La Cnil valide le stockage des données de santé des Français chez Microsoft (màj)

Faute de prestataire local ou européen, la Cnil a annoncé avoir validé l'hébergement de données de santé des Français chez le géant américain Microsoft, pour une durée de trois ans. Le "risque de communication à des puissances étrangères" n'a pas vraiment pesé, alors que Microsoft est déjà partenaire du gouvernement depuis quelques temps. Ce n'est pas comme si OVH n'était pas français...

Sans crier gare, la Cnil a autorisé l'hébergement temporaire à l'étranger de données de santé pour la recherche alimenté par l'Assurance maladie. Une première.

Jusqu'à présent, la Commission nationale de l'informatique et des libertés n'avait jamais accepté d'autoriser l'hébergement des données de santé gérées par l'Assurance maladie, exigeant que tout plateforme cloud soit à minima européenne.

La main aux américains

La Cnil, si souvent pointilleuse avec les données des Français, avait été tout aussi magnanime lors de l'épisode COVID avec l'application de traçage en Bluetooth.

Pour en revenir au sujet, la Cnil se dédit dans une décision en date du 21 décembre, publiée ce 31 janvier 2024 sur Legifrance. La Commission a accepté de valider pour trois ans l'accord avec Microsoft, pour le compte de l'Agence européenne du médicament. Sa position précédente était claire à cause de certaines lois américaines à portée extraterritoriale. Grâce à celles-ci, les autorités américaines peuvent exiger dans certains cas que les opérateurs de cloud américains leur fournissent les données stockées chez eux, où qu'elles se trouvent dans le monde.

Mais aucun concurrent européen n'a su apporter les garanties nécessaires au projet baptisé EMC2 :

À la lumière de ces conclusions, la CNIL déplore qu’aucun prestataire susceptible de répondre actuellement aux besoins exprimés par le GIP PDS ne protège les données contre l’application de lois extraterritoriales de pays tiers.

Pour ceux qui ont suivi la tendance numérique européenne, ce projet fait partie du Health Data Hub, la structure publique créée en 2019 qui doit devenir à terme le concentrateur des données.

Quel est l'intérêt de ce projet ?

La première étape est de stocker les données de patients fournies par quatre grands hôpitaux français et les données de l'Assurance maladie (remboursements de consultations et de soins, parcours hospitaliers, etc...), pour ces mêmes patients.

Le Health Data Hub pourra ainsi mettre à disposition des chercheurs une masse de données de l'Assurance maladie. Avec cela, ils ambitionnent de faire progresser la recherche pharmaco-épidémiologique sur les effets à long terme des traitements médicaux, rattrapant ainsi d'autres pays déjà bien pourvus de ce côté-là.

Après les trois ans, l'objectif reste de basculer ensuite sur une infrastructure française, ou à défaut, européenne.

Les données stockées par un hébergeur soumis à un droit extra-européen peuvent être exposées à un risque de communication à des puissances étrangères.

Ce n'est pas vraiment un sujet "Apple", mais cela touche un concurrent de poids, ainsi que les Français.

EDIT du 17/03/25 :

Dans deux délibérations rendues publiques la semaine dernière, la CNIL, garante de la protection des données personnelles en France, met en demeure le gouvernement de rechercher « activement » un nouvel hébergeur pour EMC2, le futur entrepôt européen de données de santé. Ce projet s’inspire du Health Data Hub, la plateforme française de données de santé développée depuis 2019.
À travers ces décisions, l’autorité exprime une nouvelle fois sa frustration : « La plateforme des données de santé n’a toujours pas, à ce jour, de prestataire capable de répondre à ses besoins tout en garantissant la protection des données du SNDS (Système national des données de santé) contre les accès par des autorités publiques d’États tiers », notamment les États-Unis.