'organiser pour se placer hors d'atteinte des lois extraterritoriales, telles que le Cloud Act américain, le FISA ou l’Executive Order 12333.
Vers un cloud souverain ?
Début décembre, la Commission européenne a approuvé une aide d'État pouvant atteindre 1,2 milliard d'euros pour le projet intitulé IPCEI Next Generation Cloud Infrastructure and Services (IPCEI CIS), visant à renforcer la compétitivité européenne dans le domaine du cloud computing, actuellement dominé par des géants américains tels qu'AWS, Microsoft et Google. Sept États membres, à savoir la France, l'Allemagne, la Hongrie, l'Italie, les Pays-Bas, la Pologne et l'Espagne, ont conjointement notifié le projet, et l'objectif est de créer une infrastructure cloud et edge combinant des produits de différents fournisseurs locaux.
Certains se sont demandé si la solution pour remplacer Microsoft par un champion européen pourrait venir de là.
Si cette option reste une possibilité, il convient de rappeler que l'Europe a des antécédents mitigés en matière de projets informatiques et de cloud computing. Le projet Gaia-X, lancé en 2019 dans le but de briser la domination des entreprises américaines en matière de cloud computing, est toujours en cours de développement début 2024.
Sources : conclusions de la CNIL publiée sur Legifrance, rapport gouvernemental
Et vous ?
Que pensez-vous du choix de Microsoft comme hébergeur de données de santé des Français et des Européens ?
Quels sont les avantages et les inconvénients de ce partenariat pour la recherche sur les données de santé ?
Faites-vous confiance à Microsoft pour protéger vos données de santé contre tout accès non autorisé, notamment par les autorités américaines ?
Quelles sont les alternatives possibles à Microsoft pour l’hébergement des données de santé ?
Comment renforcer la souveraineté numérique et la protection des droits fondamentaux des citoyens européens dans le domaine de la santé ?