La CNIL a validé début février l’autorisation d’hébergement des données du Health Data Hub par Microsoft. Une décision qui prévaut pour les trois ans à venir et prise à contre-cœur, en raison du manque de solutions européennes compétentes. Mais qui fait peser des risques en matière de souveraineté numérique.
Au sein de certains hôpitaux, les données de santé sont hébergées au plus proche de leur production. « On a nos propres datacenters », indique Jean-Christophe Calvo, chef du département territorial de la transformation numérique et de l’ingénierie biomédicale au sein du CHRU de Nancy, établissement certifié HDS (Hébergeur de Données de Santé). Les dossiers informatisés des patients, les applications biologiques, les analyses d’images et les messageries des soignants restent entre les murs de cet hôpital. Le CHRU lorrain prône également une approche hybride. Les technologies Microsoft comme Teams, sont présentes mais uniquement pour les aspects collaboratifs. « Concernant les données de santé, je veux respecter une certaine souveraineté et me passer d’acteurs extra-européens », assure Jean-Christophe Calvo.
Une décision retoquée ?
Cette décision rendue par la CNIL (Commission Nationale de l’Informatique et des Libertés) d’autoriser l’hébergement des données de la PDS (Plateforme de Données de Santé) ou Health Data Hub par Microsoft pendant trois ans, passe outre les recommandations de souveraineté émanant du Gouvernement. Bien que les serveurs soient basés en Europe, la filiale irlandaise à qui a été confiée l’hébergement dépend de la maison mère américaine. Elle doit ainsi répondre aux injonctions des autorités outre-Atlantique, notamment celles liées à la loi extraterritoriale, permettant le rapatriement de données à l’étranger. Cette décision a été rendue possible par la signature d’un accord entre l’Union Européenne et le Gouvernement américain, le Data Privacy Framework. Ce dernier reconnaît à l’administration américaine un niveau d’exigence équivalent au RGPD. « Il n’y a ainsi plus de barrière pour transmettre les données aux États-Unis », assure Thomas Dautieu, directeur de l’accompagnement juridique à la CNIL.
“Cette décision pose question et on est prudent sur le sujet”, assure Jean-Baptiste Courouble, DSI de l’Urssaf Caisse Nationale. “Le message que cela envoie, c’est que l’on accepte de passer par de l’extraterritorial”. Ce dernier y voit une contradiction avec les nombreuses recommandations européennes évoquant la volonté de souveraineté numérique. “Le risque c’est d’épuiser tout le monde avec ce va et vient”, juge-t-il. Pourtant, ce dernier l’assure, il existe un risque de sécurité juridique. Les trois précédents accords conclus entre l’UE et l’Administration américaine ont été annulés par la Cour de Justice Européenne, considérant que les États-Unis n’étaient pas assez protecteurs en matière de données sensibles. « Selon l’UE, la législation américaine a suffisamment évolué », indique Thomas Dautieu. « Mais nul ne sait ce que dira cette fois la Cour de Justice Européenne sur cette décision dans un ou deux ans », ajoute-t-il. Par une limite fixée à trois ans, la CNIL tente ainsi de pallier ce risque.
Pour l’ONG Internet Society France, c’est insuffisant. « Il n’existe aucune garantie que le Data Privacy Framework perdure et cela crée une insécurité au regard du délai de trois ans », juge le président, Nicolas Chagny. Ce dernier estime que les chances pour que la justice s’oppose à cette décision sont importantes en raison de la puissance des lois américaines qui, selon lui, pourraient être renforcées. Il pointe la protection qu’offre la législation outre-Atlantique, permettant aux agences de renseignement d’accéder secrètement aux données. « Nous parlons de données de santé. Même si une anonymisation est prévue, il reste toujours le lieu et la date de naissance ainsi que la date de décès quand elle existe », précise Nicolas Chagny. Il craint ainsi que des recoupements soient possibles. Le risque réside également dans la quantité de données hébergées à travers le Health Data Hub. Celles-ci sont particulièrement importantes afin de tirer des conclusions pertinentes sur les études menées autour des sujets de santé publique.
