- 01m56s
3 min de lecture
Pourquoi la Cnil valide le stockage de données de santé de Français chez Microsoft
Le gendarme français des données personnelles a validé à regret le stockage temporaire de données de santé de Français chez Microsoft, pourtant soumis aux lois extraterritoriales américaines, car aucun acteur européen ne remplissait le cahier des charges du projet.
Microsoft Corporation est une multinationale informatique et micro-informatique américaine, fondée en 1975 par Bill Gates
Crédit : AFP
La pilule a du mal à passer pour les spécialistes français du stockage de données et les défenseurs de cloud souverain. La CNIL a fait savoir, dans une décision datée du 3 janvier, qu’elle autorisait le stockage temporaire de données de santé des Français chez Microsoft, pourtant soumis aux lois extraterritoriales américaines, dans le cadre d'un projet européen de recherche en santé baptisé EMC2.
Le choix du fournisseur américain de cloud s'inscrit dans le cadre du développement de la plateforme européenne destinée à la recherche EMC2. Il s'agit d'une sorte d'équivalent européen du Health Data Hub, la plateforme française lancée en 2019 pour faciliter le partage de données de santé et favoriser la recherche, elle-même déjà hébergée sur les serveurs de Microsoft Azure au moins jusqu'à 2025.
Le projet en question concerne les données de patients hospitalisés en médecine, chirurgie et obstétrique à partir de 2022 dans quatre grands hôpitaux français (Hospices civils de Lyon, centre Léon Bérard, CHU de Nancy et Fondation hôpital Saint-Joseph) et les données de l'Assurance maladie relatives aux remboursements de consultations et de soins et aux parcours hospitaliers de ces mêmes usagers. Les données seront anonymisées afin de réduire les risques de réidentification des patients. L'objectif du projet est de faire avancer la recherche sur les données de santé et améliorer la prévention, le diagnostic et le traitement des maladies.
Un choix par défaut faute d'alternative locale
La désignation de Microsoft est un choix par défaut et non satisfaisant, explique la Cnil. Jusqu'ici, la Commission avait toujours souligné le risque d'accès aux données par des autorités étrangères inhérents à leur stockage chez des fournisseurs de cloud non européens.
Le cas de Microsoft est particulièrement symptomatique, car même si l'hébergement des données du projet se fera sur des centres de données situés en France, la société américaine est soumise aux lois extraterritoriales de son pays qui permettent aux autorités locales d'exiger, dans certains cas, que les opérateurs de cloud nationaux leur fournissent les données qu'ils hébergent chez eux, peu importe leur provenance dans le monde. En théorie, les données de santé des Français pourraient donc être accessibles aux services de renseignement américains, sans que les concernés soient informés.
Dans sa décision datée du 21 décembre et publiée le 31 janvier, la Cnil consent finalement à valider pour trois ans l'hébergement des données de l'entrepôt pour le compte de l'Agence européenne du médicament au motif qu'"aucun prestataire potentiel" parmi les opérateurs français et européens "ne propose d'offre d'hébergement répondant aux exigences techniques et fonctionnelles" du projet.
L'autorité déplore "qu'aucun prestataire susceptible de répondre actuelle aux besoins exprimés par le projet ne protège les données contre l'application de lois extraterritoriales de pays tiers" et espère qu'un cloud de confiance européen aura le temps d'émerger d'ici à trois ans.
Trois entreprises françaises étaient candidates
La décision a provoqué de vives réactions dans l'écosystème français. Thomas Fauré, président de Whaller, plateforme française de réseaux sociaux collaboratifs sécurisés, a lancé une pétition pour demander à la Cnil de reconsidérer sa position au nom de la souveraineté numérique de la France. "La France n'a pas été en mesure de réunir ses propres entreprises et experts en technologie pour élaborer une solution nationale pour l'hébergement des données de santé", déplore aussi William Méauzoone, directeur de la start-up française Leviia, spécialisée dans le stockage de données.
Pour rappel, trois entreprises françaises spécialisées dans l'hébergement des données, OVH Cloud, Numspot et Cloud Temple, ont été évaluées fin 2023 par la Délégation du numérique en santé (DNS) afin d'estimer si elles étaient en mesures de prendre la suite de Microsoft, l'actuel hébergeur du Heath Data Hub, pour le projet EMC2. Mais l'administration avait conclu qu'aucune de ces plateformes ne répondait au cahier des charges du projet européen.
- Les données de 20 millions de Français potentiellement compromises dans une cyberattaque chez Viamedis
- Elon Musk : sa société Neuralink annonce la pose réussie d'un premier implant cérébral
- Taylor Swift peut-elle vaincre les deepfakes pornographiques ?
- Protection des données : 10 conseils à appliquer pour faire face aux menaces
- 4G, WiFi, Bluetooth... Les ondes de nos appareils électroniques sont-elles dangereuses ?
