Connexion
Abonnez-vous

HDH : le Conseil d’État valide l’hébergement des données de santé d’EMC2 chez Microsoft

Pas besoin de SecNumCloud

HDH : le Conseil d’État valide l’hébergement des données de santé d’EMC2 chez Microsoft

Crédits : Conseil d’État (CC BY 2.0)

Le Conseil d’État a tranché : la validation par la CNIL de l’entrepôt de données de santé EMC2 n’était pas un excès de pouvoir. Le Health Data Hub, qui en est à l’origine, va donc pouvoir laisser les données dans Azure. C’est la deuxième fois que le Conseil d’État rejette une demande liée à l’hébergement des données par le HDH.

Le 22 novembre à 14h19

Le vent souffle fort cette année autour du Health Data Hub. La structure, conçue pour être le guichet unique dans les demandes d’accès aux données de santé dans un cadre de recherche, héberge les données dans l’infrastructure cloud Azure de Microsoft. Ces données comprennent notamment une partie du SNDS (Système National des Données de Santé).

Le sujet crispait déjà nombre d’acteurs français du cloud. Mais au début de l’année, une décision de la CNIL met le feu aux poudres : la Commission valide la création de l’entrepôt EMC2 (qui rassemble des données de santé de plusieurs pays européens) et son stockage des informations encore une fois dans Azure.

La CNIL avait décidé dans la loi. Le Data Privacy Framework (DPF) établit une adéquation entre les États-Unis et l’Europe pour la sécurité et le respect de la vie privée dans les données. La Commission n’avait donc pas de motif légitime de refuser cet hébergement. Le député Philippe Latombe nous avait alors indiqué que cette décision était contrainte, soulignant que le texte laissait apparaitre les réticences entre les lignes. Pour autant, aucune autre décision n’aurait pu être prise tant qu’existe le DPF.

« Ils n’ont pas eu le choix, encore une fois. Mais la décision laisse suffisamment de prise pour que tout le monde puisse la contester. Et je vous le promets : vous allez avoir, dans les jours qui viennent, des contestations de cette décision auprès du Conseil d’État. Vous n’imaginez même pas combien sont prêts », affirmait alors le député.

De fait, une demande de référé a rapidement été déposée devant le Conseil d’État. Portée notamment par Clever Cloud, Nexedi et Rapid.space, elle réclamait une intervention urgente pour invalider la décision de la CNIL. Au cœur de la demande figurait l’argument principal : Microsoft est une société américaine, soumise à des lois extraterritoriales, dont la Section 702 de la loi FISA. Les données européennes pouvaient donc se retrouver aux mains des services de renseignement américains. En outre, la décision de la CNIL niait les offres existantes chez les entreprises françaises et européennes.

Cette demande avait été rejetée en mars. La décision du Conseil d’État était tranchée : les sociétés requérantes n’auraient dans tous les cas pas eu le temps de se préparer. En outre, la CNIL n’a donné son aval que pour trois ans. Enfin, le Conseil d’État avait estimé que cette autorisation n’aurait qu’un « impact indirect et limité sur les activités » des sociétés requérantes.

La demande de référé n’ayant pas abouti, une décision sur le fond était attendue.

Nouveau rejet du Conseil d’État

Cette fois, c’est sur le fond que le Conseil d’État rejette la demande. Dans sa délibération, il explique que la CNIL « n'a pas, contrairement à ce qui est soutenu, entaché sa délibération d'irrégularité ». La décision de la Commission a été prise dans les règles.

Le Conseil note également que le projet EMC2 vise à établir un entrepôt de données en France, stocké sur des serveurs physiquement situés au sein des frontières. « Elle n'a pas pour objet et ne saurait avoir pour effet d'autoriser un transfert de données à caractère personnel vers un État tiers, les seules données susceptibles de faire l'objet d'un transfert vers des administrateurs situés aux États-Unis étant des données techniques d'usage de la plateforme », ajoute-t-il.

La décision aborde d’autres points, notamment le statut de Microsoft. Si le Conseil d’État note bien qu’il s’agit effectivement d’une entreprise américaine et qu’elle ne peut donc bénéficier à ce titre du label SecNumCloud, elle bénéficie quand même de la certification HDS (hébergeur de données de santé). Ce point, appuyé par les autres garanties du projet, dont la pseudonymisation des données, est clairement mis en avant par le Conseil d’État, qui rejette donc la demande.

« Le Conseil d’État s’est trompé », estime Philippe Latombe

Joint par téléphone, le député nous dit ne pas être « surpris par la décision du Conseil ». « En revanche, je pense qu’ils se sont trompés ».

