Connexion
Abonnez-vous

« Ça va être sanglant » : la CNIL autorise les données de santé chez Microsoft

Trop de nuages dans le cloud

« Ça va être sanglant » : la CNIL autorise les données de santé chez Microsoft

crédits : Unsplash

La CNIL a pris la décision hier d’autoriser le Health Data Hub à stocker pendant trois ans chez Microsoft des données de santé dans le cadre du projet EMC2. Ce dépôt doit permettre des expérimentations sur le traitement de masse des données. Mais la décision de la CNIL fait débat. Le député Philippe Latombe, notamment, déplore la situation.

Le 01 février à 16h27

Mise à jour du 2 février à 15h30 : Nous avons ajouté les réactions de Clever Cloud et Temple Cloud.

Article d'origine du 1er février à 16h27 :

Le Health Data Hub (HDH) est une structure créée en 2019. Il s’agissait alors de remplacer l’IDS (Institut national des données de santé) et de croiser les données de santé, surtout à des fins de recherche.

Très vite cependant, la polémique est arrivée : le HDH choisit la solution Azure de Microsoft pour stocker les données de 67 millions de Français. La décision est attaquée devant le Conseil d’État par le collectif SantéNathon. La CNIL demande peu après que les services du HDH soient réservés « à des entités relevant exclusivement des juridictions de l’Union européenne ».

Bien que le contrat avec Microsoft soit passé par l'Union des groupements d'achats publics, aucun appel d’offre européen n’a été enregistré. Le gouvernement, à deux reprises (via Olivier Véran et Cédric O), s’était engagé à sortir de cet hébergement sur Azure sous deux ans. Engagement pris devant le Conseil d’État et dont le délai inquiétait déjà le député Philippe Latombe.

En dépit de cet historique, la même CNIL a autorisé hier le HDH à stocker les données du projet EMC2 chez Microsoft. EMC2 est pour rappel un projet européen visant à connecter plusieurs plateformes équivalentes au HDH. Ce stockage est annoncé comme temporaire. D’une durée de trois ans, il doit permettre à la fois aux recherches de commencer et de donner le temps pour que des prestataires européens prennent le relai.

La décision de la CNIL

La décision interroge : pourquoi la Commission, qui regrettait le choix de Microsoft, a-t-elle autorisé le stockage des données du projet EMC2 dans Azure ? Le texte de la délibération, datée du 21 décembre, permet d’y voir un peu plus clair.

On y apprend d’abord que les données de l’entrepôt seront stockées dans des serveurs de Microsoft situés en France. La question de l’extraterritorialité arrive rapidement. « L’hébergeur retenu par le GIP PDS appartient à un groupe dont la société mère est située aux États-Unis et soumise au droit de cet État. De ce fait, en application de cette législation, les autorités états-uniennes sont susceptibles d’adresser à Microsoft des injonctions de communication des données qu’il héberge ».

Résultat, notamment de la loi FISA, reconduite dans sa forme actuelle jusqu’en avril, et du Data Privacy Framework européen. Ce dernier, selon la CNIL, offre « un niveau de protection adéquat ».

Cependant, « les données stockées par un hébergeur soumis à un droit extra-européen peuvent être exposées à un risque de communication à des puissances étrangères ». Un risque que la CNIL juge « acceptable » le plus souvent, mais pas pour les données de santé, qui devraient être stockées dans une solution dument estampillée SecNumCloud.

« En particulier, pour les entrepôts de données de santé appariées avec le SNDS, et malgré le fait que ces données soient pseudonymisées, la CNIL a toujours demandé aux porteurs de projet, publics et privés, de s’assurer que l’hébergeur des données n’est pas soumis à une législation extra-européenne ».

Elle va même plus loin, puisque le Health Data Hub « a fait le choix d’héberger son premier entrepôt auprès d’un hébergeur qui ne bénéficie pas de la certification SecNumCloud et, ainsi, peut faire l’objet d’injonction de communication des données par les autorités des États-Unis. Ce choix apparaît en très nette contradiction avec les éléments rappelés ci-dessus ».

