Connexion

Catégories

Droit Économie Flock Hardware IA Internet Logiciel Sciences Sécurité Société

Nous Suivre

Contact rédaction Contact site Forum
Flux RSS GitHub Discord

À propos

Abonnez-vous

Après l’invalidation du Privacy Shield, le Health Data Hub transféré de Microsoft à des plateformes européennes ?

Après l’invalidation du Privacy Shield, le Health Data Hub transféré de Microsoft à des plateformes européennes ?

Le 09 octobre 2020 à 08h32

« Nous travaillons avec Olivier Véran, après le coup de tonnerre de l'annulation du Privacy Shield, au transfert du Health Data Hub sur des plates-formes françaises ou européennes ». Au Sénat, devant la Commission d'enquête sur la gestion de la crise Covid-19, Cédric O a révélé travailler à la relocalisation de ce service entre les mains d’acteurs européens (l’article de Public Sénat). 

Microsoft, assure le secrétaire d’État, était lors du lancement « le seul capable de répondre aux prérequis au moment où la consultation a été faite ». 

SantéNathon, comme l’indique InterHop, « dénonce le choix de Microsoft essentiellement à cause de l’absence d’appel d’offres et des effets de l’extraterritorialité du droit américain ». 

Il a porté ses arguments devant le Conseil d’État. Une audience était organisée hier.

Le dossier a été relancé suite à l’invalidation du Privacy Shield, principal véhicule destiné à permettre aux entreprises d’exporter les données personnelles aux États-Unis. La CJUE a par la même occasion encadré au cordeau les clauses contractuelles types, exigeant des prestataires un haut niveau de sécurité. 

Présent à l’audience, Jean-Paul Smets, PDG de Nexedi et membre du collectif, rapporte que le ministère de la Santé a expliqué « qu'il n'y a pas d'alternative à Microsoft pour le HDH ». L’exécutif a mis en garde « contre une décision qui aurait des conséquences désastreuses au-delà du HDH ».

« Je retiens de cette audience l'expression par l'État de sa crainte de privilégier les libertés plutôt que les entreprises américaines » commente Jean-Paul Smets.

Ces vœux en faveur d’un tel rapatriement ont déjà été partagés par la CNIL et l’ANSSI. Mediapart indique que « la commission a transmis au Conseil d’État un mémoire demandant à l’ensemble des acteurs de cesser de confier leur hébergement à Microsoft ou toute autre société soumise "au droit étatsunien" » ce jeudi 8 octobre.

Selon nos informations, l’ordonnance doit être rendue la semaine prochaine. 

Le 09 octobre 2020 à 08h32

Commentaires (24)

Vous devez être abonné pour pouvoir commenter.

Abonnez-vous
votre avatar

Ah ce feuilleton exceptionnel.



C’est exactement comme les recrutements pour lesquels on a déjà choisi le candidat, sauf que là on ne publie même pas l’offre (puisque le candidat de notre choix est le seul à correspondre).



Tout ça pour des broutilles : les données santés de la population Française.



Non vraiment tout concorde à ce qu’on aie entièrement confiance :transpi:

votre avatar

T’es mauvaise langue, c’est pas parce qu’on impose que l’os doit etre entièrement compatible avec des softs compatible uniquement windows que c’est forcement microsoft avec son os qui vont etre choisi, laisse toi pénétré par la magie un peu

votre avatar

(reply:1829525:UtopY-Xte)


“Pénétrer” est le mot juste :mdr:

votre avatar

Mais Microsoft ayant des serveurs en France et en Europe, la solution la plus simple serait pas juste de rapatrier les données ?

votre avatar

aureus a dit:


Mais Microsoft ayant des serveurs en France et en Europe, la solution la plus simple serait pas juste de rapatrier les données ?


Les services de renseignement américains peuvent accéder aux données traitées par des entreprises américaines quelle que soit leur localisation, c’est bien le principe de l’extra-territorialité du droit américain.
Héberger des données (réellement) sensibles/confidentielles chez un acteur américain même en France ou dans l’UE c’est juste scier la branche sur laquelle on est assis, littéralement.



