Après le drame du Health Data Hub (HDH) démarré en 2019 avec Microsoft avant d'être mis en pause en 2022 puis relancé en mai 2023 toujours sur le cloud de l'éditeur américain au moins jusqu'au 3e trimestre 2025, la Cnil vient de remettre une pièce dans la machine. Non pas du HDH en tant que tel mais sur le fait de valider la création d'un entrepôt de données de santé basé sur du traitement automatisé de données personnelles (sexe, mois et année de naissance, commune de résidence...) encore une fois hébergé sur le cloud de la firme de Redmond. Il faut dire à sa décharge qu'il a bien de l'expérience en la matière.
De quoi s'agit-il exactement cette-fois ci ? Le régulateur a été saisi par le groupement d’intérêt public plateforme des données de santé (GIP PDS) d’une demande d’autorisation concernant un traitement automatisé de données à caractère personnel ayant pour finalité la constitution d’un entrepôt de données dans le domaine de la santé. Baptisé EMC2, il a pour but de faire avancer la recherche pharmaco-épidémiologique sur les effets à long terme des traitements médicaux. Dans une délibération du 21 décembre 2023, publiée seulement ce 31 janvier 2024 au Journal Officiel, on apprend que la Cnil a ainsi donné son accord et validé le choix du GIP PDS de confier à Microsoft son hébergement. « Les données de l’entrepôt seront conservées dans les centres de données de Microsoft situés en France », peut-on lire dans la décision. Mais en même temps : « Il résulte des informations communiquées que, compte tenu du contrat passé avec Microsoft et du fonctionnement des opérations d’administration de la plateforme technique, il est possible que des données techniques d’usage de la plateforme (qui ne révèlent aucune information de santé) soient transférées vers des administrateurs situés aux États-Unis ».
Un manque de prestataires européens regrette la Cnil
Sur ce dernier point, la Cnil se veut rassurante : « ces transferts de données vers les États-Unis sont encadrés par les clauses contractuelles types de la Commission européenne. Les personnes devront être spécifiquement informées de ces transferts ». Mais c'est un peu moins le cas s'agissant des risques d'accès par les autorités américaines : « L’hébergeur retenu par le GIP PDS appartient à un groupe dont la société mère est située aux États-Unis et soumise au droit de cet État. De ce fait, en application de cette législation, les autorités états-uniennes sont susceptibles d’adresser à Microsoft des injonctions de communication des données qu’il héberge [...] Il n’en reste pas moins que les données stockées par un hébergeur soumis à un droit extra-européen peuvent être exposées à un risque de communication à des puissances étrangères ».
Loin de se sentir en porte à faux, le régulateur profite de sa décision pour un joli coup de pied l'âne à qui de droit : « la Cnil déplore qu’aucun prestataire susceptible de répondre actuellement aux besoins exprimés par le GIP PDS ne protège les données contre l’application de lois extraterritoriales de pays tiers [...] De manière générale, elle regrette que la stratégie mise en place pour favoriser l’accès des chercheurs aux données de santé n’ait pas fourni l’occasion de stimuler une offre européenne à même de répondre à ce besoin ». Le contrat liant le GIP PDS à Microsoft court pour une durée de 3 ans.
Il existe des dizaines d'hébergement en France disposant d'un agrément d'hébergement de données de santé. Je ne comprend pas comment par miracle on ne peut pas en avoir trouvé un ici...
Signaler un abusSérieux ? Un accord de papier de la commission qui n'est même pas encadré par des inspections devrait empêcher un administrateur Microsoft aux US de faire ce qu'il veut, encore plus s'il est sous le coup d'une injonction de sa justice, celle qui pourrait le mettre dans une prison ? Sérieux ?
Signaler un abusLa France (à minima la macronie) a vendu les données de santé de ses citoyens aux US. J'espère que ça valait le coup de raconter autant de c*******s alors que le premier commentateur venu sait pertinemment que nos données de santé ont été, sont et seront à disposition du gouvernement US pour la politique et de Microsoft pour le pognon.
A nous de pousser les politiques pour changer demain mais cette histoire me donne l'impression que Microsoft à acheté des données à l'état français comme à un site web quelconque.
un vrai scandale d'état....devinez qui est à l'origine d'une telle décision ?
Signaler un abusQue va faire MICROSOFT de ces données....?
Vous avez trouvé....Bravo
La CNIL, très très fort pour polluer le Web avec des bandeaux cookies qui emmerdent tout le monde, très forts pour faire la guerre à Google en declarant Analytics non conforme aux reglementations européenne en matière de securité des données, et voilà qu'ils vont transmettre gratuitement aux US l'ensemble de nos données de santé !!! Cherchez l'erreur ....
Signaler un abusLa CNIL et la Commission Européenne veillent sur la protection des données de santé des français face à Microsoft et les lois américaines, dormez tranquilles !
Signaler un abusUne haute trahison de la souveraineté nationale !
Signaler un abus