« Aucun prestataire susceptible de répondre actuellement aux besoins exprimés »

La CNIL rappelle qu’à la suite de ses interrogations et de « son souhait que tout soit fait pour permettre que cet entrepôt, apparié au SNDS, soit protégé de tout risque de communication des données à des États étrangers », une mission a été mise en place.

Celle-ci était pilotée par la délégation du numérique en santé (DNS), la direction interministérielle du numérique (DINUM) et l’Agence du numérique en santé. Objectif : approcher les acteurs européens du cloud pour déterminer s’ils pouvaient héberger EMC2, afin que les données ne soient soumises qu’aux lois européennes. Notez qu’il s’agissait d’une mission d’expertise et non d’un appel d’offres.

Le 13 décembre dernier, le rapport de la mission est rendu à la CNIL. Conclusion principale ? « Qu’aucun prestataire potentiel ne propose d’offres d’hébergement répondant aux exigences techniques et fonctionnelles du GIP PDS pour la mise en œuvre du projet EMC2 dans un délai compatible avec les impératifs de ce dernier ». En outre, le développement d’un démonstrateur « cloud de confiance » (et donc certifié SecNumCloud par l’ANSSI) doit se poursuivre, et la construction d’une plateforme spécifique à EMC2 retarderait la migration pour l’ensemble des missions du HDH. Il faut donc que le projet EMC2 « soit mené sur la solution technique actuelle ». Autrement dit, Azure.

Dans ce contexte, la CNIL dit déplorer « qu’aucun prestataire susceptible de répondre actuellement aux besoins exprimés par le GIP PDS [HDH, ndlr] ne protège les données contre l’application de lois extraterritoriales de pays tiers ». La Commission souhaitait que le projet EMC2 stimule « une offre européenne à même de répondre à ce besoin » et soit « retenu par le GIP PDS pour préfigurer la solution souveraine vers laquelle il doit migrer ». Au lieu de cela, le choix initial du HDH « a conduit à privilégier des offres d’acteurs étasuniens dont il apparaît désormais difficile de se détacher à court terme ».

En tenant compte de tous ces points, et afin de tenir les engagements pris devant l’EMA (Agence européenne du médicament), les données iront sur Azure.

Une bien étrange mission d’expertise

Le langage adopté par la CNIL fait apparaître une dichotomie dans l’enchaînement des arguments. La décision, en fin de délibération et signée Marie-Laure Denis, parait même contrainte. La situation est en effet trouble.

Si l’on se penche sur la mission d’expertise, on apprend que son approche des acteurs européens du cloud a été pour le moins particulière. Comme le raconte Stéphanie Bascou chez 01net, les prestataires ont été approchés en novembre. La question était simple : étaient-ils en mesure d’héberger les données du projet EMC2 ?

De grandes discussions commencent alors. Chacun travaille sa réponse, face à un référentiel et un cahier des charges qui vont évoluer plusieurs fois. Chaque fois qu’une entreprise répondait aux exigences, une nouvelle série de demandes était ajoutée. Michel Paulin, directeur d’OVHCloud, indiquait alors à nos confrères : « C’était une course à obstacles où, chaque fois que vous avanciez d’un point, on rajoutait des critères ». « Le référentiel a changé à six reprises. De 165 exigences et critères, on est passé à 262. De 200 cas d’usages, à 466 cas à la fin », avait-il ajouté.

Tous finissent par répondre précisément sur ce qu’ils sont capables de faire, à date puis à 6, 12 et 18 mois. Réponse obtenue : non. Principalement parce qu’aucune des solutions proposées n’était intégralement (IaaS, PaaS et SaaS) certifiée SecNumCloud. Décision a donc été prise de rester chez Microsoft. Dont la solution Azure n’est certifiée SecNumCloud nulle part. Et pour cause : en tant que société américaine, elle ne peut pas recevoir le sésame de l’ANSSI.

