Le 31 janvier, Legifrance a publié une délibération de la CNIL autorisant Microsoft à héberger dans son cloud, pour une durée de trois ans, les données issues du Système national des données de santé. Celles-ci seront stockées dans un entrepôt nommé EMC2 grâce auquel la Plateforme des données de santé, aussi appelée Health Data Hub, fournira à l’Agence européenne du médicament des données à caractère personnel de patients soignés dans quatre grands hôpitaux français (Hospices civils de Lyon, centre Léon Bérard, CHU de Nancy et Fondation hôpital Saint-Joseph).
Cette décision, prise sans grand enthousiasme, est un véritable revirement de la part du gendarme des données personnelles. Et pour cause, jusqu’à présent, la CNIL refusait toujours que des données de santé soient hébergées chez des fournisseurs de cloud non européens. Ainsi, dans un mémoire en date du 8 octobre 2020 et envoyé au Conseil d’État, elle se disait favorable à ce que les acteurs en charge des entrepôts de données de santé cessent « dans les plus brefs délais » leur collaboration avec des « sociétés soumises au droit étasunien ». La raison invoquée était que les autorités américaines pouvaient demander aux opérateurs de cloud américains d’accéder à ces données grâce à leurs lois extraterritoriales.
Inscrivez-vous à la newsletter
En vous inscrivant vous acceptez notre politique de protection des données personnelles.
Une décision révélant les faiblesses du cloud européen ?
Dans sa récente délibération, la CNIL réaffirme sa position traditionnelle en faveur de l’hébergement des données de santé par des fournisseurs de cloud européens. Aussi, elle fait toujours état de ses craintes de voir les données stockées par Microsoft être récupérées par des autorités non européennes. Mais là où le bât blesse est qu’une mission d’expertise pilotée par les autorités compétentes a observé qu’aucun fournisseur de cloud européen ne répond « aux exigences techniques et fonctionnelles (…) pour la mise en œuvre du projet EMC2 dans un délai compatible avec les impératifs de ce dernier ».
C’est pour s’aligner sur cette observation qu’elle « déplore » que la CNIL a décidé d’autoriser l’hébergement des données de santé chez Microsoft. En outre, comme elle l’explique, il est désormais « nécessaire que les engagements pris vis-à-vis de l’Agence européenne du médicament puissent être honorés ».
Néanmoins, le régulateur des données personnelles exprime son regret quant au « choix initial » de la Plateforme des données de santé « de recourir au cloud » : cela « a conduit à privilégier des offres d’acteurs étasuniens dont il apparaît désormais difficile de se détacher à court terme malgré l’émergence progressive de fournisseurs souverains » explique-t-il.
Et pour cause, tout laisse à penser que le cloud américain bénéficie d’une telle aura qu’il détourne l’attention d’alternatives crédibles et efficaces. Parmi celles-ci demeure, par exemple, l’entrepôt partagé de données de santé, le DataHubHOURAA, développé par quatre CHU de la Région Auvergne-Rhône-Alpes (CHU de Clermont-Ferrand, CHU de Grenoble Alpes, Hospices Civils de Lyon, CHU de Saint-Etienne) en partenariat avec Thales et Docaposte.
Un électrochoc pour stimuler le cloud européen ?
Cette décision pourrait avoir un effet bénéfique : celui de mieux considérer la nécessité de développer des stratégies publiques dont la mise en œuvre intègre uniquement les fournisseurs de cloud européens pour stimuler leur croissance. Pour ce, encore faut-il que les pouvoirs publics soient moins exigeants quant aux aspects techniques et fonctionnels des services cloud européens, le temps que les fournisseurs rattrapent leur retard en la matière.
La CNIL a pleinement conscience de cette nécessité quand elle écrit qu’elle « regrette que la stratégie mise en place pour favoriser l’accès des chercheurs aux données de santé n’ait pas fourni l’occasion de stimuler une offre européenne à même de répondre à ce besoin ».
Cependant, que la CNIL se rassure : dans quelques années, la relation entre Microsoft et le Health Data Hub ne sera probablement qu’une vieille histoire. Un récent rapport gouvernemental intitulé Fédérer les acteurs de l’écosystème pour libérer l’utilisation secondaire des données de santé publié le 5 décembre 2023 préconise de « programmer l’arrêt de l’hébergement sur Azure [cloud de Microsoft] du Health Data Hub (HDH) et lancer les travaux pour l’hébergement du HDH (…) sur un cloud SecNumCloud, à horizon de 24 mois, échéance ambitieuse mais crédible à ce stade ».
Or, pour qu’un fournisseur de cloud puisse bénéficier de la dernière version 3.2 du label SecNumCloud, il doit être totalement imperméable aux lois non européennes. Si l’administration suit cette recommandation, il ne sera donc plus possible, pour le Health Data Hub, de recourir aux hyperscalers américains.