C’est tellement hypocrite de voir les Américains (et leurs alliés Occidentaux d’ailleurs) dénoncer la main mise du gouvernement chinois sur Huawei alors qu’ils font exactement la même chose…

votre avatar

(reply:1829552:Paul Muad’Dib)


Et le pire, c’est que Microsoft est incapable de déterminer lui-même où sont hébergées les données, d’après ses dires, entre les données de transit, les données de facturation, les données de télémétrie, les données au repos. Il est incapable d’identifier ce qui est hébergé en France et en Europe et ce qui part aux US…

votre avatar

C’est totalement faux.. et tout ça est d’ailleurs documenté…



Google en était incapable il y a quelques années, mais les règlementations aidant.. ils doivent avaoir améliorer ce point.

votre avatar

Disons que moi aussi je sais rédiger des appels d’offre publics tellement bien ficelés :windu: que seule la boite que j’ai retenue est en mesure de répondre, et si jamais un concurrent se pointe, une ch’tite ristourne sur le tarif et c’est joué.



Mais bon, on est dredi et je chipote :langue:

votre avatar

(reply:1829552:Paul Muad’Dib)


Non le gouvernement américains a le droit de demandé a toutes entreprises qui travaille sur sont territoire, que le siège sociale soit au USA ou dans un autre états. (Foreign Intelligence Surveillance Act (Fisa) et l’Executive Order 12333)

votre avatar

(reply:1829525:UtopY-Xte)


Je suis d’accord, tu vas avoir une entreprise qui va venir ayant réussi à faire fonctionner les applis entièrement à travers Wine, il y a du pognon à ce faire avec un peu de dev :troll:

votre avatar

(quote:1829552:Paul Muad’Dib)
Les services de renseignement américains peuvent accéder aux données traitées par des entreprises américaines quelle que soit leur localisation, c’est bien le principe de l’extra-territorialité du droit américain. Héberger des données (réellement) sensibles/confidentielles chez un acteur américain même en France ou dans l’UE c’est juste scier la branche sur laquelle on est assis, littéralement.



Lamateh a dit:


Non le gouvernement américains a le droit de demandé a toutes entreprises qui travaille sur sont territoire, que le siège sociale soit au USA ou dans un autre états. (Foreign Intelligence Surveillance Act (Fisa) et l’Executive Order 12333)


Un responsable du programme du côté du ministère de la Santé a répondu à ce point en disant que le contrat spécifiait bien clairement que les données étaient en Europe et qu’elles ne pouvaient en aucun cas être transférées en-dehors de l’UE. En pratique les serveurs concernés ici sont aux Pays-Bas.
À suivre…

votre avatar

Et c’est qui le plus fort pour obliger Microsoft à le suivre : les USA ou le ministère de la santé français ?



Dans le cas d’un e-mail hébergé en Irlande, c’est la justice des États-Unis qui avait gagné et obligé Microsoft à le communiquer.

votre avatar

Je ne connais pas le cas de l’histoire irlandaise dont tu parles, mais si un contrat stipule clairement des conditions et qu’elles ne sont pas respectées, ça s’attaque en justice et ça se dénonce (le contrat).
J’imagine mal MS signer le contrat s’ils savent qu’ils ne pourront pas le respecter.

votre avatar

Elle est pourtant célèbre et on en a parlé beaucoup ici. On peut lire sur Wikipedia que le CLOUD Act a été voté alors que le cas était soumis à la Cour Suprême afin d’obliger Microsoft à céder avec ce nouveau texte, ce qui a été fait.

votre avatar

Ça me disait quelque chose évidemment mais je ne me souviens pas des détails et des choses qui avaient été contractualisées au départ. À la lumière de cette histoire, on peut supposer raisonnablement que le ministère de la Santé ne va pas signer n’importe quoi. Ils ne sont pas plus bêtes que nous.

votre avatar

Le “cloud act” à mis fin au combat judiciaire avec Microsoft car il remplace la loi qui était disputer dans ce dossier et qui donc n’existe plus.



Donc: fin des procédures.



