Cloud

La CNIL autorise le stockage de données de l’Assurance Maladie sur le cloud de Microsoft

Le 31 janvier 2024, la Commission nationale de l’informatique et des libertés (CNIL) a rendu une décision historique en autorisant la création d’un entrepôt de données de santé baptisé EMC2. Ce projet ambitieux, hébergé sur le cloud de Microsoft pour une durée de trois ans, vise à faire progresser la recherche pharmaco-épidémiologique en France. Cette décision, bien qu’approuvant l’avancée scientifique que représente EMC2, soulève de nombreuses questions et controverses concernant la souveraineté des données, les risques d’accès extra-territorial et la responsabilité des acteurs impliqués. 😬

(Ads)

Un entrepôt de données pour la recherche médicale à grande échelle

L’entrepôt EMC2 stockera des données anonymisées de l’Assurance Maladie, issues du Système national des données de santé (SNDS). Ces données incluent des informations telles que le sexe, la date de naissance, la commune de résidence, les pathologies et les traitements médicaux reçus.

L’objectif est de constituer une base de données massive et accessible aux chercheurs, leur permettant d’étudier les effets à long terme des traitements médicaux sur de larges populations. Les domaines de recherche visés par EMC2 sont vastes et incluent la pharmacologie, l’épidémiologie, la santé publique et la médecine environnementale.

(Ads)

La CNIL choisit Microsoft comme hébergeur : un choix controversé

La CNIL a donné son feu vert à l’hébergement d’EMC2 sur les serveurs de Microsoft Azure, le cloud de l’entreprise américaine. Ce choix s’appuie sur plusieurs arguments :

  • L’expertise de Microsoft: Microsoft est un leader mondial du cloud computing et dispose d’une infrastructure robuste et sécurisée pour héberger des données sensibles.
  • La conformité aux exigences de la CNIL: Microsoft a signé des clauses contractuelles types avec la Commission européenne, garantissant la protection des données personnelles conformément au Règlement général sur la protection des données (RGPD).
  • Le coût: Microsoft a proposé l’offre la plus compétitive en termes de prix et de services.

Cependant, ce choix n’a pas manqué de faire réagir. La décision de la CNIL a été critiquée par certains acteurs du secteur du cloud français, qui y voient une menace pour la souveraineté des données nationales. De plus, le risque d’accès extra-territorial par les autorités américaines, en vertu du Patriot Act et d’autres lois extraterritoriales, est source d’inquiétude.

Et pourtant, Microsoft dispose de la certification HDS qui permet à un fournisseur d’infrastructure de stocker des données liées au monde de la santé. Dans cette liste – qui est publique et que vous pouvez consulter via ce lien, on retrouve de nombreux acteurs étrangers comme Google (GCP) ou encore AWS (Amazon) qui sont également habilités sur les 6 critères. Côté entreprise française, on retrouve des acteurs connus également comme OVH, Outscale ou encore OVH. ☁️

(Ads)

Risques d’accès extra-territorial et souveraineté des données : une vigilance nécessaire

Malgré les garanties contractuelles offertes par Microsoft, la CNIL reconnaît le risque que les données stockées sur EMC2 soient exposées à des autorités étrangères, notamment en raison des lois extraterritoriales américaines. La Cnil exprime son « regret » face à l’absence de prestataires européens capables de garantir la protection des données contre de telles intrusions.

Quelques jours plus tard, la CNIL a toutefois apporté une précision sur son compte Twitter en précisant que ce projet était à la fois limité en termes de volume de données « une fraction » mais également que cet accord était limité à 3 années le temps qu’une offre via un hébergeur souverain soit disponible (puisque d’après les tests c’est Microsoft qui propose l’offre la plus intéressante et complète tant en termes de coût que de service proposé). 🤓

Un coup de pied à l’Europe et un appel à l’action

Photo by Christian Lue on Unsplash

La décision de la CNIL s’accompagne d’une critique cinglante envers l’Europe. Le régulateur déplore l’absence d’une offre européenne de cloud computing capable de répondre aux besoins du secteur de la santé. Cet état de fait fragilise la souveraineté des données et expose les citoyens à des risques d’ingérence étrangère. La Cnil appelle à un investissement urgent dans le développement de solutions de cloud souveraines en Europe.

Plus d’informations sur le sujet

Share
Published by
thibault

Recent Posts

Notion Révolutionne l’Expérience Utilisateur avec le Mode Hors Ligne

Notion Révolutionne l'Expérience Utilisateur avec le Mode Hors Ligne Introduction Après des années d’attente, Notion…

2 jours ago

Les Sombres Coulisses du Streaming : L’Affaire Jean Pormanove

C’est lors d’un live hébergé par la plateforme de streaming Kick que le décès dE…

4 jours ago

AWS Leader pour la 15ème année consécutive dans le Magic Quadrant de Gartner 2025

AWS Leader pour la 15ème année consécutive dans le Magic Quadrant de Gartner 2025 Introduction…

1 semaine ago

Comment choisir un smartphone avec la meilleure qualité d’affichage ?

Comment choisir un smartphone avec la meilleure qualité d'affichage ? Comment choisir un smartphone avec…

1 semaine ago

Microsoft : Leader dans le Magic Quadrant 2025 de Gartner pour la Gestion des Conteneurs

Microsoft : Leader dans le Magic Quadrant 2025 de Gartner pour la Gestion des Conteneurs…

1 semaine ago

ChatGPT-5 : Nouveautés et intégration Microsoft

ChatGPT-5 : Nouveautés et intégration Microsoft ChatGPT-5, la dernière innovation en matière d'intelligence artificielle, a…

2 semaines ago