Dans une décision publiée le 31 janvier 2024 sur Légifrance, la Commission nationale de l’informatique et des libertés (CNIL) a autorisé l’hébergement des données de santé des Français et Européens sur le Cloud de la multinationale américaine, Microsoft. Si la CNIL a donné son autorisation, ce n’est pas sans inquiétudes face au risque de transfert de données vers les États-Unis. Cette décision s’inscrit dans le cadre du projet EMC2.
Le contexte du projet EMC2
En 2021, l’Agence européenne du médicament (EMA) avait lancé un appel d’offres ayant pour objectif de créer un entrepôt européen de données de santé multicentrique. Ce projet dénommé « EMC2 » vise à permettre aux établissements de santé, aux institutions publiques, aux associations de patients ou encore aux agences européennes telles que l’EMA, de réaliser des recherches, des études et des évaluations. Cet entrepôt de données de santé sera notamment alimenté par les données de 4 établissements de santé partenaires, par la base principale du Système National de Données de Santé (SNDS), ainsi que par des données de professionnels de santé (spécialité, mode d’exercice, sexe, âge, département d’implantation).
Fin 2021, l’EMA avait retenu la candidature déposée par le Groupement d’intérêt public dénommé « Plateforme des données de santé », également appelé Health Data Hub (HDH).
La demande d’autorisation du Health Data Hub pour le projet EMC2
Concernant tout d’abord le cadre légal des entrepôts de données de santé, la CNIL a publié un référentiel, c’est-à-dire un cadre de référence permettant à un organisme de mettre en conformité un traitement de données spécifique, relatif « aux traitements de données à caractère personnel mis en œuvre à des fins de création d’entrepôts de données de santé dans le domaine de la santé ». Ce référentiel concerne uniquement les entrepôts de données de santé « nécessaire à l’exécution d’une mission d’intérêt public ou relevant de l’exercice de l’autorité publique dont est investi le responsable de traitement ». Ce faisant, un organisme, responsable de traitement, souhaitant constituer un entrepôt de données de santé ayant une finalité d’intérêt public doit donc s’assurer de la conformité de son projet au référentiel de la CNIL.
Dans l’hypothèse où il y aurait des écarts avec les exigences prévues au référentiel, l’organisme en question doit saisir la CNIL d’une demande d’autorisation spécifique préalable. En l’occurrence, le projet EMC2 ne répondait pas à toutes les exigences prévues dans ce référentiel et nécessitait donc une autorisation. C’est ce que le HDH a ainsi demandé.
Fin octobre 2023, la CNIL a alors évalué la possibilité pour le HDH de gérer ce projet d’entrepôt multicentrique de données de santé sur une solution d’hébergement européenne souveraine.
L’absence de prestataire européen satisfaisant
Dans le cadre de ce projet, le ministère de la Santé avait lancé un appel d’offres afin de trouver un prestataire capable de fournir un service de Cloud sécurisé étant conforme au Règlement général sur la protection des données (RGPD) et aux exigences du projet EMC2, notamment des critères de performance, de fiabilité et de sécurité.
Une expertise a été réalisée par l’Agence Numérique en santé (ANS), la délégation numérique en santé (DNS), et la direction interministérielle du numérique (DINUM) « aux fins de déterminer si le projet EMC2 pouvait, sans compromettre le projet vis-à-vis des conditions fixées par l’Agence européenne du médicament, être mis en œuvre via un prestataire soumis uniquement aux lois de l’Union européenne ».
Trois fournisseurs français, à savoir OVH Cloud, Numspot et Cloud Temple, ont été évalués mais, actuellement, aucun n’est susceptible de répondre aux besoins exprimés par le HDH. La CNIL a donc décidé, par défaut, d’autoriser la mise en œuvre de l’entrepôt de données de santé « EMC2 » avec un hébergement chez Microsoft, dans ses centres situés en France, pour une durée de 3 ans.
Une décision qui fait débat
D’une part, la conservation des données de santé chez Microsoft met à mal la souveraineté numérique de la France, et plus généralement de l’Europe. C’est ce que dénonce notamment William Méauzoone, confondateur de la société Leviia, « la France n’est pas capable d’héberger ses propres données de santé ».
D’autre part, le fait de recourir à un prestataire américain comporte un risque de transfert de données vers les États-Unis en application des lois extraterritoriales américaines, tel que le Cloud Act qui permet aux autorités judiciaires d’accéder aux données électroniques stockées à l’étranger par les entreprises américaines. Ainsi, les données de santé des Français pourraient être accessibles aux services de renseignements américains. Cependant, la décision de la CNIL précise que toutes les données de santé seront pseudonymisées.
Beaucoup de critiques se sont élevées contre la CNIL. En effet, elle a toujours exigé de la part des porteurs de projet, publics comme privés, de s’assurer que l’hébergeur des données ne soit pas soumis à une législation extra-européenne. D’autant plus que d’autres projets similaires hébergés par Microsoft auraient d’ores et déjà été refusés par la CNIL auparavant. En l’espèce, il est vrai qu’il est difficile de comprendre la validation de ce projet EMC2 par la CNIL, alors qu’elle reconnaît son non-respect aux exigences nationales de souveraineté.
En ce sens, l’association Internet Society France, représentant les utilisateurs d’Internet dans les instances de la Gouvernance de l’Internet en France et dans le Monde, a saisi le Conseil d’État dans le cadre d’un recours en annulation de cette décision prise par la CNIL. D’autres requérants ont également déposé un référé demandant la suspension en urgence de la décision. Si le recours en annulation est toujours en cours, le juge des référés du Conseil d’État, lui, a rejeté la demande, considérant que la condition d’urgence n’est pas remplie.
En parallèle, 10 avril 2024, le Parlement européen est venu imposer le recours à une solution d’hébergement certifiée SecNumCloud pour le Health Data Hub, dans le cadre du projet de la loi française dit SREN. Il s’agit d’une qualification de sécurité proposée par l’Agence Nationale de la Sécurité des Systèmes d’Information (ANSSI) pour les prestataires de services cloud. En ce sens, les administrations de l’État, ses opérateurs et les groupements d’intérêt public (GIP), devront s’assurer que leurs fournisseurs de services cloud, auxquels ils font appel pour l’hébergement des données de santé notamment, respectent des critères de protection contre l’accès à ces données par des puissances étrangères. Le Health Data Hub devra donc forcément recourir, à terme, à un service cloud certifié SecNumCloud par l’ANSSI.
Julie FREIERMUTH
M2 Cyberjustice – Promotion 2023/2024
Sources :
https://www.genethique.org/la-cnil-autorise-le-stockage-de-donnees-de-sante-chez-microsoft/