Le 31 janvier 2024, la Commission nationale de l’informatique et des libertés (CNIL) a rendu une décision historique en autorisant la création d’un entrepôt de données de santé baptisé EMC2. Ce projet ambitieux, hébergé sur le cloud de Microsoft pour une durée de trois ans, vise à faire progresser la recherche pharmaco-épidémiologique en France. Cette décision, bien qu’approuvant l’avancée scientifique que représente EMC2, soulève de nombreuses questions et controverses concernant la souveraineté des données, les risques d’accès extra-territorial et la responsabilité des acteurs impliqués. 😬
L’entrepôt EMC2 stockera des données anonymisées de l’Assurance Maladie, issues du Système national des données de santé (SNDS). Ces données incluent des informations telles que le sexe, la date de naissance, la commune de résidence, les pathologies et les traitements médicaux reçus.
L’objectif est de constituer une base de données massive et accessible aux chercheurs, leur permettant d’étudier les effets à long terme des traitements médicaux sur de larges populations. Les domaines de recherche visés par EMC2 sont vastes et incluent la pharmacologie, l’épidémiologie, la santé publique et la médecine environnementale.
La CNIL a donné son feu vert à l’hébergement d’EMC2 sur les serveurs de Microsoft Azure, le cloud de l’entreprise américaine. Ce choix s’appuie sur plusieurs arguments :
Cependant, ce choix n’a pas manqué de faire réagir. La décision de la CNIL a été critiquée par certains acteurs du secteur du cloud français, qui y voient une menace pour la souveraineté des données nationales. De plus, le risque d’accès extra-territorial par les autorités américaines, en vertu du Patriot Act et d’autres lois extraterritoriales, est source d’inquiétude.
Et pourtant, Microsoft dispose de la certification HDS qui permet à un fournisseur d’infrastructure de stocker des données liées au monde de la santé. Dans cette liste – qui est publique et que vous pouvez consulter via ce lien, on retrouve de nombreux acteurs étrangers comme Google (GCP) ou encore AWS (Amazon) qui sont également habilités sur les 6 critères. Côté entreprise française, on retrouve des acteurs connus également comme OVH, Outscale ou encore OVH. ☁️
Malgré les garanties contractuelles offertes par Microsoft, la CNIL reconnaît le risque que les données stockées sur EMC2 soient exposées à des autorités étrangères, notamment en raison des lois extraterritoriales américaines. La Cnil exprime son « regret » face à l’absence de prestataires européens capables de garantir la protection des données contre de telles intrusions.
Quelques jours plus tard, la CNIL a toutefois apporté une précision sur son compte Twitter en précisant que ce projet était à la fois limité en termes de volume de données « une fraction » mais également que cet accord était limité à 3 années le temps qu’une offre via un hébergeur souverain soit disponible (puisque d’après les tests c’est Microsoft qui propose l’offre la plus intéressante et complète tant en termes de coût que de service proposé). 🤓
La décision de la CNIL s’accompagne d’une critique cinglante envers l’Europe. Le régulateur déplore l’absence d’une offre européenne de cloud computing capable de répondre aux besoins du secteur de la santé. Cet état de fait fragilise la souveraineté des données et expose les citoyens à des risques d’ingérence étrangère. La Cnil appelle à un investissement urgent dans le développement de solutions de cloud souveraines en Europe.
Notion Révolutionne l'Expérience Utilisateur avec le Mode Hors Ligne Introduction Après des années d’attente, Notion…
C’est lors d’un live hébergé par la plateforme de streaming Kick que le décès dE…
AWS Leader pour la 15ème année consécutive dans le Magic Quadrant de Gartner 2025 Introduction…
Comment choisir un smartphone avec la meilleure qualité d'affichage ? Comment choisir un smartphone avec…
Microsoft : Leader dans le Magic Quadrant 2025 de Gartner pour la Gestion des Conteneurs…
ChatGPT-5 : Nouveautés et intégration Microsoft ChatGPT-5, la dernière innovation en matière d'intelligence artificielle, a…