Dans une décision en date du 21 décembre, publiée ce 31 janvier 2024 sur Legifrance, la Commission nationale de l’informatique et des libertés (CNIL) a partagé sa décision concernant le choix de Microsoft comme hébergeur de données de santé des Français et des Européens, dans le cadre du projet EMC2. Il s’agit d’une plateforme européenne de recherche sur les données de santé, inspirée du Health Data Hub français. La CNIL a donné son feu vert à ce partenariat, mais a exprimé des « regrets » face au risque de transfert de données vers les États-Unis.La Cnil a autorisé l'hébergement temporaire chez l'américain Microsoft d'un entrepôt de données de santé pour la recherche alimenté par l'Assurance maladie, une première pour le gendarme français des libertés numériques. Jusqu'à présent, la Cnil n'avait jamais accepté d'autoriser des entrepôts alimentés par des données du Système national des données de santé (SNDS, géré par l'Assurance maladie), si ceux-ci devaient être hébergés sur une plateforme « cloud » non européenne.
Un choix par défaut, faute d’alternative européenne
La CNIL a rappelé que le choix de Microsoft comme hébergeur de données de santé des Français et des Européens avait été fait par défaut, faute d’alternative européenne satisfaisante. En effet, le ministère de la Santé avait lancé en 2022 un appel d’offres pour trouver un prestataire capable de fournir un service de cloud sécurisé, conforme au règlement général sur la protection des données (RGPD) et aux exigences techniques du projet EMC2. Trois fournisseurs français (OVH Cloud, Numspot et Cloud Temple) avaient été évalués, mais aucun n’avait été retenu, car ils ne répondaient pas aux critères de performance, de fiabilité et de sécurité requis.
La CNIL a donc validé le choix de Microsoft, qui héberge déjà les données du Health Data Hub français depuis 2019, pour une durée de trois ans. Elle a toutefois souligné que ce choix n’était pas satisfaisant au regard du principe de souveraineté numérique, et qu’il comportait un risque de transfert de données vers les États-Unis, en raison des lois extraterritoriales américaines, comme le Cloud Act et la loi FISA, qui vient d’être prolongée jusqu’en avril 2024. Qu’importe donc que les centres de données de Microsoft Azure soient situés en Europe. En conséquence, les données de santé des Français pourraient être accessibles aux services de renseignements américains, sans que les principaux intéressés n’en soient jamais informés.
Dans son rapport communiqué à la CNIL le 13 décembre 2023, cette mission d’expertise conclut :
- qu’aucun prestataire potentiel ne propose d’offres d’hébergement répondant aux exigences techniques et fonctionnelles du GIP PDS [ndlr. acteur public chargé par la loi de recueillir les bases de données de santé les plus importantes du pays] pour la mise en œuvre du projet EMC2 dans un délai compatible avec les impératifs ce dernier ;
- que le développement d’un démonstrateur "cloud de confiance", respectant les conditions de la circulaire précitée et permettant à terme d’héberger des projets de cette nature, et notamment la plateforme du GIP PDS, devrait se poursuivre sur les prochaines années ;
- que la construction d’une plateforme d’hébergement spécifique pour le projet EMC2 pourrait retarder la migration de la solution d’hébergement du GIP PDS pour l’ensemble de ses missions ;
- qu’en attendant cette migration, le projet EMC2 soit mené sur la solution technique actuelle du GIP PDS.
À la lumière de ces conclusions, la CNIL déplore qu’aucun prestataire susceptible de répondre actuellement aux besoins exprimés par le GIP PDS ne protège les données contre l’application de lois extraterritoriales de pays tiers.
De manière générale, elle regrette que la stratégie mise en place pour favoriser l’accès des chercheurs aux données de santé n’ait pas fourni l’occasion de stimuler une offre européenne à même de répondre à ce besoin. Le choix initial du GIP PDS, dès sa fondation, de recourir au cloud a conduit à privilégier des offres d’acteurs étasuniens dont il apparaît désormais difficile de se détacher à court terme malgré l’émergence progressive de fournisseurs souverains. Le projet EMC2 aurait pu être retenu par le GIP PDS pour préfigurer la solution souveraine vers...
La fin de cet article est réservée aux abonnés. Soutenez le Club Developpez.com en prenant un abonnement pour que nous puissions continuer à vous proposer des publications.