Malgré une levée de boucliers de la part de nombreux acteurs, la CNIL a fait son choix pour l’hébergement de la plateforme de recherche EMC2. C’est maintenant acté et validé par le Conseil d’État : les données de santé des français et des européens seront stockées chez Microsoft, pour une durée de trois ans minimum.
Voici une dure nouvelle pour les défenseurs de la souveraineté des données…
Bien qu’elle vise un noble objectif, à savoir la recherche médicale, la décision des organismes français concernant le projet EMC2 pourrait laisser les données de santé des français à la merci des États-Unis.
Ozérim récapitule pour vous les tenants et aboutissants de cette affaire lancée en 2023.
Tout commence par un arrêté de la CNIL daté du 29 novembre 2019, portant sur la création de la Plateforme des Données de Santé (ou PDS).
Autant groupement d’intérêt public (GIP) que solution technique permettant le stockage et la mise à disposition des données, le Health Data Hub (ou HDH, nom anglicisé de la PDS) vise à centraliser les données de santé pour aider à la recherche médicale.
À la suite d’un appel d’offre de l’Agence Européenne du Médicament (EMA) remporté en 2021, le HDH s’est vu la mission de créer un entrepôt de données de santé multi-centrique.
Son nom : EMC2.
Son objectif : permettre aux institutions de santé, centres de recherche, associations de patients et agences européennes de réaliser des recherches et des études.
Le 21 décembre 2023, la CNIL (Commission Nationale de l’Informatique et des Libertés) a validé ce projet présenté par le GIP PDS.
Seulement, il y a un hic : c’est Microsoft qui a été choisi pour l’hébergement des données de santé dans le cloud, et ce, pour une durée de trois ans minimum.
Il s’avère, en effet, que le choix du HDH s’est porté sur Microsoft comme hébergeur pour le réservoir de données EMC2. Un choix qui passe mal auprès de nombreux acteurs du cloud français.
Plusieurs associations et entreprises ont ainsi déposé des demandes en référé auprès de la justice française. Parmi les entités représentées, on note la présence de Internet Society France, de Clever Cloud, de Nexidi ou encore du Conseil National du Logiciel Libre.
D’abord rejetée en référé en début d’année, la demande des plaignants s’est vue rejetée sur le fond par le Conseil d’État ce 19 novembre, qui valide ainsi la décision de la CNIL après plusieurs mois de délibération.
Les données à caractère personnel provenant de plusieurs pays européens, dont la France, seront donc stockés sur des serveurs Microsoft Azure.
Plusieurs fournisseurs français, dont OVHcloud, NumSpot et Cloud Temple, se sont indignés d’une telle décision, critiquant les critères de choix de l’appel d’offre de la CNIL.
De son côté, l’organisme français a annoncé ne pas avoir trouvé de fournisseur européen répondant à ses exigences, notamment temporelles.
La firme de Redmond va donc héberger durant au moins trois années les données personnelles (et anonymisées) de santé provenant de plusieurs membres de l’Union Européenne.
Rappelons que si les serveurs Azure utilisés sont basés en Europe, ils restent accessibles aux États-Unis en vertu du Cloud Act et de la FISA, l’Américain Microsoft ayant son siège dans ce pays.
Précisons aussi que les serveurs américains ne sont pas certifiés SecNumCloud.
En clair, les USA peuvent donc faire valoir leurs lois extraterritoriales pour récupérer les données stockées au sein de l’EMC2…
Ozérim trouve cette affaire scandaleuse !
Nous n’arrivons pas à comprendre, au vu de l’importance des données à stocker, que Microsoft ait été privilégié. On parle de données de santé quand même…
Encore une fois, nous n’avons rien contre Microsoft qui est un éditeur avec qui nous travaillons régulièrement sur la partie logicielle. Mais, il faut bien avoir conscience de ce que cela implique, comme expliqué plus haut dans cet article.
Ce sont des données exclusivement européennes qui doivent rester sur le sol européen sans accès de la part des pays étrangers, car cela concerne tous les citoyens Européens.
C’est tout simplement du bon sens dans une logique de sécurité intérieure européenne et de protection des données des citoyens !
Sources : décision du Conseil d’État du 19 novembre 2024, 01Net, Next.Ink, In Cyber, Le Monde Informatique, Usine Digitale
EXPERT IT DU CLOUD MAÎTRISÉ
Nous prônons la haute technicité, l’indépendance et la souveraineté des données, au service de votre sécurité.
Découvrez tout ce qu'il faut savoir sur la fibre optique très haut débit pour les pros : définition, offres et[...]
Le monde informatique est-il en roue libre ? C’est la question que se pose Ozérim face aux rachats et aux[...]
L’avènement du cloud computing a fait exploser les besoins en data centers. Mais qu’est-ce[...]
