L'Assurance maladie stocke les données de santé des Français chez Microsoft
C'est avec regret que la CNIL a autorisé l'hébergement des données de santé des Français de l'Assurance maladie chez Microsoft. Une situation qui lui déplait car ces informations sensibles sont soumises aux lois extraterritoriales américaines…
Alors que l'Europe est plus que jamais déterminée à asseoir sa souveraineté numérique et à garantir le respect de la vie privée des utilisateurs, la Commission nationale de l'informatique et des libertés (CNIL) a dû autoriser, bien qu'à regret, l'hébergement temporaire chez Microsoft d'un entrepôt de données de santé pour la recherche alimenté par l'Assurance maladie, baptisé EMC2. Une grande première étant donné que, jusqu'à présent, le gendarme du numérique s'était toujours opposé à ce que des entrepôts alimentés par les données du Système national des données de santé (SNDS, géré par l'Assurance maladie) soient hébergés sur une plateforme "cloud" – une infrastructure informatique dématérialisée – non européenne, et donc qu'ils soient soumis aux lois extraterritoriales, en particulier américaines.
Mais dans une décision rendue le 21 décembre dernier et publiée le 31 janvier 2024 sur Legifrance, la CNIL a bel et bien validé le stockage des données de l'Assurance maladie par Microsoft, et ce, pour une durée de trois ans. Une solution temporaire pour attendre le futur entrepôt du Health Data Club, due au fait qu'"aucun prestataire potentiel [parmi les opérateurs de cloud européens] ne propose d'offre d'hébergement répondant aux exigences techniques et fonctionnelles", et qui n'évacue en aucun cas les risques de communication des données à des puissances étrangères.
Health Data Club : le risque d'accès aux données par des puissances étrangères
En 2019, le Gouvernement crée le Health Data Club, une plateforme publique destinée à permettre aux chercheurs d'accéder aux vastes ensembles de données de santé du SNDS afin d'entraîner des modèles d'intelligence artificielle. En effet, l'IA offre de nombreuses promesses pour le secteur de la santé, notamment pour prédire les crises ou l'évolution des maladies, établir des diagnostics plus fiables et plus précis, ou encore découvrir de nouveaux médicaments. Cependant, l'accès aux données est indispensable pour pouvoir entraîner de telles IA.
Forcément, il faut un entrepôt pour stocker toutes ses données, et la CNIL s'est toujours vivement opposée à ce que ces dernières soient hébergées sur une plateforme "cloud" non européenne, à cause du risque d'accès aux données par des autorités étrangères, notamment avec les lois américaines à portée extraterritoriale. En effet, grâce à ces lois, les autorités américaines peuvent exiger dans certains cas que les opérateurs de cloud américains leur fournissent les données stockées chez eux, où qu'elles se trouvent dans le monde. Or, il se trouve que Microsoft en est l'hébergeur, car aucun autre prestataire ne s'est montré en mesure de répondre aux exigences d'un tel dispositif aux yeux des autorités, autorisant ainsi la firme de Redmond à court-circuiter la procédure classique d'appel d'offres. Aussi, à cause de son hébergeur, le Health Data Club n'a jamais pu obtenir la copie totale du SNDS.
Microsoft : un stockage temporaire pour le EMC2
Par la suite, la CNIL devait autoriser le choix de ce fournisseur américain de cloud pour le projet européen d'entrepôt de données de santé appelé EMC2 – une version européenne du Health Data Hub, qui avait justement remporté l'appel d'offres pour ce projet, en partenariat avec d'autres sociétés européennes. Trois start-ups françaises, OVH Cloud, Numspot et Cloud Temple, ont été évaluées par la Délégation du Numérique en Santé (DNS) — une branche du ministère de la Santé chargée des chantiers de e-santé — afin de savoir si l'une d'elles pouvait prendre le relais de Microsoft. Comme aucune des trois sociétés françaises n'offrait des solutions de cloud suffisamment avancées pour remplacer Microsoft dans ce projet européen, la CNIL a finalement accepté de valider temporairement la constitution d'un tel entrepôt, pour le compte de l'Agence européenne du médicament, sur les infrastructures de la firme de Redmond.
L'autorisation de la CNIL est valable trois ans, le temps pour le Health Data Hub de migrer vers un hébergeur qualifié SecNumCloud — qui possède donc un niveau de sécurité parmi les plus élevés du marché. Notons que Laure Martin-Tervonen, Directrice de la marque et des affaires publiques de Cloud Temple, explique le degré de conformité de l'entreprise aux exigences techniques et fonctionnelles présentées par le Health Data Club "atteindra 95% au printemps 2024, après la qualification SecNumCloud des nouvelles couches fonctionnelles PaaS de confiance de notre plateforme". Les données concernées sont celles de certains patients de quatre hôpitaux français (Hospices civils de Lyon, centre Léon Bérard, CHU de Nancy et Fondation hôpital Saint-Joseph), ainsi que les données de l'Assurance maladie (parcours de soin, ordonnances…). Elles seront conservées dans les centres de données de Microsoft situés en France. Notons que les informations santé ne quitteront pas notre territoire. Toutefois, certaines données techniques de la plateforme pourront être transférées vers des administrateurs sur le sol américain. Ces transferts seront toutefois très surveillés et encadrés par la Commission européenne (et la CNIL) avec une obligation renforcée d'information.