L’ONG Internet Society France (ISOC) a déposé un recours devant le Conseil d’Etat pour demander l’annulation de la délibération de la CNIL autorisant l’attribution de l’hébergement EMC2 à Microsoft Azure. Une décision qui relance le débat sur le cloud souverain européen.
Les données des Français risquent d’être compromises, estime l’ISOC
Le verdict de la CNIL a soulevé de nombreuses questions, en raison du jargon utilisé par l’autorité française. Elle a visiblement autorisé le stockage de données de santé sur le géant américain du cloud à contrecœur, assurant « déplorer ” Et ” regretter ” la situation.
” Au-delà de la nationalité de l’hébergeur choisi, ce sont les regrets de la CNIL sur sa propre décision qui inquiètent. Les données de santé des Français seront potentiellement accessibles sans contrôle suffisant de la part des acteurs américains. On peut imaginer tous les abus, y compris leur exploitation à des fins de stratégies industrielles ou d’autres types d’ingérences étant donné la portée de l’extraterritorialité du droit américain. », s’inquiète France Charruyer, avocate associée et associée-gérante du cabinet ALTIJ, qui porte le recours devant le Conseil d’Etat.
Microsoft hébergera les données du National Health Data System dans son cloud pour une durée de trois ans. Elles seront stockées dans un entrepôt baptisé EMC2 à l’instigation du Health Data Hub, groupement d’intérêt public français chargé de mettre en place une plateforme regroupant toutes les données de l’Assurance Maladie et des hôpitaux.
EMC2 fournira à l’Agence européenne du médicament les données personnelles des patients traités dans quatre grands hôpitaux français : les Hospices Civils de Lyon, le centre Léon Bérard, le CHU de Nancy et la Fondation de l’Hôpital Saint-Joseph. L’hébergement de ces données jugées sensibles par un acteur américain est rendu possible par l’adoption du Data Privacy Framework, autorisant le transfert de données entre l’Union européenne et les États-Unis.
” Les disparités entre les lois et législations relatives à la protection des données en vigueur dans les deux pays pourraient compromettre la confidentialité des données de santé des Français. », craint l’ONG.
La nécessité d’un cloud européen robuste
” Dans sa délibération, la CNIL déplore elle-même de ne pas avoir trouvé un hébergeur de données à la fois compatible avec les exigences techniques et non soumis à une législation non européenne. », souligne Nicolas Chagny, président de l’Internet Society France.
La situation met en évidence la nécessité d’un cloud souverain français et européen, un système défendu par les législateurs mais complexe à mettre en place. La CNIL a en effet constaté qu’aucun fournisseur de cloud européen ne répond » exigences techniques et fonctionnelles (…) pour la mise en œuvre du projet EMC2 dans un délai compatible avec les exigences de ce dernier « . Cette semaine, Le canard enchaîné a révélé qu’EDF avait choisi Amazon Web Services pour se charger de l’hébergement d’une partie de la maintenance de ses centrales nucléaires.
De son côté, l’ISOC exhorte le gouvernement à trouver une solution. ” A l’heure où le Gouvernement français s’engage pour renforcer la souveraineté industrielle, alimentaire et numérique, l’Internet Society France reste convaincue que des solutions européennes et même françaises peuvent et doivent être trouvées. », assure Nicolas Chagny. Les géants du cloud présentent leurs offres européennes comme souveraines.
