Le gendarme français des données personnelles souhaite faire cesser l’hébergement de la plateforme de données de santé pour la recherche par Microsoft, au regard de l’annulation récente de l’accord Privacy Shield entre l’Union européenne et les Etats-Unis, selon un document dont a eu connaissance vendredi l’AFP.
La Cnil « estime que le changement de la solution d’hébergement (du Health Data Hub) et des autres entrepôts de santé hébergés par les sociétés soumises au droit étasunien devrait intervenir dans un délai aussi bref que possible« , selon les observations du régulateur présentées jeudi au juge des référés du Conseil d’Etat, saisi d’une requête pour faire suspendre le dispositif.
Le secrétaire d’Etat au numérique, Cédric O, avait le même jour annoncé qu’il travaillait avec le ministre de la Santé Olivier Véran à rapatrier cette plateforme sur des infrastructures françaises ou européennes.
L’entrepôt français de données de santé pour la recherche, ou Health Data Hub, doit permettre aux scientifiques d’accéder aux montagnes de données de santé françaises, sous forme pseudonymisée, pour faire de la recherche en utilisant en particulier l’intelligence artificielle.
Début 2019, le gouvernement a choisi dans une grande discrétion de confier l’hébergement de ces données à Microsoft Azure, la branche de Cloud du géant américain : un choix contesté par beaucoup d’experts et de professionnels qui jugeaient dangereux de confier ces données à Microsoft et demandaient un appel d’offres. Or, en juillet 2020, la Cour de justice européenne a invalidé l’accord « Privacy Shield », la base légale sur laquelle s’appuyait Microsoft, comme 5 000 entreprises américaines, pour transférer certaines données vers ses serveurs outre-Atlantique, un arrêt qui « a radicalement changé la situation du recours à des solutions d’hébergement fournies par des acteurs étasuniens« .
La Cnil envisage une « période de transition«
Microsoft, qui détient les clés de chiffrement des données stockées en Europe, est susceptible de réaliser certains transferts aux Etats-Unis pour des opérations d’administration, explique la Cnil. Surtout, Microsoft est soumis « à des injonctions des services de renseignement (américains) l’obligeant à leur transférer des données stockées
et traitées sur le territoire de l’Union européenne. »
Consciente du défi technique d’un changement d’hébergement, la Cnil envisage une « période de transition » dont la durée sera « limitée au strict nécessaire« , et « recommande aux autorités publiques d’évaluer en urgence l’existence de fournisseurs alternatifs ».
Contacté par l’AFP, Microsoft a déclaré qu’il « ne commentait pas les décisions stratégiques du gouvernement français et restait dans l’attente de l’arrêt du Conseil d’Etat« , attendu la semaine prochaine.
Auteur : AFP
3DS Outscale, candidat ?
Dans un bref communiqué, un porte-parole de 3DS Outscale indique que la société est « le seul Cloud français certifié par l’ANSSI et membre fondateur de Gaia-X, pouvant être l’une des opportunités envisagées par la France et l’Union Européenne. »
Un Sommet de GAIA-X est prévu pour la mi-novembre 2020. Il devrait marquer le départ concret de cetteplateforme qui vise à établir un Cloud européen et souverain. Rappelons que les vingt-deux membres fondateurs, rassemblant entreprises et fournisseurs de Cloud sont 3DS OUTSCALE, Amadeus, Atos, Beckhoff Automation, BMW, Bosch, CISPE, DE-CIX, Deutsche Telekom, Docaposte, EDF, Fraunhofer Gesellschaft, German Edge Cloud, IMT, IDSA, Orange, OVH, PlusServer, Safran, SAP, Scaleway, Siemens.
Juliette Paoli