Une décision prise « pour que tout le monde puisse la contester »

Nous avons contacté Philippe Latombe, député MoDem et commissaire à la CNIL. Il a tenu à nous avertir d’emblée : « Je suis commissaire à la CNIL, mais je me suis déporté de cette décision pour deux raisons. La première est que j’ai attaqué le Data Privacy Framework devant le tribunal de l’Union. Et comme à chaque fois qu’il y a une question de transfert des données dans une délibération, je me déporte. Je ne peux pas être à la fois des deux côtés. La seconde est que cela fait longtemps que je demande la tête de la gouvernance du HDH et que l’on arrête d’envoyer des données à Microsoft ». Le ton est donné.

Interrogé sur la délibération de la CNIL, il précise que « c’est une décision en droit. Elle était obligée de prendre cette décision ». Pourquoi ? « Parce qu’elle juge en droit. Elle est obligée de l’appliquer. Il n’y a rien qui interdit le projet EMC2 d’être stocké chez Microsoft ». Et pour cause : le Data Privacy Framework autorise le stockage des données aux États-Unis, ou chez des entreprises américaines, puisqu’il y a accord d’adéquation.

C’est la contrainte que nous évoquions. « La CNIL met extrêmement bien les formes dans sa délibération. Quand elle nous dit « Je suis obligée de le faire », elle le pense vraiment et elle n’a pas le choix ».

Décision qui a été prise sur la base du rapport rendu par la mission d’expertise. « Ils n’ont pas eu le choix, encore une fois. Mais la décision laisse suffisamment de prise pour que tout le monde puisse la contester. Et je vous le promets : vous allez avoir, dans les jours qui viennent, des contestations de cette décision auprès du Conseil d’État. Vous n’imaginez même pas combien sont prêts ». SantéNathon ? « Je n’ai pas le droit de les nommer », nous répond Philippe Latombe.

Le front s’organise depuis quelque temps déjà. Pour preuve : « Je suis allé voir Maximilien Schrems la semaine dernière à Londres. On a fait une conférence ensemble et on a travaillé ensemble pour faire en sorte qu’il y ait une aide de noyb à toute association française qui voudrait contester la décision de la CNIL. Une aide juridique, pour être clair. Parce que c’est un moyen assez simple de demander une question préjudicielle sur le Data Privacy Framework ».

« Ils se foutent de la gueule du monde ! »

Le nœud du problème, comme le pointe le député, est le rapport d’expertise ayant conclu qu’aucun acteur européen n’était capable de stocker les données du projet EMC2. « Avec Catherine Morin-Desailly [Sénatrice de la Seine-Maritime, ndlr], on avait écrit à la Première ministre pour lui dire que le rapport était biaisé. Donc la décision de la CNIL sera basée sur quelque chose de biaisé. Nous n’avons bien sûr pas eu de réponse ».

Or, la mission interservices à l’origine de ce rapport, a ajouté constamment des demandes et modifié à plusieurs reprises son cahier des charges. « En fait, ce que voulait la mission, c’est que les opérateurs français aient toutes les fonctionnalités d’Azure et AWS, en SecNumCloud, sous six mois. Alors que ni l’un ni l’autre ne sont SecNumCloud. Pourtant, les opérateurs ont affirmé qu’ils pouvaient fournir les mêmes fonctions. Ils ont donné un calendrier à 6, 12 et 18 mois, étape par étape, pour aller vers le SecNumCloud complet ». Las.

Le cahier des charges aurait-il alors été volontairement modifié pour imposer toujours plus d’exigences chaque fois que les prestataires affirmaient pouvoir remplir la mission ? « Mais c’est exactement ça ! », fustige le député. « Ils ont ajouté des couches pour les embêter, avec des exigences opposées les unes aux autres. Ils ont pris toutes les fonctions d’Azure, toutes les fonctions d’AWS, ils ont tout mélangé dans un shaker et on dit « voilà ce qu’on veut ». Bien sûr que c’était biaisé ».

