« Ça va être sanglant » : la CNIL autorise les données de santé chez Microsoft

Mise à jour du 2 février à 15h30 : Nous avons ajouté les réactions de Clever Cloud et Temple Cloud.

Article d'origine du 1er février à 16h27 :

La CNIL a pris la décision hier d’autoriser le Health Data Hub à stocker pendant trois ans chez Microsoft des données de santé dans le cadre du projet EMC2. Ce dépôt doit permettre des expérimentations sur le traitement de masse des données. Mais la décision de la CNIL fait débat. Le député Philippe Latombe, notamment, déplore la situation.

Le Health Data Hub (HDH) est une structure créée en 2019. Il s’agissait alors de remplacer l’IDS (Institut national des données de santé) et de croiser les données de santé, surtout à des fins de recherche.

Très vite cependant, la polémique est arrivée : le HDH choisit la solution Azure de Microsoft pour stocker les données de 67 millions de Français. La décision est attaquée devant le Conseil d’État par le collectif SantéNathon. La CNIL demande peu après que les services du HDH soient réservés « à des entités relevant exclusivement des juridictions de l’Union européenne ».

Bien que le contrat avec Microsoft soit passé par l'Union des groupements d'achats publics, aucun appel d’offre européen n’a été enregistré. Le gouvernement, à deux reprises (via Olivier Véran et Cédric O), s’était engagé à sortir de cet hébergement sur Azure sous deux ans. Engagement pris devant le Conseil d’État et dont le délai inquiétait déjà le député Philippe Latombe.

En dépit de cet historique, la même CNIL a autorisé hier le HDH à stocker les données du projet EMC2 chez Microsoft. EMC2 est pour rappel un projet européen visant à connecter plusieurs plateformes équivalentes au HDH. Ce stockage est annoncé comme temporaire. D’une durée de trois ans, il doit permettre à la fois aux recherches de commencer et de donner le temps pour que des prestataires européens prennent le relai.

La décision de la CNIL

La décision interroge : pourquoi la Commission, qui regrettait le choix de Microsoft, a-t-elle autorisé le stockage des données du projet EMC2 dans Azure ? Le texte de la délibération, datée du 21 décembre, permet d’y voir un peu plus clair.

On y apprend d’abord que les données de l’entrepôt seront stockées dans des serveurs de Microsoft situés en France. La question de l’extraterritorialité arrive rapidement. « L’hébergeur retenu par le GIP PDS appartient à un groupe dont la société mère est située aux États-Unis et soumise au droit de cet État. De ce fait, en application de cette législation, les autorités états-uniennes sont susceptibles d’adresser à Microsoft des injonctions de communication des données qu’il héberge ».

Résultat, notamment de la loi FISA, reconduite dans sa forme actuelle jusqu’en avril, et du Data Privacy Framework européen. Ce dernier, selon la CNIL, offre « un niveau de protection adéquat ».

Cependant, « les données stockées par un hébergeur soumis à un droit extra-européen peuvent être exposées à un risque de communication à des puissances étrangères ». Un risque que la CNIL juge « acceptable » le plus souvent, mais pas pour les données de santé, qui devraient être stockées dans une solution dument estampillée SecNumCloud.

« En particulier, pour les entrepôts de données de santé appariées avec le SNDS, et malgré le fait que ces données soient pseudonymisées, la CNIL a toujours demandé aux porteurs de projet, publics et privés, de s’assurer que l’hébergeur des données n’est pas soumis à une législation extra-européenne ».

Elle va même plus loin, puisque le Health Data Hub « a fait le choix d’héberger son premier entrepôt auprès d’un hébergeur qui ne bénéficie pas de la certification SecNumCloud et, ainsi, peut faire l’objet d’injonction de communication des données par les autorités des États-Unis. Ce choix apparaît en très nette contradiction avec les éléments rappelés ci-dessus ».

« Aucun prestataire susceptible de répondre actuellement aux besoins exprimés »

La CNIL rappelle qu’à la suite de ses interrogations et de « son souhait que tout soit fait pour permettre que cet entrepôt, apparié au SNDS, soit protégé de tout risque de communication des données à des États étrangers », une mission a été mise en place.