Mais la nouvelle loi s’appuie sur des accord internationaux qui n’existent pas encore et n’est donc pas opposable au sociétés pour le moment pour l’accès à des données stockées hors US.

votre avatar

après le coup de tonnerre de l’annulation du Privacy Shield. Cher O, j’espère que le coup de tonnerre ne t’as pas fait sursauter et que tu n’as pas été surpris de l’entendre. En effet, le Privacy Shield était en zone orageuse depuis le début. Il ne faut pas nous raconter une histoire. Sinon, c’est :sm:

votre avatar

(reply:1829552:Paul Muad’Dib)


Oui mais ca n’a rien à voir avec le privacy shield.
Et OVH étant présent aux USA, ils sont aussi soumis au cloud act.

votre avatar

Le OVH aux USA est une structure totalement indépendante du OVH français. Il a été conçu dès le début pour être étanche d’un point de vue capitalistique et donc le OVH français n’a aucun compte à rendre aux USA.

votre avatar

:chinois: intéressant et bien pensé.

votre avatar

(quote:1829552:Paul Muad’Dib)
C’est tellement hypocrite de voir les Américains (et leurs alliés Occidentaux d’ailleurs) dénoncer la main mise du gouvernement chinois sur Huawei alors qu’ils font exactement la même chose…


Tout est dans “et leurs alliés”.
Les Chinois ne sont pas vraiment nos alliés. Quoiqu’on pense des américains, avec qui on est aussi en concurrence (tout comme nos voisins européens), c’est une énorme différence.

votre avatar

Lamateh a dit:


Non le gouvernement américains a le droit de demandé a toutes entreprises qui travaille sur sont territoire, que le siège sociale soit au USA ou dans un autre états. (Foreign Intelligence Surveillance Act (Fisa) et l’Executive Order 12333)

OlivierJ a dit:


Un responsable du programme du côté du ministère de la Santé a répondu à ce point en disant que le contrat spécifiait bien clairement que les données étaient en Europe et qu’elles ne pouvaient en aucun cas être transférées en-dehors de l’UE. En pratique les serveurs concernés ici sont aux Pays-Bas. À suivre…


Voir nextinpact.com Next INpact:




On ne divulgue rien, sauf quand on doit divulguer



Mais le principal apport de ses observations concerne les traitements qui seraient réalisés cette fois à la demande des services de renseignement américains. Sur ce point, l’avenant au contrat précise que Microsoft « ne divulguera ni ne donnera accès à une quelconque donnée traitée aux autorités, sauf si la loi l’exige ».



Problème, le FISA ou Foreign Intelligence Surveillance Act prévoit à sa section 702 offre un levier aux services pour se voir fournir des fournisseurs américains des renseignements relatifs à des personnes situées en dehors des États-Unis. De même l’Executive Order 12 333 orchestre des techniques d’interception sur les signaux par les services, sans nécessairement appeler l’assistance des entités soumises au droit national.



Le FISA comme l’EO 12 333 ont été l’un et l’autre mis à l’index par la justice européenne. Et la CNIL de craindre sans mal que Microsoft peut toujours être soumise « à des injonctions des services de renseignement l’obligeant à leur transférer des données stockées et traitées sur le territoire de l’Union européenne ».



Sur ce point, le RGPD est limpide. Il prévoit que « toute décision d’une juridiction ou d’une autorité administrative d’un pays tiers exigeant d’un responsable du traitement (…) qu’il transfère ou divulgue des données à caractère personnel ne peut être reconnue ou rendue exécutoire de quelque manière que ce soit », sauf hypothèse d’un accord international.



L’UE n’ayant pas de tel accord avec les États-Unis, la CNIL estime que ces demandes s’analysent comme des « divulgations non autorisées par le droit de l’Union ».


votre avatar

OlivierJ a dit:


J’imagine mal MS signer le contrat s’ils savent qu’ils ne pourront pas le respecter.


C’est touchant de naïveté …

votre avatar

C’est pas de la naïveté, c’est du réalisme. Et c’est supposer qu’ils vont prendre le risque, et supposer aussi que le contractant côté français est idiot. On a l’ANSSI et la DGSI pour conseiller l’État, entre autres, sur ce genre de question.

Après l’invalidation du Privacy Shield, le Health Data Hub transféré de Microsoft à des plateformes européennes ?

Fermer