Connexion
Abonnez-vous

Hébergement des données de santé : la CNIL rejette le choix Microsoft

Hop, par la fenêtre !

Hébergement des données de santé : la CNIL rejette le choix Microsoft

Le 09 octobre 2020 à 14h56

Nouvelle conséquence de l’arrêt Schrems II sur l’invalidation du Privacy Shield. Comme l’a révélé Médiapart, la CNIL recommande chaudement que le Health Data Hub soit à bref délai géré par un acteur non soumis au droit américain. Une gifle pour Microsoft, société prise en tenaille entre les lois de surveillance américaines et le RGPD.

La question de la plateforme des données de santé (PDS ou HDH) revient à la charge. Une procédure d’urgence a été initiée par le collectif SantéNathon. Il « s’oppose à la centralisation chez Microsoft Azure des données de santé de plus de 67 millions de personnes et attaque l'État ».

Ce référé-liberté a été déposé dans le sillage de l’invalidation de l’accord Privacy Shield le 16 juillet dernier. La voie principale pour le transfert des données à caractère personnel des Européens vers les États-Unis a été torpillée par la justice européenne. Deux motifs : les pouvoirs des services de renseignement sur ces données et l’absence de droit au recours.

Devant le Conseil d’État, les requérants « sollicitent la suspension du traitement et la centralisation des données au sein du Health Data Hub. Ils font également valoir que les engagements contractuels conclus entre la société Microsoft et le Health Data Hub sont insuffisants » exposent-ils dans leur billet.

La plateforme de gestion des données de santé est censée faciliter « le partage en mettant en relation les producteurs et les utilisateurs publics comme privés selon un processus standardisé, lisible et non discrétionnaire », selon le ministère de la Santé.

Créé par l'article 41 de la loi du 24 juillet 2019 relative à l'organisation et à la transformation du système de santé, ce « hub » est géré par un groupement d'intérêt public. Il a pour vocation d’apporter de nouveaux matériaux en matière de recherche médicale, afin de faciliter la détermination « des prises en charge adaptées et efficaces pour les maladies rares en agrégeant des observations de sources multiples » ou encore le dépistage des états précancéreux « grâce à l’intelligence artificielle ». Et c’est Microsoft qui a été choisie pour abriter ces données sensibles.

Depuis, les nuages s'amoncellent pour le géant. « Nous travaillons avec Olivier Véran, après le coup de tonnerre de l'annulation du Privacy Shield, au transfert du Health Data Hub sur des plates-formes françaises ou européennes » a exposé hier Cédric O devant la Commission d'enquête au Sénat. « La décision est actée » nous signale l’entourage du ministre. Hier, lors de l’audience au Conseil d’État, le ministère de la Santé a soutenu une autre doctrine, faisant valoir « qu'il n'y a pas d'alternative à Microsoft pour le HDH », au point de mettre « en garde contre une décision qui aurait des conséquences désastreuses au-delà du HDH ». 

L'effet de l'arrêt Schrems II sur le Heath Data Hub

Alors que la doctrine de l’exécutif est visiblement dans le brouillard, la CNIL a été invitée à fournir ses observations à la juridiction administrative.

Le document révélé par Médiapart est riche, puisqu’il témoigne des nouveaux effets de l’arrêt de la CJUE.

La Commission n’a pas eu de difficultés à relever que les données « au repos » étaient bien stockées en Europe. Elle signale toutefois que ces derniers mois, la plateforme des données de santé a dû signer avec Microsoft un avenant pour limiter le risque de transfert vers les États-Unis, « y compris pour la résolution des incidents ».

Pourquoi ? Microsoft appuie ces opérations sur des clauses contractuelles types, un autre véhicule proposé par le RGPD. Ces clauses ont été certes validées en juillet dernier, mais la Cour de justice a toutefois exigé des responsables de traitement une sérieuse mise à jour des contrats. L'enjeu ? S’assurer que le pays de destination offre bien un niveau de protection équivalent à l’UE. L'exercice est périlleux au regard de la gourmandise des lois de surveillance américaines.

Alors que son instruction était en cours, la Commission n’est toujours pas assurée que l’avenant puisse prohiber l’intégralité des traitements au-delà de l’Atlantique. Une certitude : en cas de transfert réalisé à la demande de la PDS, de Microsoft ou même d’un utilisateur, elle considère qu’ils seront nécessairement illégaux.

On ne divulgue rien, sauf quand on doit divulguer

Mais le principal apport de ses observations concerne les traitements qui seraient réalisés cette fois à la demande des services de renseignement américains. Sur ce point, l’avenant au contrat précise que Microsoft « ne divulguera ni ne donnera accès à une quelconque donnée traitée aux autorités, sauf si la loi l’exige ».

Problème, le FISA (Foreign Intelligence Surveillance Act) donne, à sa section 702, un levier aux services pour se voir fournir des fournisseurs américains des renseignements relatifs à des personnes situées en dehors des États-Unis. De même l’Executive Order 12 333 orchestre des techniques d’interception sur les signaux par les services, sans nécessairement appeler l’assistance des entités soumises au droit national.

