Health Data Hub : l'attribution du marché de l'hébergement d'EMC2 à Microsoft est contestée en justice
C'était à prévoir. La délibération de la Commission nationale de l'informatique et des libertés autorisant l'hébergement par Microsoft Azure des données de santé issues de l'entrepôt EMC2 a été contestée devant le Conseil d'Etat par l'Internet Society France. L'ONG espère que cette procédure servira à remettre les acteurs concernés autour de la table afin de trouver une solution équilibrée et respectueuse de la souveraineté technologique française et européenne.
Alice Vitard
Mis à jour
15 février 2024
"Cette délibération est un appel à l'aide de la Commission nationale de l'informatique et des libertés", d'après Nicolas Chagny, président de l'Internet Society France, la branche française de l'organisation non gouvernementale ayant pour mission la protection des utilisateurs d'Internet. Contacté par L'Usine Digitale, il désigne la délibération rendue par l'autorité le 21 décembre 2023 qui autorise pour trois ans l'hébergement par Microsoft Azure des données de santé constituant l'entrepôt baptisé "EMC2", "faute de prestataire susceptible de répondre actuellement aux besoins exprimés".
Cet entrepôt est la réponse à un appel à projets lancé par l'Agence européenne des médicaments (EMA), dont le Health Data Hub – en tant que groupement d'intérêt public – a hérité du lot 3. Son objectif est de "permettre la réalisation de recherches, d'études et d'évaluations" dans le domaine de la santé pour observer et évaluer la prise en charge des patients, caractériser des populations de patients ou encore concevoir et valider des outils d'aide à l'interprétation des signaux, d'aide au diagnostic ou d'aide à la prise en charge préventive ou curative.
Pour rappel, le Health Data Hub désigne la structure en charge d'une immense base rassemblant les données de santé des Français. Son but est de faciliter le partage de ces informations issues de sources très variées afin de favoriser la recherche, en développant par exemple des algorithmes d'apprentissage automatique. A ce titre, elle participe à des projets tels que l'EMC2 qui regroupe des données "pseudonymisées et structurées" issues des Hospices civils de Lyon (HCL), du centre Léon Bérard (CLB), du centre hospitalier universitaire de Nancy (CHU de Nancy) et de la Fondation hôpital Saint-Joseph (FHSJ) ainsi que du Système national des données de santé (SNDS). Pour mettre en place ce nouvel entrepôt, le Health Data Hub devait recevoir une autorisation de la Cnil.
Un recours pédagogique
Le choix d'un fournisseur de cloud américain – comme ce fut le cas pour le Health Data Hub qui est actuellement hébergé par Microsoft Azure – a sans surprise provoqué une levée de boucliers par les entreprises françaises du secteur. L'Internet Society est le premier à déposer un recours en justice pour faire annuler la décision de la Cnil. Mais pour France Charruyer, avocate au sein du cabinet ALTJI et conseil de l'Internet Society France, "ce n'est pas un recours militant mais bien pédagogique". Hors de question de "clouer la Cnil au pilori". En effet, comme l'explique la juriste à L'Usine Digitale, "en vertu de la pyramide des normes, l'autorité n'avait pas le choix" de valider l'attribution du marché à Microsoft. Depuis, l'adoption du Data Privacy Framework – successeur du Privacy Shield – les transferts de données personnelles vers les Etats-Unis sont autorisés puisqu'un niveau de protection équivalent a été reconnu.
Ce recours n'a pas non plus pour objectif de dire que "Microsoft est un mauvais hébergeur", ajoute le président de l'ONG requérante. En revanche, "concernant les données de santé des Français, nous ne pouvons pas nous résoudre au fait de dire qu'il n'y a aucun acteur européen capable d'héberger cette base". Dans sa délibération, la Cnil s'appuie sur une mission d'expertise pilotée par la Délégation du numérique en santé (DNS) qui a conclu que les offres françaises et européennes de cloud ne répondaient pas aux besoins actuels de l'EMC2. "J'ai du mal à y croire, lance le président. Si c'est vrai, cela veut dire que c'est grave et donc que les pouvoirs publics doivent mettre tous les moyens financiers pour qu'on soit capable de le faire." De son côté, l'avocate souhaite qu'une preuve de l'absence d'offre adéquate aux besoins exprimés soit clairement apportée.
