La CNIL autorise le stockage de données de l’Assurance Maladie sur le cloud de Microsoft

Le 31 janvier 2024, la Commission nationale de l’informatique et des libertés (CNIL) a rendu une décision historique en autorisant la création d’un entrepôt de données de santé baptisé EMC2. Ce projet ambitieux, hébergé sur le cloud de Microsoft pour une durée de trois ans, vise à faire progresser la recherche pharmaco-épidémiologique en France. Cette décision, bien qu’approuvant l’avancée scientifique que représente EMC2, soulève de nombreuses questions et controverses concernant la souveraineté des données, les risques d’accès extra-territorial et la responsabilité des acteurs impliqués. 😬

Un entrepôt de données pour la recherche médicale à grande échelle

L’entrepôt EMC2 stockera des données anonymisées de l’Assurance Maladie, issues du Système national des données de santé (SNDS). Ces données incluent des informations telles que le sexe, la date de naissance, la commune de résidence, les pathologies et les traitements médicaux reçus.

L’objectif est de constituer une base de données massive et accessible aux chercheurs, leur permettant d’étudier les effets à long terme des traitements médicaux sur de larges populations. Les domaines de recherche visés par EMC2 sont vastes et incluent la pharmacologie, l’épidémiologie, la santé publique et la médecine environnementale.

La CNIL choisit Microsoft comme hébergeur : un choix controversé

La CNIL a donné son feu vert à l’hébergement d’EMC2 sur les serveurs de Microsoft Azure, le cloud de l’entreprise américaine. Ce choix s’appuie sur plusieurs arguments :

• L’expertise de Microsoft: Microsoft est un leader mondial du cloud computing et dispose d’une infrastructure robuste et sécurisée pour héberger des données sensibles.
• La conformité aux exigences de la CNIL: Microsoft a signé des clauses contractuelles types avec la Commission européenne, garantissant la protection des données personnelles conformément au Règlement général sur la protection des données (RGPD).
• Le coût: Microsoft a proposé l’offre la plus compétitive en termes de prix et de services.

Cependant, ce choix n’a pas manqué de faire réagir. La décision de la CNIL a été critiquée par certains acteurs du secteur du cloud français, qui y voient une menace pour la souveraineté des données nationales. De plus, le risque d’accès extra-territorial par les autorités américaines, en vertu du Patriot Act et d’autres lois extraterritoriales, est source d’inquiétude.

Et pourtant, Microsoft dispose de la certification HDS qui permet à un fournisseur d’infrastructure de stocker des données liées au monde de la santé. Dans cette liste – qui est publique et que vous pouvez consulter via ce lien, on retrouve de nombreux acteurs étrangers comme Google (GCP) ou encore AWS (Amazon) qui sont également habilités sur les 6 critères. Côté entreprise française, on retrouve des acteurs connus également comme OVH, Outscale ou encore OVH. ☁️

Risques d’accès extra-territorial et souveraineté des données : une vigilance nécessaire

Malgré les garanties contractuelles offertes par Microsoft, la CNIL reconnaît le risque que les données stockées sur EMC2 soient exposées à des autorités étrangères, notamment en raison des lois extraterritoriales américaines. La Cnil exprime son « regret » face à l’absence de prestataires européens capables de garantir la protection des données contre de telles intrusions.

Quelques jours plus tard, la CNIL a toutefois apporté une précision sur son compte Twitter en précisant que ce projet était à la fois limité en termes de volume de données « une fraction » mais également que cet accord était limité à 3 années le temps qu’une offre via un hébergeur souverain soit disponible (puisque d’après les tests c’est Microsoft qui propose l’offre la plus intéressante et complète tant en termes de coût que de service proposé). 🤓

Un coup de pied à l’Europe et un appel à l’action

La décision de la CNIL s’accompagne d’une critique cinglante envers l’Europe. Le régulateur déplore l’absence d’une offre européenne de cloud computing capable de répondre aux besoins du secteur de la santé. Cet état de fait fragilise la souveraineté des données et expose les citoyens à des risques d’ingérence étrangère. La Cnil appelle à un investissement urgent dans le développement de solutions de cloud souveraines en Europe.

Plus d’informations sur le sujet

• https://www.cnil.fr/fr/les-principaux-avis-et-recommandations-de-la-cnil-sur-la-plateforme-des-donnees-de-sante
• https://www.it-connect.fr/la-cnil-autorise-microsoft-a-heberger-les-donnees-de-sante-des-francais/
• https://next.ink/126283/ca-va-etre-sanglant-la-cnil-autorise-les-donnees-de-sante-chez-microsoft/