« L’administration du Health Data Hub est en roue libre »

Qu’a donc fait la CNIL ? « La seule chose qu’elle pouvait faire : accepter et autoriser le stockage pour trois ans, alors que le HDH en demandait dix ». Avant de tirer à boulet rouge sur la mission interservices : « La DNS, l’agence du numérique en santé, la DINUM et le HDH se foutent de la gueule du monde. Il n’y a aucun critère de souveraineté dans le nouveau référentiel. Ils se foutent de la souveraineté française comme d’une guigne ! ».

Philippe Latombe ajoute une prédiction : « On a le projet de loi SREN qui doit aller en commission mixte paritaire dans les jours qui viennent. Dedans, il y a le 10 Bis A du Sénat sur les données sensibles de l’État qui doivent être hébergées dans du SecNumCloud, tout comme l’archivage des données de santé. Je peux vous garantir que l’Assemblée, comme le Sénat, n’ont qu’une seule envie : c’est de l’imposer à l’État manu militari ».

Il ne fait aucun doute pour le député désormais que tout va remonter une fois de plus devant le Conseil d’État. Le gouvernement sera alors mis face aux engagements pris, il y a trois ans et demi, de sortir du stockage chez Microsoft. « Ça va être sanglant. L’administration du Health Data Hub est en roue libre », conclut Philippe Latombe. Et la décision du Conseil sera d’autant plus importante que se pose désormais la grande question de la réversibilité dans trois ans.

Soupe à la grimace chez les opérateurs français du cloud

Comme on s’en doute, la délibération de la CNIL provoque bien des remous. Nous avons demandé à OVHcloud, Scaleway et Temple Cloud. OVHcloud nous a répondu :

« OVHcloud prend aujourd’hui acte de la décision de la CNIL. OVHcloud partage les préoccupations de cette dernière qui regrette le choix initial du HDH ayant créé une dépendance vis-à-vis d’Azure et valide nos observations sur la possibilité de voir des données techniques d’usage de la plateforme transférées vers des administrateurs situés aux Etats-Unis.

OVHcloud espère que cette décision ne remettra pas en cause le projet de réversibilité et de migration de la plateforme du HDH, projet qui a été promis par le gouvernement français et que le rapport Marchand-Avrier rendu le 5 décembre 2023 a remis sous les feux de la rampe. À cet effet, le Groupe est prêt à répondre à l’appel d’offre attendu.

Dans l’intervalle, OVHcloud continue d’investir pour étoffer son portefeuille de solutions cloud notamment cloud public et produits SNC, et a récemment inauguré son troisième site dévolu à l’hébergement des produits et solutions SecNumCloud lesquels sont maintenant qualifiés SecNumCloud 3.2 pour garantir l’immunité aux lois extra territoriales ».

Chez Temple Cloud, on insiste sur le caractère temporaire de l'autorisation donnée par la CNIL : trois ans, « le temps pour le Health Data Hub de migrer vers un hébergeur qualifié SecNumCloud ». Laure Martin-Tervonen, directrice de la marque et des affaires publiques chez Temple Cloud, évoque la mission interservices : « Cette évaluation a permis à Temple Cloud de démontrer un degré de conformité élevé aux exigences techniques et fonctionnelles présentées par le Health Data Hub. Ce taux de conformité atteindra 95% au printemps 2024, après la qualification SecNumCloud des nouvelles couches fonctionnelles PaaS de confiance de notre plateforme ».

Elle pointe également un rapport de l’IGAS (Inspection générale des affaires sociales), commandé par Bruno Lemaire et daté du 5 décembre. Les auteurs regrettaient, notamment, « la démultiplication des copies partielles du Système national de données de santé (SNDS) ». Ils préconisaient donc « de définir dans les six mois la solution transitoire souveraine la plus adaptée en l’état actuel, afin d’accélérer la mise à disposition des données de la base principale du SNDS ».

