La CNIL (Commission nationale de l'informatique et des libertés) n'avait jusqu'à maintenant jamais autorisé le stockage de données patients issues du système de santé français sur une infrastructure cloud non européenne mais il faut un début à tout, même si c'est temporaire.
La Commission a finalement donné son accord pour que certaines données patient de l'Assurance Maladie soient stockées pour trois ans dans un cloud fourni par Microsoft, selon une décision publiée sur Legifrance.
De précieuses données de santé françaises chez Microsoft
Cette dernière porte sur la constitution d'un entrepôt de données dit EMC2 qui stockera des dossiers médicaux des HCL (Hospices civils de Lyon), du centre Léon Bérad, du CHU de Nancy et de la Fondation Hôpital Saint-Joseph, ainsi que "des composantes de la base principale du SNDS" (Système national des données de santé).
En faisant ce choix de Microsoft, la crainte est bien sûr que les données soient accessibles aux autorités américaines : dans la décision, il est noté que l'hébergeur des données "appartient à un groupe dont la société mère est située aux Etats-Unis et soumise au droit de cet Etat. De ce fait, en application de cette législation, les autorités états-uniennes sont susceptibles d'adresser à Microsoft des injonctions de communication des données qu'il héberge".
La CNIL recommande depuis toujours que les données sensibles restent hébergées sur le territoire européen et que le prestataire réponde aux exigences du référentiel SecNumCloud de l'ANSSI (Agence nationale de la sécurité des systèmes d'information.
En attendant de trouver un hébergeur européen conforme
Toutefois, les gestionnaires de la mise en place de l'entrepôt de données ECM2 relèvent "qu'aucun prestataire potentiel [européen] ne propose d'offres d'hébergement répondant aux exigences techniques et fonctionnelles" du projet.
La CNIL indique le déplorer cet état de fait qui met les données de patients et des informations sensibles (l'entrepôt EMC2 doit contribuer à la recherche épidémiologique) à la merci d'intérêts étrangers, même si c'est pour un temps limité.
Après les trois ans d'hébergement chez Microsoft, les données devraient être transférées chez un hébergeur européen. Le choix risqué d'un tel stockage en cloud non souverain est lié à la volonté de ne pas prendre trop de retard dans l'exploitation des données de santé par les chercheurs.