Celle-ci était pilotée par la délégation du numérique en santé (DNS), la direction interministérielle du numérique (DINUM) et l’Agence du numérique en santé. Objectif : approcher les acteurs européens du cloud pour déterminer s’ils pouvaient héberger EMC2, afin que les données ne soient soumises qu’aux lois européennes. Notez qu’il s’agissait d’une mission d’expertise et non d’un appel d’offres.

Le 13 décembre dernier, le rapport de la mission est rendu à la CNIL. Conclusion principale ? « Qu’aucun prestataire potentiel ne propose d’offres d’hébergement répondant aux exigences techniques et fonctionnelles du GIP PDS pour la mise en œuvre du projet EMC2 dans un délai compatible avec les impératifs de ce dernier ». En outre, le développement d’un démonstrateur « cloud de confiance » (et donc certifié SecNumCloud par l’ANSSI) doit se poursuivre, et la construction d’une plateforme spécifique à EMC2 retarderait la migration pour l’ensemble des missions du HDH. Il faut donc que le projet EMC2 « soit mené sur la solution technique actuelle ». Autrement dit, Azure.

Dans ce contexte, la CNIL dit déplorer « qu’aucun prestataire susceptible de répondre actuellement aux besoins exprimés par le GIP PDS [HDH, ndlr] ne protège les données contre l’application de lois extraterritoriales de pays tiers ». La Commission souhaitait que le projet EMC2 stimule « une offre européenne à même de répondre à ce besoin » et soit « retenu par le GIP PDS pour préfigurer la solution souveraine vers laquelle il doit migrer ». Au lieu de cela, le choix initial du HDH « a conduit à privilégier des offres d’acteurs étasuniens dont il apparaît désormais difficile de se détacher à court terme ».

En tenant compte de tous ces points, et afin de tenir les engagements pris devant l’EMA (Agence européenne du médicament), les données iront sur Azure.

Une bien étrange mission d’expertise

Le langage adopté par la CNIL fait apparaître une dichotomie dans l’enchaînement des arguments. La décision, en fin de délibération et signée Marie-Laure Denis, parait même contrainte. La situation est en effet trouble.

Si l’on se penche sur la mission d’expertise, on apprend que son approche des acteurs européens du cloud a été pour le moins particulière. Comme le raconte Stéphanie Bascou chez 01net, les prestataires ont été approchés en novembre. La question était simple : étaient-ils en mesure d’héberger les données du projet EMC2 ?

De grandes discussions commencent alors. Chacun travaille sa réponse, face à un référentiel et un cahier des charges qui vont évoluer plusieurs fois. Chaque fois qu’une entreprise répondait aux exigences, une nouvelle série de demandes était ajoutée. Michel Paulin, directeur d’OVHCloud, indiquait alors à nos confrères : « C’était une course à obstacles où, chaque fois que vous avanciez d’un point, on rajoutait des critères ». « Le référentiel a changé à six reprises. De 165 exigences et critères, on est passé à 262. De 200 cas d’usages, à 466 cas à la fin », avait-il ajouté.

Tous finissent par répondre précisément sur ce qu’ils sont capables de faire, à date puis à 6, 12 et 18 mois. Réponse obtenue : non. Principalement parce qu’aucune des solutions proposées n’était intégralement (IaaS, PaaS et SaaS) certifiée SecNumCloud. Décision a donc été prise de rester chez Microsoft. Dont la solution Azure n’est certifiée SecNumCloud nulle part. Et pour cause : en tant que société américaine, elle ne peut pas recevoir le sésame de l’ANSSI.

Une décision prise « pour que tout le monde puisse la contester »

Nous avons contacté Philippe Latombe, député MoDem et commissaire à la CNIL. Il a tenu à nous avertir d’emblée : « Je suis commissaire à la CNIL, mais je me suis déporté de cette décision pour deux raisons. La première est que j’ai attaqué le Data Privacy Framework devant le tribunal de l’Union. Et comme à chaque fois qu’il y a une question de transfert des données dans une délibération, je me déporte. Je ne peux pas être à la fois des deux côtés. La seconde est que cela fait longtemps que je demande la tête de la gouvernance du HDH et que l’on arrête d’envoyer des données à Microsoft ». Le ton est donné.

