Feu vert et « regrets » : cette fois, c’est officiel, la CNIL, le gendarme français de nos données personnelles, a validé le fait que Microsoft héberge nos données de santé et celles des Européens. C’est une première. L’autorité française a dû autoriser le choix de ce fournisseur de cloud américain, dans le cadre d’un projet européen d’entrepôt de données de santé baptisé « EMC2 ». Il s’agit d’une version européenne du « Health Data Hub », la plateforme française de données de santé développée depuis 2019 en France. La décision prise par la CNIL le 21 décembre vient d’être publiée sur Legifrance, ce mercredi 31 janvier.
Le contenu de la décision était déjà connu. Début janvier, 01net.com vous expliquait comment trois fournisseurs de cloud français (OVH Cloud, Numspot et Cloud Temple) avaient été évalués par la Délégation Santé Numérique (DNS) – une branche du ministère de la Santé chargée de la e-santé. projets. L’objectif de l’administration était d’évaluer si ces entreprises pourraient prendre le relais de Microsoft, l’actuel hébergeur controversé du Health Data Hub (HDH), dans ce projet de plateforme européenne de données de santé, EMC2.
A lire aussi : Health Data Hub : le cloud français sous le feu des critiques… pour mieux aider Microsoft à gagner ?
Selon l’évaluation faite par l’administration française, aucun clouder français ou européen n’atteindrait le niveau de Microsoft
A cette occasion, le directeur de Numspot, une des trois sociétés auditées, nous a expliqué que la CNIL avait donné son feu vert à Microsoft pour héberger cette plateforme européenne. Interrogée par 01net.com, la CNIL a confirmé qu’il y avait bien eu une délibération le 21 décembre à ce sujet, mais que la décision n’avait pas encore été publiée. C’est désormais chose faite.
A l’origine de cette procédure, un appel d’offres a été lancé par l’Agence européenne des médicaments pour développer une plateforme de données européennes de santé, accessible à certains chercheurs sous certaines conditions. Le Health Data Hub, en partenariat avec d’autres entreprises européennes, a remporté ce projet, baptisé EMC2, en 2022.
Pour répondre aux exigences de la CNIL et à la doctrine de l’État français – qui impose désormais le choix d’un fournisseur de cloud non soumis aux lois extraterritoriales pour les données particulièrement sensibles, comme les données de santé – une évaluation des clouders français a été réalisée fin 2017. l’année dernière.
La « consultation » de ces trois clouders, dans des conditions qualifiées par certains d’« incroyables », a conduit à cette conclusion de la part de l’administration : aucune des trois entreprises françaises n’a proposé de solutions cloud suffisamment avancées pour remplacer Microsoft dans ce projet européen, l’EMC2, les dirigeants de ces trois sociétés nous l’a expliqué en début de mois.
La CNIL, dans sa délibération, explique ainsi avoir reçu les conclusions de cette « mission d’expertisee » le 13 décembre 2023. Selon ce rapport, elle écrit : « aucun prestataire potentiel ne propose d’offres d’hébergement répondant aux exigences techniques et fonctionnelles de la (HDH) pour la mise en œuvre du projet EMC2 dans un délai compatible avec les exigences de cette dernière. « . En attendant une solution française ou européenne, le DNS a recommandé que le « Le projet EMC2 est réalisé sur la solution technique actuelle de (HDH) « . Laissez donc Microsoft être le fournisseur cloud de la plateforme européenne de données de santé.
La CNIL suit la conclusion de l’administration, mais avec des regrets
Et le gendarme français de nos vies privées suit la conclusion de l’administration française : cela valide effectivement le choix de Microsoft, mais seulement pour trois ans, et avec certaines » regrets ». Ainsi, la CNIL « regrette qu’aucun prestataire de services capable de répondre actuellement aux besoins exprimés par le (HDH) ne protège les données contre l’application de lois extraterritoriales de pays tiers « .
L’autorité française rappelle, implicitement, que Microsoft, en tant qu’entreprise américaine, est soumise aux lois extraterritoriales des États-Unis – dont le Cloud Act et la loi FISA, qui vient d’être prolongée jusqu’en avril 2024. Peu importe que Les centres de données Microsoft Azure sont situés en Europe. Ainsi, les données de santé françaises pourraient être accessibles aux services de renseignement américains, sans que les principaux acteurs en soient jamais informés.
L’autorité française en profite également pour critiquer le choix initial, fait en 2019, de choisir Microsoft pour le Health Data Hub, la plateforme française qui héberge les données de santé des Français, et qui fonctionne actuellement au ralenti.
A lire aussi : Health Data Hub : tout comprendre de la polémique sur la plateforme française de données de santé
Elle déclare ainsi : regretter que la stratégie mise en place pour favoriser l’accès des chercheurs aux données de santé n’ait pas permis de stimuler une offre européenne capable de répondre à ce besoin « . Elle va encore plus loin, puisqu’elle écrit noir sur blanc qu’avec ce « choix initial »,
“ il apparaît désormais difficile de s’en détacher à court terme (offres des acteurs américains, NDLR) malgré l’émergence progressive de fournisseurs souverains. Le projet EMC2 aurait pu être retenu par le HDH pour préfigurer la solution souveraine vers laquelle il doit migrer « .
Autrement dit, la CNIL constate que l’opportunité de faire évoluer l’offre cloud française ou européenne, via la commande publique, a été manquée.
A lire aussi : « C’est une bombe » : notre souveraineté numérique en danger avec la loi américaine sur le renseignement, selon ce député
Mais compte tenu des engagements pris auprès de l’Agence européenne du médicament, l’autorité qui a lancé l’appel d’offres remporté par le Health Data Hub, la CNIL valide le choix de Microsoft, pour héberger l’entrepôt EMC2, mais pour une durée de trois ans.
La CNIL précise également que les données de santé concernées sont celles de certains patients de quatre hôpitaux français (Hospices Civils de Lyon, centre Léon Bérard, CHU de Nancy et Fondation de l’Hôpital Saint-Joseph), ainsi que les données de l’Assurance Maladie (parcours de soins, prescriptions). , etc.) qui peuvent être centralisés dans cet EMC2. C’est une première puisque jusqu’à présent, le HDH, dans sa version française, avait le rôle de guichet unique. Pour chaque demande émanant des centres de recherche, le HDH devait introduire une demande auprès d’une telle base de données. La demande a dû à chaque fois recevoir l’aval de la CNIL, conduisant à une procédure de plusieurs mois, et à un fonctionnement plus que ralenti.
Pour les clouders français candidats à l’hébergement d’un tel projet, le choix de Microsoft est regrettable, nous expliquaient-ils début janvier. Car d’une part, Microsoft ne répond pas à la doctrine » Nuage au centre » de l’administration, qui impose aux hébergeurs de données de santé un benchmark « SecNumCloud », le plus haut label de cybersécurité. La version 3.2 de ce référentiel offre une immunité contre les lois extraterritoriales – ce qui exclut les hyperscalers américains dont Microsoft fait partie.
Mais d’un autre côté, nous imposons ce benchmark aux fournisseurs de cloud français et européens, qui prend du temps à obtenir. Un « double standard », qui pourrait finir par prendre fin. Un rapport gouvernemental sur la plateforme, publié le 18 janvier, préconise en effet « programmer l’arrêt de l’hébergement sur Azure de la plateforme HDH et (le lancement) des travaux pour l’hébergement du HDH sur un cloud SecNumCoud qualifié, sous 24 mois « . Ce délai y est décrit comme « ambitieux, mais crédible à ce stade « .