Du côté de Clever Cloud, le PDG Quentin Adam affiche une grande déception quant à « la méthodologie, le manque de transparence et les méthodes mises en œuvre, depuis les premières heures du Health Data Hub (HDH) ». « Les données de santé des Français méritent mieux », ajoute-t-il, avant de pointer le besoin d’un « Ministre de plein exercice chargé du numérique, afin qu’il soit à même de porter ces sujets ».

Surtout, l’entreprise regrette de ne pas avoir été approchée : « Comme d’autres acteurs travaillant activement avec les services de l’État sur de nombreux projets avec succès, nous n’avons jamais été sérieusement consultés sur la part des services du HDH que nous pourrions opérer, ou même les exigences concrètes ainsi que les besoins auxquels ils répondent. Ceux qui l’ont été ont, à notre connaissance, eu droit à un cahier des charges tardif et mouvant, évoluant au gré de leur capacité à y répondre. Ce n’est pas acceptable ».

Et de « constater un décalage entre le discours qui vante une France forte de ses champions technologiques, qui soutient sa filière numérique et les décisions prises sur le terrain ».

Commentaires (33)

Vous devez être abonné pour pouvoir commenter.

Abonnez-vous
votre avatar
Cette dépendance à Azure dans tous les secteurs est vraiment flippante... Que la CNIL autorise cela pour des données médicales est vraiment effrayant...
Cela veut dire qu'on ne peut même plus faire confiance à celle-ci pour défendre des solutions souveraines, quitte à ce que cela prenne plus de temps et d'argent...
votre avatar
comme expliqué, la CNIL n'a pas vraiment le choix...
votre avatar
Sauf que c'était quand même possible de dire qu'aucune solution satisfaisante n'est disponible. Si des solutions européennes ne sont pas satisfaisantes techniquement, les solutions américaines ne sont pas satisfaisantes légalement. Donc, au final, aucune solution satisfaisante n'existe, donc le projet est repoussé le temps qu'une solution arrive.

C'est avant tout une décision politique.

Si la CNIL était « obligé » de répondre favorablement, sa présidente aurait pu prendre la décision politique de ne pas se prononcer, ce qui aurait déclencher un débat politique.
votre avatar
Non, ce n'était pas possible.

Le Data Privacy Framework, tant qu'il n'est pas invalidé par la CJUE, dit que les données personnelles de l'UE voient leur collecte par les services de renseignement des USA encadrée et qu'il faut la justifier.

C'est pour cela qu'il est écrit qu'elle a été prise de façon à ce qu'elle puisse être contestée.
L'attaquer est le plus court chemin pour mettre le Data Privacy Framework devant la CJUE qui a toutes les chances de l'invalider pour la même raison que précédemment : la loi FISA.
votre avatar
Je bug. Souveraineté et Cloud Microsoft ne devrait pas être compatible. Je ne comprends pas pourquoi ça passe.

PS : Pt être que le fantôme de Bull explique cela...
votre avatar
Parce que le gouvernement n'a jamais intégré la souveraineté dans son Appel d'offre / Rapport d'expertise.

Ils sont vendus à Microsoft donc ils truandent le marché publique pour que ce soit MS qui soit choisi.

Ca se fait dans beaucoup de boite publique, les AO sont souvent pipeauté dès l'origine, tu écris le cahier des charges en fonction de celui que tu veux qui gagne...
Là c'est juste pire puisqu'il s'agit de donnée de santé, critique.
votre avatar
"Ça va être sanglant."
:bravo:
votre avatar
Pourtant il y en a, des glands...
votre avatar
Oui, mais la CNIL à manqué de cou....
votre avatar
...rage ? :D
votre avatar
Merci pour l'article.
Dingue cette histoire...
votre avatar
Ceux qui ont déjà côtoyé/travaillé dans le SI d'un hôpital ou d'un labo d'analyse savent ce qu'il est en est de la confidentialité des données patient sur le terrain.

ASTM, HL7 tout en clair, les résultats en pdf/csv stockés n'importe où, des dossiers envoyés par email ou en partage.

