Des entreprises françaises saisissent le Conseil d'État contre l'hébergement de données de santé chez Microsoft, pourtant approuvé par la CNIL

Par Mélina LOUPIA

Publié le 19 mars 2024 à 13h25

C'est au coeur de ces serveurs américains que sont stockées des données de santé françaises © Microsoft

Des entreprises, mais également des associations contestent la décision de la CNIL approuvant l’hébergement des données de santé par Microsoft.

L'hébergement des données de santé dans le cloud Azure de Microsoft pour un programme européen, baptisé EMC2, a été validé par la CNIL début 2024 pour une durée de trois ans. Cette décision a poussé onze acteurs, parmi lesquels Clever Cloud, Nexedi, Rapid.Space, Cleyrop, l'Open Internet Project, et Bernard Benhamou de l'Institut de la Souveraineté numérique, à contester cette approbation devant le Conseil d'État qui doit se prononcer ce mardi 19 mars 2024.

Cette initiative judiciaire vise à remettre en question la décision de la CNIL et à mettre en lumière les implications à long terme de l'utilisation du cloud Azure de Microsoft pour la recherche pharmaco-épidémiologique. Quentin Adam, à la tête de Clever Cloud, souligne l'importance de cette action en la présentant comme une étape cruciale vers la mise en place d'une structure européenne des données de santé pour l'Agence européenne du médicament. Mais qu'est-il reproché au juste, à la CNIL ?

Comment la CNIL justifie son choix de l'américain Microsoft aux dépens de clouds souverains

Déjà bien connu du Conseil d'État pour un précédent ayant amené plusieurs organisations à émettre « un doute légitime sur la légalité de l’attribution du marché public d’hébergement des données de santé publique (de Health Data Hub) à Microsoft Azure », le Health Data Hub est une plateforme de données de santé en France. Il a été créé dans le cadre de la stratégie nationale de santé numérique pour faciliter l'accès aux données de santé à des fins de recherche et d'innovation tout en garantissant la protection des données personnelles. Son objectif est de centraliser et de mettre à disposition des données de santé de qualité pour les acteurs du secteur de la santé, tels que les chercheurs, les entreprises pharmaceutiques, les professionnels de santé, etc. Le Health Data Hub vise à favoriser le développement de nouvelles applications et de solutions innovantes dans le domaine de la santé tout en respectant les normes de sécurité et de confidentialité des données.

Dans sa décision, la CNIL a souligné que les alternatives offertes par d'autres fournisseurs de stockage en ligne ne satisfaisaient pas pleinement aux exigences. Elle a également mentionné que la création d'une nouvelle plateforme pour héberger EMC2 serait non seulement plus chronophage et onéreuse, mais risquerait également de compromettre les relations avec l'Autorité européenne du médicament, à l'origine de ce projet.

La Cnil a justifié son choix de Microsoft pour le stockage des données de santé françaises par l'absence d'un cloud souverain adéquat - © StudioPhotoLoren / Shutterstock

La sécurité et confidentialité des données françaises sur le sol américain sont remises en question

Bien que la candidature de Microsoft soit techniquement plus adaptée, des préoccupations d'ordre juridique sont soulevées. Étant une entreprise américaine, Microsoft est soumise au droit américain, ce qui soulève des inquiétudes quant à la confidentialité des données de santé françaises.

Les critiques soulignent le risque que cela représente en matière d'accès aux données par les services de renseignement américains. Les entreprises françaises du secteur et les autorités expriment également leurs préoccupations, regrettant le manque de considération pour les solutions alternatives françaises ou européennes et soulignant les risques potentiels de sécurité liés à cette décision.

Par ailleurs, et c'est probablement le plus cocasse, la CNIL elle-même s'était inquiétée de cet hébergement, en février 2024, quant au choix de Microsoft : « les autorités états-uniennes sont susceptibles d’adresser à Microsoft des injonctions de communication des données qu’il héberge », avait alerté le gendarme français de la régulation.

Enfin, le choix de Microsoft est considéré comme une opportunité manquée de promouvoir le développement du secteur sur le continent via des solutions locales. Malgré l'approbation donnée de la CNIL à Microsoft pour héberger EMC2 pendant trois ans, il est souligné que ce délai devrait être mis à profit pour développer une alternative européenne respectant les normes de confidentialité des données.

A découvrir

Stockage en ligne : les meilleurs services Cloud en 2024 (comparatif)

21 novembre 2024 à 08h53

Comparatifs services

Source : Le Monde Informatique

Par Mélina LOUPIA

Modératrice, contributrice et community manager pour le regretté OVNI Le Post, puis journaliste société spécialisée dans la parentalité et la psychologie notamment sur Le HuffPost, l'univers du Web, des réseaux, des machines connectées et de tout ce qui s'écrit sur Internet s'inscrit dans le champ de mes sujets préférés.

Articles de Mélina LOUPIA

Vous êtes un utilisateur de Google Actualités ou de WhatsApp ?
Suivez-nous pour ne rien rater de l'actu tech !

Commentaires (0)

Rejoignez la communauté Clubic

Rejoignez la communauté des passionnés de nouvelles technologies. Venez partager votre passion et débattre de l’actualité avec nos membres qui s’entraident et partagent leur expertise quotidiennement.

Commentaires (6)

TNZ

Cette histoire d’hébergement chez MS … c’est juste criminel.

M’est avis qu’une chasse aux lobbyistes MS permettrait d’assainir l’informatique professionnelle. Plus le temps passe, plus j’ai du mal à trouver de la valeur ajoutée aux productions MS en rapport avec l’activité du secteur.

guile

Ce n’est pas normal que des données aussi sensibles que nos données de santé soient hébergées sur un cloud qui est sous le patriot act. Incroyable que ça ait eu lieu.

IgorGone

Si c’est pour que la gestion soit donnée aux mêmes incapables français qui ne cessent d’envoyer nos données dans la nature, je préfère encore qu’on les confie à Microsoft

Aegis

Il n’est pas sous le patriot act.
Microsoft a construit des datacenters en Europe et en a confié la gestion à des entreprises européennes pour garantir que la loi us ne s’applique pas.

Les accusateurs jouent sur les amalgames.

CHP1

Pour avoir travaillé sur ce sujet depuis des années, Je partage cette inquiétude.

Toutefois, ce sujet concernant la confidentialité des données médicales est un sujet qui à commencé dans les années 90! Une vraie arlésiènne… Et malgré le nombre de prestataires capables d’assurer ce service de bout en bout (Français et étrangers), rares restaient sur la ligne finale. Il à fallu faire un choix : choix sur la localisation des DataCenters, sur le cryptage, sur la communication, la confidentialité et sur la présentation des données.

Ce choix s’est porté sur Microsoft mais cela ne leur donne pas, pour autant, carte blanche et est (en théorie) sous la forte surveillance de l’état (politique).

Le danger est justement coté politique car, comme chacun le sait, un gouvernement peut changer et les options aussi en fonction des accords internationaux et/ou Européens et/ou budgétaires.

Microsoft était là dès le début du projet, répondant point après point sur toutes les demandes, évolutions technologiques et amendements. Connaissant le dossier, Ils ont donc répondu présent en connaissance de cause.

Ils ont gagné mais c’est aux politiques de surveiller l’application des clauses.

TNZ

Ce n’est pas parce que les données sont hébergées en Europe que les services américains n’y ont pas accès.

Une simple requête d’un juge US … et hop, copie de la BDD chez l’oncle sam.