Le FISA comme l’EO 12 333 ont été l’un et l’autre mis à l’index par la justice européenne. Et la CNIL de craindre sans mal que Microsoft puisse toujours être soumise « à des injonctions des services de renseignement l’obligeant à leur transférer des données stockées et traitées sur le territoire de l’Union européenne ».

Sur ce point, le RGPD est limpide. Il prévoit que « toute décision d'une juridiction ou d'une autorité administrative d'un pays tiers exigeant d'un responsable du traitement (…) qu'il transfère ou divulgue des données à caractère personnel ne peut être reconnue ou rendue exécutoire de quelque manière que ce soit », sauf hypothèse d’un accord international.

L’UE n’ayant pas de tel accord avec les États-Unis, la CNIL estime que ces demandes s’analysent comme des « divulgations non autorisées par le droit de l'Union ».

Soustraire les données de santé de l'emprise américaine

Dans ses observations, elle demande donc que les données de santé soient soustraites à « la possibilité d’une communication aux services du renseignement sur le fondement de la loi FISA, voire de l’EO 12 333 ».

Pour cela, deux pistes. « La solution la plus effective consiste à confier l’hébergement de ces données à des sociétés non soumises au droit étasunien, sans préjudice de la législation sur les contrats et sur les marchés publics », un point déjà épinglé par le collectif.

L’autre option viserait à ce que Microsoft s’associe avec une société européenne qui, seule, aurait possibilité d’agir sur les données déchiffrées. Redmond pourrait alors apporter ses services, son expertise. Mais pas plus.

En tout cas, une telle réforme doit intervenir « dans un délai aussi bref que possible ». Selon la doctrine de la CNIL, l’article 49 du RGPD, qui autorise exceptionnellement les transferts nécessaires « à la conclusion ou à l'exécution d'un contrat conclu dans l'intérêt de la personne concernée », pourrait servir de base légale.

L’idée étant d’aboutir à un hébergement souverain, répondant à l’intérêt public manifeste de ne pas casser les flux brutalement. La CNIL demande en attendant au ministère de la Santé « d’évaluer en urgence l’existence de fournisseurs alternatifs et leurs capacités, tant en volume de stockage qu’en qualité de service, afin d’évaluer la durée nécessaire pour assurer cette transition, la plus courte possible ».

La décision du Conseil d’État est attendue la semaine prochaine.

Commentaires (23)

Vous devez être abonné pour pouvoir commenter.

Abonnez-vous
votre avatar

Il faudrait enfin que cela soit clair pour tout le monde, une structure (entreprise, administration, association) française ou européenne peut-elle légalement utiliser les services de Gmail, Dropbox, AWS… pour stocker des données personnelles ?
Quand on lit cet article, on se dit que cela n’est pas en phase avec le RGPD…
Il serait bien que la CNIL émette un avis clair pour toutes les entreprises de France.

votre avatar

Aujourd’hui, en l’état du droit, utiliser ces services est potentiellement illégal dans la mesure où vous ne pouvez pas apporter suffisamment d’éléments pour montrer qu’un régime juridique équivalent s’applique à vos données aux Etats-Unis et que le fournisseur en question assure bel et bien le niveau de sécurité et de confidentialité requis.



Oui, la CNIL devrait mettre les pieds dans le plat quitte à froisser de nombreuses personnes et intérêts.



C’est ce qu’on attend d’elle !

votre avatar

Ca ne pose aucun problème a Airbus d’avoir 130 000 comptes G-Suite, ni a Veolia ou d’autres.



Vu la taille de ces boites et leur enjeux concurrentiels avec les US et ailleurs on peut penser qu’ils ont validé les aspects RGPD et sécurité non ?

votre avatar

:mdr2:

votre avatar

C’est surtout que Google annonce qu’ils sont 100% compatible RGPD donc pourquoi vouloir aller chercher plus loin et se rajouter du travail ! Croyez vous qu’à la DSI de ces grands comptes on ai envie de préparer un changement de fournisseur avec autant de comptes ?
Mais bon il faudra pas venir pleurer quand on s’apercevra que des secrets d’Airbus se retrouve chez Boeing…

votre avatar

J’ai bossé pour un grand compte (~100k employés) qui est passé de GSuite à Microsoft 365 en un trimestre. Ces services ont tous les outils nécessaires pour faciliter ces migrations justement.



Après c’est juste pour changer de poison entre l’arsenic et le cyanure… Mais ça c’est une autre histoire.

votre avatar

Une très belle décision, c’est un pas en avant contre la colonisation numérique !

votre avatar

Je me demande ce que ça impliquerait pour les mutuelles qui hébergent leurs données sur AWS, comme Alan qui vient juste de publier un article pour défendre leur choix d’hébergement. Pour eux (en synthétisant à l’extrême), c’est chiffré donc pas de soucis https://blog.alan.com/tech-et-produit/pourquoi-nous-hebergeons-sur-aws

votre avatar

Waw, le niveau de sécuwashing impressionnant !
Utilisation de redshift s3 et clef dans kms, vm chez AWS aussi et en Allemagne…
Peut être, vaudrait il mieux faire comme les autres et ne pas se “vanter” de ce genre de choses ?!

votre avatar

Ce genre de décisions devraient donner du grain à moudre aux hébergeurs français/européens, j’espère qu’OVH/Scaleway/Outscale and co sont sur le coup.