Interrogé sur la délibération de la CNIL, il précise que « c’est une décision en droit. Elle était obligée de prendre cette décision ». Pourquoi ? « Parce qu’elle juge en droit. Elle est obligée de l’appliquer. Il n’y a rien qui interdit le projet EMC2 d’être stocké chez Microsoft ». Et pour cause : le Data Privacy Framework autorise le stockage des données aux États-Unis, ou chez des entreprises américaines, puisqu’il y a accord d’adéquation.

C’est la contrainte que nous évoquions. « La CNIL met extrêmement bien les formes dans sa délibération. Quand elle nous dit « Je suis obligée de le faire », elle le pense vraiment et elle n’a pas le choix ».

Décision qui a été prise sur la base du rapport rendu par la mission d’expertise. « Ils n’ont pas eu le choix, encore une fois. Mais la décision laisse suffisamment de prise pour que tout le monde puisse la contester. Et je vous le promets : vous allez avoir, dans les jours qui viennent, des contestations de cette décision auprès du Conseil d’État. Vous n’imaginez même pas combien sont prêts ». SantéNathon ? « Je n’ai pas le droit de les nommer », nous répond Philippe Latombe.

Le front s’organise depuis quelque temps déjà. Pour preuve : « Je suis allé voir Maximilien Schrems la semaine dernière à Londres. On a fait une conférence ensemble et on a travaillé ensemble pour faire en sorte qu’il y ait une aide de noyb à toute association française qui voudrait contester la décision de la CNIL. Une aide juridique, pour être clair. Parce que c’est un moyen assez simple de demander une question préjudicielle sur le Data Privacy Framework ».

« Ils se foutent de la gueule du monde ! »

Le nœud du problème, comme le pointe le député, est le rapport d’expertise ayant conclu qu’aucun acteur européen n’était capable de stocker les données du projet EMC2. « Avec Catherine Morin-Desailly [Sénatrice de la Seine-Maritime, ndlr], on avait écrit à la Première ministre pour lui dire que le rapport était biaisé. Donc la décision de la CNIL sera basée sur quelque chose de biaisé. Nous n’avons bien sûr pas eu de réponse ».

Or, la mission interservices à l’origine de ce rapport, a ajouté constamment des demandes et modifié à plusieurs reprises son cahier des charges. « En fait, ce que voulait la mission, c’est que les opérateurs français aient toutes les fonctionnalités d’Azure et AWS, en SecNumCloud, sous six mois. Alors que ni l’un ni l’autre ne sont SecNumCloud. Pourtant, les opérateurs ont affirmé qu’ils pouvaient fournir les mêmes fonctions. Ils ont donné un calendrier à 6, 12 et 18 mois, étape par étape, pour aller vers le SecNumCloud complet ». Las.

Le cahier des charges aurait-il alors été volontairement modifié pour imposer toujours plus d’exigences chaque fois que les prestataires affirmaient pouvoir remplir la mission ? « Mais c’est exactement ça ! », fustige le député. « Ils ont ajouté des couches pour les embêter, avec des exigences opposées les unes aux autres. Ils ont pris toutes les fonctions d’Azure, toutes les fonctions d’AWS, ils ont tout mélangé dans un shaker et on dit « voilà ce qu’on veut ». Bien sûr que c’était biaisé ».

« L’administration du Health Data Hub est en roue libre »

Qu’a donc fait la CNIL ? « La seule chose qu’elle pouvait faire : accepter et autoriser le stockage pour trois ans, alors que le HDH en demandait dix ». Avant de tirer à boulet rouge sur la mission interservices : « La DNS, l’agence du numérique en santé, la DINUM et le HDH se foutent de la gueule du monde. Il n’y a aucun critère de souveraineté dans le nouveau référentiel. Ils se foutent de la souveraineté française comme d’une guigne ! ».

Philippe Latombe ajoute une prédiction : « On a le projet de loi SREN qui doit aller en commission mixte paritaire dans les jours qui viennent. Dedans, il y a le 10 Bis A du Sénat sur les données sensibles de l’État qui doivent être hébergées dans du SecNumCloud, tout comme l’archivage des données de santé. Je peux vous garantir que l’Assemblée, comme le Sénat, n’ont qu’une seule envie : c’est de l’imposer à l’État manu militari ».

