Recevez chaque jour toute l'actualité du numérique

x

Health Data Hub : Les données sont désormais hébergées en région parisienne mais toujours par Microsoft

Le conseil de la Caisse nationale de l'assurance maladie maintient sa position réfractaire sur l'hébergement par Microsoft du Health Data Hub. Au coeur du problème : le Cloud Act, qui permet aux autorités américaines d'accéder à des données quelle que soit leur localisation. Mais pour Stéphanie Combes, à la tête du Heath Data Hub, il n'y a pas d'inquiétude à avoir étant donné que les données sont désormais stockées en "région parisienne".
Twitter Facebook Linkedin Flipboard Email
×

Health Data Hub : Les données sont désormais hébergées en région parisienne mais toujours par Microsoft
Health Data Hub : Les données sont désormais hébergées en région parisienne mais toujours par Microsoft © Cnil

Face aux inquiétudes du conseil de la Caisse nationale de l'assurance maladie (Cnam), la directrice du Health Data Hub Stéphanie Combes a expliqué que les données de santé des Français étaient désormais hébergées en "région parisienne" et non plus aux Pays-Bas, révèle TICsanté.

Mais le provider de cloud reste le même : Microsoft. Et c'est ce point qui préoccupe particulièrement le conseil de la Cnam. C'est ce qui ressort d'une déclaration faite par son président, Fabrice Gombert, à propos d'un nouveau projet de décret encadrant le Health Data Hub. Ainsi, le conseil a fait part de son opposition à "un transfert d'une copie du système national des données de santé sur la solution actuelle d'hébergement du Health Data Hub".

En septembre dernier déjà, le conseil avait refusé de statuer sur le premier projet de décret. Il expliquait vouloir attendre l'avis de la Commission nationale de l'informatique et des libertés (Cnil) et réclamait en parallèle une "analyse rigoureuse" des conséquences de l'invalidation du Privacy Shield, ce texte facilitant les transferts de données vers les Etats-Unis.

Une obligation d'hébergement des données en Europe
Le nouveau décret, qui a pu être consulté par TICsanté, prévoit cette fois-ci explicitement une obligation d'hébergement des données du système national des données de santé (SNDS) dans l'Union européenne. En d'autres termes, Microsoft doit stocker les données de santé des Français dans des data centers situés dans l'UE. Dans tous les cas, d'après Stéphanie Combes, "le décret n'interdit pas le recours à Microsoft, mais cela doit être correctement encadré, c'est ce que nous faisons avec les avenants contractuels tout en travaillant sur une trajectoire souveraine". 

Régulièrement questionné à ce propos, Microsoft répond que seules les données "techniques", sous-entendues qui ne contiendraient aucune donnée de santé, pourraient être transférées outre-Atlantique pour des raisons de maintenance. Des propos a priori rassurants mais qui omet une partie du raisonnement : l'existence du Cloud Act. 

Au coeur de la polémique, le cloud Act
En vertu de cette loi, les services de renseignement américains peuvent contraindre les fournisseurs de services établis aux Etats-Unis à fournir des données stockées sur des serveurs, qu'ils soient situés à l'intérieur du territoire ou à l'extérieur, en Europe par exemple. C'est en partie ce texte qui a poussé la Cour de justice de l'Union européenne (CJUE) a invalidé le Privacy Shield en juillet dernier estimant que les programmes de surveillance américains n'étaient pas compatibles avec le Règlement général sur la protection des données (RGDP).

Face à ce risque, le gouvernement veut changer de fournisseur de cloud. "Je partage pleinement vos préoccupations relatives au risque de divulgation de données hébergées par la plateforme aux autorités américaines avec le choix de l'entreprise Microsoft", écrivait le ministre de la Santé et des Solidarités Olivier Véran dans cette lettre en novembre 2020. Il expliquait souscrire pleinement à la nécessité d'adopter "une nouvelle solution technique" dans un "délai qui soit autant que possible compris entre 12 et 18 mois".

Gaia-X, une alternative sur la table
Le choix d'une solution européenne semble être privilégié, d'après les dires du secrétaire d'Etat Cédric O qui précisait être en pourparlers avec "des partenaires allemands" dans le cadre du projet de cloud souverain Gaia-X.

Réagir

* Les commentaires postés sur L’Usine Digitale font l’objet d’une modération par l’équipe éditoriale.