Dans une décision publiée au Journal officiel le 31 janvier 2024, la Commission nationale de l’informatique et des libertés (CNIL) a officiellement autorisé Microsoft à héberger les données de santé des Français. Le tout sera piloté par le Health Data Hub (HBU), la plateforme des données de santé (PDS) qui, sous la forme d’un groupement d’intérêt public (GIP), est censée garantir un accès unifié, sécurisé et transparent à ces informations, pour améliorer la prise en charge des patients et la qualité des soins.
Sauf que la décision de la CNIL ne semble pas franchement aller dans un sens franco-français. Voici comment et pourquoi le HBU a désormais toute la liberté de confier vos données de santé à un géant américain.
Plus précisément, la CNIL a autorisé la création de ce qu’on appelle un entrepôt de données de santé, baptisé EMC2, qui se nourrit du traitement automatisé de données personnelles et qui est piloté par l’Agence européenne du médicament. Jusqu’ici, tout va bien. Sauf que les données de santé des Français doivent en théorie être hébergées chez des fournisseurs qualifiés SecNumCloud.
Pour rappel, SecNumCloud est comparable à un visa de sécurité délivré par l’ANSSI, l’Agence nationale de la sécurité des systèmes d’information, aux acteurs qui attestent d’un niveau de protection suffisamment élevé des données sensibles. Et en France, le gendarme de la cybersécurité n’a délivré le label qu’à cinq entreprises : Secure Temple, Oodrive, Outscale, Wordline et OVH, tous des acteurs français.
Microsoft, et c’est tout le problème, n’a pas encore décroché ce visa, même s’il le convoite pour 2025 aux côtés d’Orange et de Capgemini pour leur co-entreprise Bleu, récemment créée. Pourtant, la CNIL a décidé, non sans se justifier, nous allons en reparler, d’autoriser l’hébergement de ce fameux entrepôt de données de santé de l’Assurance maladie par Microsoft.
La décision, vous l’aurez compris, fait débat. Car outre le choix de Microsoft, le deal prévoit que ces données de santé soient confiées à l’entreprise américaine pendant 3 ans, temps nécessaire à la réalisation de la migration du Health Data Hub vers une solution souveraine. Au départ, le contrat devait porter sur 10 ans. La qualité du Cloud Azure de Microsoft n’est pas remise en cause, mais il faut avoir à l’esprit que s’appliqueront les lois américaines à portée extra-territoriale sur des données de santé d’un autre pays, en l’occurrence la France, dont nos dirigeants vantent sans cesse la « souveraineté ».
« Ce que nous pouvons dire et le dire avec gravité : c’est que la France n’est pas capable d’héberger ses propres données de santé. Et nous parlons bien de « la France », car il s’agit là de données gérées par le GIP PDS, le groupement d’intérêt public plateforme des données de santé, sous la direction du ministère des Solidarités et de la Santé », s’emporte le cofondateur de Leviia, entreprise française du stockage de données souverain, William Méauzoone.
La CNIL a semble-t-il fait un choix par défaut, puisqu’« après consultation, aucun prestataire français ne propose d’offres d’hébergement répondant aux exigences techniques et fonctionnelles » du projet, selon les propres mots du gendarme des données. Et cela embête d’autant plus William Méauzoone, dont l’entreprise, comme d’autres, n’a pas été conviée aux discussions. « Cela souligne une lacune énorme dans la planification et la coordination des ressources nationales pour répondre à un défi éminemment important », ajoute-t-il, en demandant l’annulation pure et simple de la décision de la CNIL. « Il est impératif que la France dispose de son propre écosystème de stockage de données certifiées ». Il serait effectivement temps.
avec clubic