Le problème n'est pas nouveau. Depuis plusieurs années, les données Santé des Français sont stockées par Microsoft, une situation qui déplait à beaucoup. Pour autant, la Cnil vient de valider -pour le moment- l'hébergement de ces dernières chez l'Américain.
Un CDD de 3 ans !
Dans une décision du 21 décembre publiée ce jour sur Legifrance, la Cnil vient de valider une solution temporaire : celle de confier le stockage des données de l'assurance maladie à Microsoft, et ce, pour une durée de trois ans. Il s'agit véritablement d'une première puisque la Commission avait toujours refuser d'autoriser des entrepôts alimentés par des données du Système national des données de santé (SNDS, qui est géré par l'Assurance maladie), si ceux-ci devaient être hébergés sur un cloud non européen.
Pourquoi une telle décision ? Tout simplement, parce qu'aucun prestataire potentiel [parmi les opérateurs de cloud européens] ne propose d'offre d'hébergement répondant aux exigences techniques et fonctionnelles ! L'absence de prestataire européen a finalement pris le pas sur le risque de communication à des puissances étrangères.
Cette solution permettra d'attendre le futur entrepôt -un projet du Health Data Hub, la structure publique créée en 2019. L’autorisation de la CNIL est valable trois ans, le temps pour le Health Data Hub de migrer vers un hébergeur qualifié SecNumCloud. Ce dernier baptisé EMC2 a déjà reçu l'aval de la Cnil et héberge pour le moment les données de patients fournies par quatre grands hôpitaux français et les données de l'Assurance maladie afférente.
Où seront stockées les données ?
Les données de l’entrepôt seront conservées dans les centres de données de Microsoft situés en France. Les informations santé ne quitteront pas notre territoire.
Apparemment, certaines données techniques de la plateforme (il ne s'agit pas d'information de santé) pourront être transférées vers des administrateurs sur le sol américain. Ces transferts seront toutefois très surveillés par la Commission européenne (et la Cnil) avec une obligation renforcée d'information.
S’agissant des transferts de données liés à l’administration de la plateforme :
Il résulte des informations communiquées que, compte tenu du contrat passé avec Microsoft et du fonctionnement des opérations d’administration de la plateforme technique, il est possible que des données techniques d’usage de la plateforme (qui ne révèlent aucune information de santé) soient transférées vers des administrateurs situés aux États-Unis. Ces transferts de données vers les États-Unis sont encadrés par les clauses contractuelles types de la Commission européenne. Les personnes devront être spécifiquement informées de ces transferts.