Ne vous inquiétez pas. Si l'oncle Sam veut connaitre votre bilan annuel, il le saura meme avec un HDH sur un cloud made-in-france.
votre avatar
Je ne peux qu'abonder dans ton sens. Je côtoie plus DSI d'hôpitaux, et si certains font du bon boulot, ce n'est pas le cas de tous. J'ai même eu un DSI qui me disait qu'il ne voyait pas pourquoi on chiffrait et que cela ne servait à rien...

Par contre, de mon côté, je note malgré tout une adoption en hausse de la MSS (Messagerie Sécurisée de Santé) auprès des professionnels de santé.

Et si les formats comme HL7 sont effectivement des formats en clair. Mais ce sont plus des formats d'échange que des formats de stockage, ils sont encapsulés dans des protocoles sécurisés (comme peut l'être HTTP par exemple).
votre avatar
Bien vu pour la MSS. C'est vrai que ca se démocratise... Ca va dans le bon sen.
votre avatar
SI j'ai bien lu et compris l'article, il y a quand même une volonté manifeste de la CNIL pour mettre des bâtons dans les roues des solutions SecNumCloud au profit d'Azure cloud. et çà je ne pense pas que ce soit la loi qui l'oblige.
votre avatar
Non, c'est écrit l'inverse.
La CNIL est pour interdire Azure, mais elle ne peut pas…
votre avatar
Pas de la CNIL, mais de la mission d’experts (DNS, DINUM, ANS). Enfin selon l’article.
votre avatar
C'est marrant, j'ai l'impression de voir transparaître un point commun avec l'actualité autour de l'agriculture : on impose des choses intenables aux européens, et en parallèle on va importer les solutions étrangères qui respectent pourtant pas ces mêmes règles...
votre avatar
Dans le cas de l'agriculture, les choses imposées aux uns justifient le recours aux autres. Au milieu, c'est agro-industrie qui rafle des 2 cotés.
votre avatar
Ah ba tient ! J'en discutais justement cet après midi avec des commerciaux et avant vente.
On a pas encore de dépendances avec le cloud, donc on va continuer à tout faire nous même avec des produits on premise (tant que ça existe encore).

J'ai pas vu de niouz a ce sujet sur NXI mais le dernier pavé bien lourd c'est VMWare qui stop le licensing perpétuel depuis le rachat par Broadcom. Les infra' full autonomes ça se complique... :(
votre avatar
On bascule de VMware --> Full Proxmox de notre côté :)
votre avatar
J'en discuterai la semaine prochaine avec des fournisseurs. Nutanix ou hyper V sinon. Ou trouver des licences 8 d'occaz ^^
votre avatar
Un cahier des charges est un cahier des charges, quoi, ça ne se tourne pas de façon à privilégier l'un ou l'autre enfin !
WAIT !!!
votre avatar
hum hum:-D
votre avatar
Il est marrant Latombe quand même.

C'est le même qui se fait le héraut de la souveraineté des données, parle au nom du respect de la vie privée, dit des trucs plutôt censés dans le cadre de la CNIL.... mais pour mieux se faire l'apôtre de la vidéosurveillance algorithmique incontrôlée de l'autre.
votre avatar
Je suis surpris que ça ne parle pas de la certification d'hébergeur de données de santé (HDS). Je sais que c'est un point qui réduit énormément la possibilité, mais on ne stocke pas les données de santé comme on stocke une vidéo de chat (en théorie : en pratique, les acteurs de la santé font déjà n'importe quoi, soit par manque de connaissance, par fainéantise ou encore par manque de moyen).

D'après ce que j'ai cru comprendre, les hébergements avec la certification sont rares et ça serait une purge à obtenir.