Il ne fait aucun doute pour le député désormais que tout va remonter une fois de plus devant le Conseil d’État. Le gouvernement sera alors mis face aux engagements pris, il y a trois ans et demi, de sortir du stockage chez Microsoft. « Ça va être sanglant. L’administration du Health Data Hub est en roue libre », conclut Philippe Latombe. Et la décision du Conseil sera d’autant plus importante que se pose désormais la grande question de la réversibilité dans trois ans.

Soupe à la grimace chez les opérateurs français du cloud

Comme on s’en doute, la délibération de la CNIL provoque bien des remous. Nous avons demandé à OVHcloud, Scaleway et Temple Cloud. OVHcloud nous a répondu :

« OVHcloud prend aujourd’hui acte de la décision de la CNIL. OVHcloud partage les préoccupations de cette dernière qui regrette le choix initial du HDH ayant créé une dépendance vis-à-vis d’Azure et valide nos observations sur la possibilité de voir des données techniques d’usage de la plateforme transférées vers des administrateurs situés aux Etats-Unis.

OVHcloud espère que cette décision ne remettra pas en cause le projet de réversibilité et de migration de la plateforme du HDH, projet qui a été promis par le gouvernement français et que le rapport Marchand-Avrier rendu le 5 décembre 2023 a remis sous les feux de la rampe. À cet effet, le Groupe est prêt à répondre à l’appel d’offre attendu.

Dans l’intervalle, OVHcloud continue d’investir pour étoffer son portefeuille de solutions cloud notamment cloud public et produits SNC, et a récemment inauguré son troisième site dévolu à l’hébergement des produits et solutions SecNumCloud lesquels sont maintenant qualifiés SecNumCloud 3.2 pour garantir l’immunité aux lois extra territoriales ».

Chez Temple Cloud, on insiste sur le caractère temporaire de l'autorisation donnée par la CNIL : trois ans, « le temps pour le Health Data Hub de migrer vers un hébergeur qualifié SecNumCloud ». Laure Martin-Tervonen, directrice de la marque et des affaires publiques chez Temple Cloud, évoque la mission interservices : « Cette évaluation a permis à Temple Cloud de démontrer un degré de conformité élevé aux exigences techniques et fonctionnelles présentées par le Health Data Hub. Ce taux de conformité atteindra 95% au printemps 2024, après la qualification SecNumCloud des nouvelles couches fonctionnelles PaaS de confiance de notre plateforme ».

Elle pointe également un rapport de l’IGAS (Inspection générale des affaires sociales), commandé par Bruno Lemaire et daté du 5 décembre. Les auteurs regrettaient, notamment, « la démultiplication des copies partielles du Système national de données de santé (SNDS) ». Ils préconisaient donc « de définir dans les six mois la solution transitoire souveraine la plus adaptée en l’état actuel, afin d’accélérer la mise à disposition des données de la base principale du SNDS ».

Du côté de Clever Cloud, le PDG Quentin Adam affiche une grande déception quant à « la méthodologie, le manque de transparence et les méthodes mises en œuvre, depuis les premières heures du Health Data Hub (HDH) ». « Les données de santé des Français méritent mieux », ajoute-t-il, avant de pointer le besoin d’un « Ministre de plein exercice chargé du numérique, afin qu’il soit à même de porter ces sujets ».

Surtout, l’entreprise regrette de ne pas avoir été approchée : « Comme d’autres acteurs travaillant activement avec les services de l’État sur de nombreux projets avec succès, nous n’avons jamais été sérieusement consultés sur la part des services du HDH que nous pourrions opérer, ou même les exigences concrètes ainsi que les besoins auxquels ils répondent. Ceux qui l’ont été ont, à notre connaissance, eu droit à un cahier des charges tardif et mouvant, évoluant au gré de leur capacité à y répondre. Ce n’est pas acceptable ».

Et de « constater un décalage entre le discours qui vante une France forte de ses champions technologiques, qui soutient sa filière numérique et les décisions prises sur le terrain ».