L’ONG Internet Society France (ISOC) a déposé un recours devant le Conseil d’État pour demander l’annulation de la délibération de la CNIL autorisant l’attribution de l’hébergement d’EMC2 à Microsoft Azure. Une décision qui relance le débat du cloud souverain européen.
Les données des Français risquent d’être compromises, estime l’ISOC
Le verdict de la CNIL a soulevé de nombreuses questions, en raison du jargon employé par l’autorité française. Elle a visiblement autorisé le stockage des données de santé sur le géant du cloud américain à contrecœur, assurant « déplorer » et « regretter » la situation.
Inscrivez-vous à la newsletter
En vous inscrivant vous acceptez notre politique de protection des données personnelles.
« Au-delà de la nationalité de l’hébergeur retenu, ce sont les regrets de la CNIL sur sa propre décision qui interpellent. Les données de santé des Français seront potentiellement accessibles sans contrôle suffisant par des acteurs états-uniens. On peut imaginer toutes les dérives, y compris leur exploitation à des fins de stratégies industrielles ou autre type d’ingérence au vu de la portée de l’extraterritorialité du Droit des États-Unis », s’inquiète France Charruyer, Avocate associée et Managing Partner du cabinet d’avocats ALTIJ, qui porte le recours auprès du Conseil d’État.
Microsoft va héberger dans son cloud, pour une durée de trois ans, des données issues du Système national des données de santé. Elles seront stockées dans un entrepôt nommé EMC2 sous l’impulsion du Health Data Hub, groupement d’intérêt public français chargé de la mise en place d’une plateforme rassemblant l’ensemble des données issues de l’Assurance maladie et des hôpitaux.
EMC2 permettra de fournir à l’Agence européenne du médicament des données à caractère personnel de patients soignés dans quatre grands hôpitaux français : les Hospices civils de Lyon, le centre Léon Bérard, le CHU de Nancy et la Fondation hôpital Saint-Joseph. L’hébergement de ces données considérées comme sensibles par un acteur américain est rendu possible par l’adoption du Data Privacy Framework, autorisant le transfert de données entre l’Union européenne et les États-Unis.
« Les disparités entre les lois et les législations relatives à la protection des données en vigueur dans les deux pays pourraient compromettre la confidentialité des données de santé des Français », craint l’ONG.
La nécessité d’un cloud européen robuste
« Dans sa délibération, la CNIL elle-même déplore de ne pas avoir trouvé d’hébergeur de données qui soit à la fois compatible avec les exigences techniques et non soumis à une législation extra-européenne », souligne Nicolas Chagny, président de l’Internet Society France.
La situation met en exergue la nécessité d’un cloud souverain français et européen, un dispositif défendu par les législateurs mais complexe à mettre en place. La CNIL a en effet observé qu’aucun fournisseur de cloud européen ne répond « aux exigences techniques et fonctionnelles (…) pour la mise en œuvre du projet EMC2 dans un délai compatible avec les impératifs de ce dernier ». Cette semaine, Le Canard Enchaîné a révélé qu’EDF avait choisi Amazon Web Services pour prendre en charge l’hébergement d’une partie de la maintenance de ses centrales nucléaires.
Pour sa part, l’ISOC exhorte le gouvernement à trouver une solution. « À une époque où le Gouvernement français s’engage en faveur du renforcement des souverainetés industrielles, alimentaire et numérique, l’Internet Society France reste persuadée que des solutions européennes voire françaises peuvent et doivent être trouvées », assure Nicolas Chagny. Les géants du cloud, eux, présentent leurs offres européennes comme souveraines.