Normalement, dans la certification, j'imagine qu'il doit y avoir plusieurs points qui assurent la confidentialité des données et surement réduire la capacité de l'hébergeur à y jeter un œil.
votre avatar
De nombreux grands acteurs sont HDS maintenant, comparé a il y a encore 5 ans. Azure est HDS. De même qu'OVH (pour les hébergeurs grand public). Après, il en existe d'autres, dont c'est la spécialité depuis le début (Clara.Net, CEGEDIM, ...)
votre avatar
Étonnamment, l'obligation de certification HDS ne concerne pas tous les traitements concernant des données de santé, mais uniquement les "données de santé à caractère personnel recueillies à l'occasion d'activités de prévention, de diagnostic, de soins ou de suivi social et médico-social, pour le compte de personnes physiques ou morales à l'origine de la production ou du recueil de ces données ou pour le compte du patient lui-même" (Article L1111-8 du CSP). Les deux conditions sont cumulatives et l'ensemble des activités manipulant des données de santé ne rentrent pas dans ce cadre.

Je ne connais pas bien l'ensemble des finalités du HDH, mais il ne rentre peut-être même pas dans ce cadre précis (à cause de la seconde condition).
votre avatar
Étonnamment oui et non. La certification HDS est à destination des hébergeurs. Un hôpital qui heberge en interne ses propres données n'a pas besoin d'avoir la certification HDS.

Un hôpital qui hébergerait des données d'autres structures devraient avoir la certification HDS. De même qu'un hôpital hébergeant ses données ailleurs (externalisation) devra prendre un hébergeur HDS.

Les obligations de certification telle qu'elle est aujourd'hui permet d'éviter que des médecins traitant par exemple, se retrouvent à avoir une certification HDS parce qu'ils ont sur leur poste des dossiers patients.
votre avatar
La vrai problématique avec les solutions Azure est qu'au fil du temps et des ajouts de fonctionnalités, la réversibilité devient de plus en plus difficile à faire et le client se retrouve coincé chez MS devant les coûts induits à mettre en œuvre pour en sortir.

La seule vraie alternative est de basculer peu à peu sur des solutions souveraines donc forcément basées sur des plateformes Open Source comme Linux tant sur la partie serveur que poste client, celui-ci n'ayant plus grand chose à envier à Windows 11 en termes d'ergonomie, et qui est le cheval de Troie de MS pour imposer ses solutions à travers du licencing de masse.
votre avatar
Par l'architecte technique du HDH:

twitter.com Twitter
Avec toute cette "polémique" sur le HDH, j'hésite à faire un thread ou un article… Le problème : expliquer une infra dont on a pas le droit de parler (pour des raisons de sécurité et de confidentialité).
Il y a une pétition: Sortons nos données de santé de chez Microsoft !

https://www.mesopinions.com/petition/politique/sortons-nos-donnees-sante-microsoft/227401
votre avatar
Le choix de ne rien faire n'est donc pas un choix ?
votre avatar
C'est très triste à lire, tout ça, mais tellement symptomatique de la situation actuelle...

À noter qu'il existe une solution, mais que l'UE n'a jamais fait le choix de l'appliquer : celle d'interdire purement et simplement l'usage de Microsoft pour les données personnelles des administrés (administrations publique, territoriale et de santé), et faire comme ça s'est fait en Chine, où un prestataire exclusif européen, non lié à Microsoft au niveau légal, propose la solution Azure (ce n'est pas une filiale).
Ainsi, Microsoft protège sa technologie, et les administrations ont la possibilité d'utiliser Azure en conformité avec le RGPD.

À noter que ça n'est pas la solution qui a ma faveur (si on peut se défaire de l'écosystème MS pour ce genre de choses, c'est tant mieux), mais qui montre que l'UE n'a jamais fait le choix d'imposer aux entreprises sa propre législation.

« Ça va être sanglant » : la CNIL autorise les données de santé chez Microsoft

  • La décision de la CNIL

  • « Aucun prestataire susceptible de répondre actuellement aux besoins exprimés »

  • Une bien étrange mission d’expertise

  • Une décision prise « pour que tout le monde puisse la contester »

  • « Ils se foutent de la gueule du monde ! »

  • « L’administration du Health Data Hub est en roue libre »

  • Soupe à la grimace chez les opérateurs français du cloud

Fermer