Garga a dit:


Je me demande ce que ça impliquerait pour les mutuelles qui hébergent leurs données sur AWS, comme Alan qui vient juste de publier un article pour défendre leur choix d’hébergement. Pour eux (en synthétisant à l’extrême), c’est chiffré donc pas de soucis https://blog.alan.com/tech-et-produit/pourquoi-nous-hebergeons-sur-aws


Son article est très long, est-ce qu’il dit qu’Alan est seul maitre des clés de chiffrement utilisées ?
Parce que si celles-ci sont générées et exploitées par AWS, Alan n’a dans les fait aucune maitrise sur ses données.

votre avatar

Cela va de concert avec le récent avis défavorable de son homologue allemande vis à vis de l’utilisation de Microsoft 365 dans l’administration (notamment pour les écoles publiques).



De bonnes nouvelles en soit pour aider à développer des alternatives aux solutions de facilités que sont les offres des gros Cloud Providers US.

votre avatar

La vache, mais “on” devient lucides ou je rêve ?
Fallait se réveiller bien 10-15 ans plus tôt, mais mieux vaut tard que jamais…

votre avatar

Et il serait surtout temps qu’en France, et en Europe, on crée les acteurs capables de gérer toutes ces données. C’est pas comme si’ nous n’avions ni les moyens, ni les compétences.

votre avatar

L’agence du numérique en santé a une belle liste d’hébergeurs agréés hébergeurs de données de santé à caractère personnel, incluant beaucoup d’acteurs français.



Ils existent bien, encore faut-il y aller et ne pas opter pour la facilité du prestataire américain “rassurant”.

votre avatar

Le win-win n’existe pas, au m’aurait menti à l’insuline de mon plein rein ? :rhooo:

votre avatar

(reply:1829668:Paul Muad’Dib)


Le jour où ça sera obligatoirement un opérateur européen qui remplacera MS 365 ou G Suite (par ex) tu crois que cet opérateur qui n’aura plus de concurrence fera un service du niveau de MS 365 ?

votre avatar

Pourquoi pas. Mais si c’est pour les confier à des passoires comme dans l’article d’il y a quelques jours … 😅
Il va falloir se lever de bonne heure pour rattraper ce retard.
Pas impossible cela dit, avec du budget et quelques acteurs en concurrence pour pas finir en monopole immobile.

votre avatar

(reply:1829668:Paul Muad’Dib)


Un chiffrement bien fait pose tout de même un problème de nature militaire : la durée de conservation de données illisibles peut croiser celle d’une 0day ou d’une nouvelle méthode de casse bien avant d’atteindre les milliers d’années en théorie requis par brute-force.



Là est le problème : un patient Européen de 5 ans aujourd’hui peut, à ses 40, avoir ses données de santé lisibles par une puissance devenue ennemie. Soit un gain stratégique par effet de volume évident…



Ce n’est pas aussi grave que d’héberger chiffrés à l’étranger une compta ou des sextape.

votre avatar

(quote:1829764:Idiogène)


:mdr2:
Je crois qu’il y a une erreur, l’insuline, c’est le foie ou le pancréas qui la produisent … Mais le jeu de mots est savoureux!

votre avatar

(reply:1829835:Vin Diesel)


Ce n’est pas de bon foie que les diabétiques achètent de l’insuline contre un rein. Le dopage par le nuage ne les fera pas mieux pisser… :D

votre avatar

(quote:1829839:Idiogène)
Ce n’est pas de bon foie que les diabétiques achètent de l’insuline contre un rein. Le dopage par le nuage ne les fera pas mieux pisser… :D


Chuis écroulé ! ! !
:mdr2: :mdr2: :mdr2:

votre avatar

(quote:1829764:Idiogène)
Le win-win n’existe pas, au m’aurait menti à l’insuline de mon plein rein ?



(quote:1829839:Idiogène)
Ce n’est pas de bon foie que les diabétiques achètent de l’insuline contre un rein. Le dopage par le nuage ne les fera pas mieux pisser… :D


T’es sacrément en forme :mdr2:

votre avatar

Bon ba merci. Ça va couper cours dans les réflexions 365 et HDS. Pour info OVH est un HDS certifié 5 niveau sur 6, ils fournissent pas l’admin. Mais il y a d’autres boites comme Proginov qui sont à 6 sur 6.



liste HDS

Hébergement des données de santé : la CNIL rejette le choix Microsoft

  • L'effet de l'arrêt Schrems II sur le Heath Data Hub

  • On ne divulgue rien, sauf quand on doit divulguer

  • Soustraire les données de santé de l'emprise américaine

Fermer