Le risque de transferts de données vers les Etats-Unis
Sur le fond du dossier, l'Internet Society France apporte plusieurs arguments. Le premier porte sur le fait que la Cnil justifie sa décision en se fondant sur "une obligation inexistante", celle pour le Health Data Hub d'honorer ses engagements vis-à-vis de l'Agence européenne des médicaments. "Il s'agit d'une obligation contractuelle, et non pas d'une obligation légale", indique France Charruyer.
Le deuxième argument porte sur les risques de transferts de données de santé vers les Etats-Unis puisqu'elles sont hébergées par une entreprise américaine. A noter que ce risque est reconnu par la Cnil dans sa délibération : "il n'en reste pas moins que les données stockées par un hébergeur soumis à un droit extra-européen peuvent être exposées à un risque de communication à des puissances étrangères". Raison pour laquelle, ajoute-t-elle, elle "recommande depuis longtemps, pour les bases de données les plus sensibles, d'assurer une protection contre les possibilités de divulgation à des autorités publiques de pays tiers".
Le recours vise spécifiquement "les dispositions de la section 702 du FISA [Foreign Intelligence Surveillance Act, ndlr]" qui permet "aux agences de renseignement américaines de procéder à une surveillance ciblée des personnes étrangères situées en dehors des Etats-Unis". Cette législation d'exception devait expirer le 31 décembre 2023. Incapable de s'accorder, le Congrès américain a finalement qu'elle sera encore applicable jusqu'au 19 avril 2024, date à laquelle une nouvelle solution devra être trouvée. Pour l'avocate, c'est une certitude qu'aucun assouplissement ne va être adopté mais plutôt "une extension de la surveillance sans mandat". Si tel est le cas, "ce ne sera plus possible de dire qu'un niveau de protection équivalent existe", comme le Data Privacy Framework le prescrit.
La doctrine "Cloud au centre" non respectée ?
Comme les acteurs du secteur, le requérant s'étonne que la Cnil ait validé un hébergeur qui ne dispose pas du visa de sécurité "SecNumCloud" puisque d'après la doctrine gouvernementale "Cloud au centre", ce critère aurait dû être respecté. En effet, la circulaire du 31 mai 2023 prévoit que si "un système ou l'application" traite des données "d'une sensibilité particulière", l'offre de cloud retenue devra "impérativement" respecter cette qualification délivrée par l'Agence nationale de la sécurité des systèmes d'information et "être immunisée contre un accès non autorisé par des autorités publiques d'Etat tiers". Parmi les données concernées, le gouvernement cite "les données nécessaires à l'accomplissement des missions essentielles de l'Etat notamment (...) la protection de la santé et de la vie des personnes".
Le président de l'ONG affirme que des recours sont en cours de préparation par d'autres entités sans en dévoiler l'identité. Il se justifie également sur le fait d'avoir choisi la voie de la requête en annulation, plutôt que celle du référé (procédure d'urgence qui doit respecter un certain nombre de critères). "Nous estimons que c'est plus fort et que cela obligera les pouvoirs publics à revenir autour de la table si on obtient cette annulation", explique-t-il. Concernant le délai, l'avocate table sur "un à deux ans". Le dossier EMC2 et celui du Health Data Hub sont très loin d'être bouclés.
SUR LE MÊME SUJET
Health Data Hub : l'attribution du marché de l'hébergement d'EMC2 à Microsoft est contestée en justice
Tous les champs sont obligatoires
0Commentaire
Réagir![[Vidéo] Rencontrez Chloé, conceptrice mécanique chez MBDA](/mediatheque/5/4/0/001530045_400x440_c.jpg)