« Je trouve que les arguments donnés ne sont pas les bons. Dire que Microsoft est un hébergeur de données de santé, donc qu’il y a une qualification particulière, donc qu'il y a audits, donc que c’est sûr : non, je ne suis pas d’accord. C’est simplement ISO 27001 et une journée de consultant. Ce n’est pas sécurisé au sens où le Conseil d’État le laisse supposer dans sa décision », nous explique Philippe Latombe.

« Ils mettent également en avant que les données sont pseudonymisées, donc que ça ne pose aucun problème. Sauf que l’on sait bien que des données pseudonymisées peuvent être reconstituées, et leur chiffrement n’est fait qu’au repos, pas pendant le transport », ajoute le député.

Il note quand même deux points positifs : « La seule chose de bien dans la décision est qu’ils ne rentrent pas dans une quantification du volume de données pour dire que c’est possible ou non, ce qui aurait été gênant. EMC2 est une petite partie du SDNS, et je ne suis pas sûr que la décision aurait été la même pour la totalité du SNDS. Et deuxième point, ils ne parlent pas du délai. Ils n’abordent pas la question des trois ans. Donc il reste un peu de marge ».

Le député a ajouté qu’il y aurait « d’autres saisines du Conseil d’État dans d’autres chambres » et que « le sujet n’est pas clos ».

Commentaires (8)

votre avatar
Ca me rappelle cette histoire de loi immigration complètement borderline, pour laquelle le président de la république et les députés de la majorité avait voté la loi, bien qu'ils annonçaient qu'elle contenait des dispositions anti-constitutionnelles. Ils comptaient alors sur le conseil constitutionnel pour nettoyer la loi de tout ce qu'ils avaient pourtant voté.
Mais des fois, comme ici, la justice ne fait pas le boulot comme on le voudrait et on se retrouve avec un truc tr-s discutable
votre avatar
pour laquelle le président de la république et les députés de la majorité avait voté la loi,
Juste un petit pinaillage : le Président de la République ne vote pas les lois, il les promulgue.
votre avatar
Et en plus, c'est lui qui a demandé avant la promulgation au Conseil Constitutionnel de vérifier si elle était conforme à la constitution tout en sachant que ce n'était pas le cas entre autre pour cavalier législatif.
votre avatar
Considérant que :
* La CJUE considère le droit États-unien incompatible avec celui Européen au titre des données personnelles, et considère à ce titre qu'aucun transfert de données personnelles ne peut être opéré.
* L'extra-territorialité du droit États-unien rend toute entité en dépendant assujetti à celui-ci.

La seule conclusion possible de tirer est donc que le choix d'une entité États-unienne afin de stocker des données personnelles (dont les données de santé) de citoyens Européens n'est pas possible.

Décidément, la France n'a toujours rien compris.
La puissance et la capacité d'attaque en profondeur de nos institutions du lobbying des intérêts économiques & géopolitiques États-uniens sont effrayantes.
votre avatar
La CJUE considère le droit États-unien incompatible avec celui Européen au titre des données personnelles, et considère à ce titre qu'aucun transfert de données personnelles ne peut être opéré.
La CJUE ne s'est pas encore prononcée sur le dernier accord UE/USA : le Data Privacy Framework.

C'est pour cela que la CNIL et le Conseil d'État ont validé cet hébergement. En droit, ils ne pouvaient pas faire autrement, au moins pour la CNIL. Pour le Conseil d'État, c'est étonnant qu'il n'ait pas tenu compte de la demande de question préjudicielle sur la validité du DPF à la CJUE (dont parlait l'article de Next de mars dernier). Comme on n'a pas de copie de sa décision, c'est difficile de comprendre pourquoi cette demande a été rejetée mais c'est peut-être justifié en droit.
votre avatar
"leur chiffrement n’est fait qu’au repos, pas pendant le transport"
Ça me titille, j'aurais plutôt pensé l'inverse.
votre avatar
Je pense que les propos sont juste maladroit. Cela ne sous-entend pas que le transport (donc les communications) sont faites de manière non chiffré, mais que le serveur reçoit des données non chiffrés qu'il chiffre ensuite au moment du stockage, plutôt que le chiffrement soit fait par le client avant envoi.

En terme plus actuel : pas de chiffrement end to end.
votre avatar
C'est probablement ça en effet

HDH : le Conseil d’État valide l’hébergement des données de santé d’EMC2 chez Microsoft

  • Nouveau rejet du Conseil d’État

  • « Le Conseil d’État s’est trompé », estime Philippe Latombe

Fermer