Choix par défaut
« Ce qui est choquant, c’est de ne pas avoir été capable d’héberger ces données chez des acteurs européens », estime le président d’Internet Society France. Il fait ainsi un constat auquel a été confrontée la CNIL au moment d’autoriser le Health Data Hub à héberger ses données à travers des solutions Microsoft : l’absence d’acteurs européens compétents. Car Thomas Dautieu le confesse : « Il y a un sujet autour de Microsoft qui n’est pas un prestataire souverain. Or, pour la CNIL, lorsqu’on traite des données sensibles, il est préférable de faire appel à des prestataires souverains. C’est ce que nous encourageons. »
C’est dans ce but que l’organisme a dans un premier temps sollicité le ministère de la Santé afin de réaliser une étude visant à trouver un prestataire français avec le même niveau de prestation que Microsoft pour le traitement des données. « Nous devions rendre notre décision en quatre mois », indique Thomas Dautier. « Le délai était très court et la conclusion indiquait qu’en Europe, aucun acteur n’offrait le niveau technique de Microsoft ». Pour le président d’Internet Society France, Nicolas Chagny, l’organisme chargé de l’informatique et des libertés n’avait pas d’autres choix que d’autoriser l’acteur américain. Il impute la responsabilité aux pouvoirs publics.
La crise du Covid a soulevé des questions de souveraineté sur des produits de base. La guerre en Ukraine a, quant à elle, mis en lumière l’importance d’une souveraineté industrielle et militaire Sur quels sujets précisément. Trop vague. Selon Nicolas Chagny, ces leçons n’ont pas été retenues. « Quelque chose ne va pas », lance-t-il. Il s’interroge également sur les chances données aux acteurs européens dans cet appel d’offres lancé par le Health Data Hub. Octave Klaba, fondateur d’OVHcloud, a réagi sur X aux importantes exigences demandées pour y répondre. « Leur nombre a augmenté de 200 à plus de 400 en 2 à 3 semaines », écrit-il sur le réseau social, avec une obligation de réponse immédiate. Or, ce dernier indique également avoir été informé pour la première fois de ces exigences à l’occasion de cet appel d’offres.
1/2
En Décembre, OVHcloud a reçu les exigences techniques qui sont nécessaires pour faire fonctionner HDH. Le Health Data Hub. C’est la premiere fois qu’on a eu des informations techniques précises pour comprendre ce que HDH a besoin comme produit Public Cloud avec des détails… pic.twitter.com/4nYCfIICFr— Octave Klaba (@olesovhcom) December 30, 2023
Le patron du premier “clouder” européen regrette également l’injonction qui lui a été faite de disposer de la certification SecNumCloud. Microsoft ne disposant uniquement de la certification HDS (Hébergeur de données de santé). Pour le président d’Internet Society France, les pouvoirs publics auraient dû donner les spécifications en amont, pour offrir un délai suffisant aux acteurs français. « On aurait pu choisir l’acteur le plus proche des exigences, qui se serait engagé à monter en puissance en quelques mois », suggère-t-il. « Soit les pouvoirs publics ont mal agi, soit nous n’avons réellement pas l’acteur suffisamment compétent et ils doivent investir massivement pour disposer d’une souveraineté numérique ».
Projets en devenir
Une limite de trois ans a été fixée à cette autorisation avec pour objectif de pouvoir disposer de solutions souveraines à cette date. « Ce qu’on espère, c’est qu’un mouvement soit enclenché qui permettra de tirer vers le haut les ‘clouders’ français, afin qu’ils soient en mesure de proposer des solutions pertinentes dans trois ans », indique Thomas Dautieu, directeur de l’accompagnement juridique à la CNIL. Outre les acteurs déjà présents comme OVHcloud, plusieurs projets sont en cours impliquant des géants américains et européens. Orange et Capgemini travaillent avec Microsoft tandis que Thales et Google collaborent afin d’offrir des solutions souveraines en Europe. Ces projets ont pour but d’utiliser les solutions de ces GAFAM, en mode SaaS, sur des serveurs présents sur le Vieux Continent. Une manière de s’affranchir des lois américaines faisant peser un risque sur la sécurité des données.
Thomas Dautieu observe ces solutions de manière positive : « On bénéficie des solutions américaines qui offrent des outils de traitement des données particulièrement intéressants, tout en garantissant leurs protections ». Mais un autre projet, celui-ci 100 % français, devrait également voir le jour. Consortium regroupant Docaposte, Dassault Systèmes, la Caisse des Dépôts et Bouygues Télécom, NumSpot souhaite devenir un acteur clé parmi les clouds de confiance européen. Ses premières solutions sont attendues pour le printemps prochain. Elles devraient être suivies d’autres répondant à la certification SecNumCloud, permettant de couvrir les plus hautes exigences de sécurité et de souveraineté. Avec cette certification, NumSpot disposerait du niveau d’exigence nécessaire pour héberger les données de santé du Health Data Hub.