La Commission, dont la présidente Marie-Laure Denis vient d’être reconduite, considère “que la sécurité des données mises à disposition par le Health Data Hub (HDH) est assurée, sous réserve de la mise en œuvre des mesures identifiées pour son homologation et de leur réévaluation régulière pour prendre en compte les évolutions des systèmes et des risques”. Avec cette décision, la Cnil valide, durant trois ans, l’utilisation des services de Microsoft pour l’hébergement des données du Système national des données de santé (SNDS).
Pour rappel, le HDH ou Plateforme des données de santé (GIP PDS) a été initié en 2018 suite au rapport Villani sur l’intelligence artificielle. L’objectif ? Centraliser les données de santé de tous les Français et les mettre au service de l'État, de la recherche, des professionnels de la santé, mais aussi des start-up et autres medtech.
Quid des ingérences extraterritoriales ?
La plateforme, qui passe par Azure, la solution cloud de Microsoft Ireland, a très vite suscité des interrogations quant à la souveraineté de ses données. D’autant plus que les risques d’ingérence extraterritoriale se sont accélérés avec l’apparition du Cloud Act, adopté en 2018. Cette loi permet à la justice américaine de recueillir les données des fournisseurs opérant aux États-Unis, quelle que soit la localisation de leurs serveurs.
Lire aussi : Des chercheurs québécois développent une solution à base d'IA pour crypter les données de santé
En mai 2020, Catherine Morin-Desailly, sénatrice de la Seine-Maritime, interrogeait déjà Cédric O, alors secrétaire d'État chargé du Numérique sur le fait de ne pas avoir sélectionné une entreprise française ou européenne pour l’hébergement de ces données sensibles.
“Ce n’est pas mon choix, mais il s’explique aisément”, confirmait-il à l’époque. “Les solutions françaises ne permettaient pas de faire les recherches scientifiques que nous souhaitions réaliser sur les données de santé : Amazon investit 22 milliards de dollars par an. Le retard européen dans la technologie du cloud était trop grand pour que nous puissions faire tourner des algorithmes d’intelligence artificielle sur des infrastructures françaises.”
En 2022, alors que l’Europe lance une phase test du European Health Data Space (EHDS), le pendant européen du HDH, Stéphanie Combes, directrice de la plateforme française, estimait que la migration vers un cloud souverain n’était pas envisageable avant 2025, le temps de “combler l’écart” avec les concurrents américains.
Lire aussi : Coup d’envoi du projet d’espace européen des données de santé
Cloud souverain versus intérêt public
Sans succès, plusieurs acteurs du cloud made in France ou d'Europe ont tenté de proposer leurs services. À l'image d’OVH Cloud, Numspot ou encore Cloud Temple et Bleu.
Dans sa décision du 21 décembre 2023 publiée au Journal officiel ce mercredi 31 janvier 2024, la Cnil “déplore qu’aucun prestataire susceptible de répondre actuellement aux besoins exprimés par le GIP PDS ne protège les données contre l’application de lois extraterritoriales de pays tiers”. Dans sa décision, la commission a voulu davantage mettre en avant l'intérêt public.
Cette autorisation d’hébergement des entrepôts, alimentés par le Système national des données de santé (SNDS), chez Microsoft semble surprenante et exceptionnelle pour la Cnil, plutôt opposée à cette pratique. Cependant, il est bon de rappeler que la solution pour la centralisation à venir des données du Health Data Hub n’a pas encore été validée. “Cette centralisation constitue un entrepôt de données qui devra être soumis à une autorisation préalable de la Cnil, en application de la loi Informatique et Libertés. La Cnil n’a pas encore été saisie d’une demande en ce sens.”