« Nous travaillons avec Olivier Véran, après le coup de tonnerre de l'annulation du Privacy Shield, au transfert du Health Data Hub sur des plates-formes françaises ou européennes ». Au Sénat, devant la Commission d'enquête sur la gestion de la crise Covid-19, Cédric O a révélé travailler à la relocalisation de ce service entre les mains d’acteurs européens (l’article de Public Sénat).
Microsoft, assure le secrétaire d’État, était lors du lancement « le seul capable de répondre aux prérequis au moment où la consultation a été faite ».
SantéNathon, comme l’indique InterHop, « dénonce le choix de Microsoft essentiellement à cause de l’absence d’appel d’offres et des effets de l’extraterritorialité du droit américain ».
Il a porté ses arguments devant le Conseil d’État. Une audience était organisée hier.
Le dossier a été relancé suite à l’invalidation du Privacy Shield, principal véhicule destiné à permettre aux entreprises d’exporter les données personnelles aux États-Unis. La CJUE a par la même occasion encadré au cordeau les clauses contractuelles types, exigeant des prestataires un haut niveau de sécurité.
Présent à l’audience, Jean-Paul Smets, PDG de Nexedi et membre du collectif, rapporte que le ministère de la Santé a expliqué « qu'il n'y a pas d'alternative à Microsoft pour le HDH ». L’exécutif a mis en garde « contre une décision qui aurait des conséquences désastreuses au-delà du HDH ».
« Je retiens de cette audience l'expression par l'État de sa crainte de privilégier les libertés plutôt que les entreprises américaines » commente Jean-Paul Smets.
Ces vœux en faveur d’un tel rapatriement ont déjà été partagés par la CNIL et l’ANSSI. Mediapart indique que « la commission a transmis au Conseil d’État un mémoire demandant à l’ensemble des acteurs de cesser de confier leur hébergement à Microsoft ou toute autre société soumise "au droit étatsunien" » ce jeudi 8 octobre.
Selon nos informations, l’ordonnance doit être rendue la semaine prochaine.
Commentaires (24)
#1
Ah ce feuilleton exceptionnel.
C’est exactement comme les recrutements pour lesquels on a déjà choisi le candidat, sauf que là on ne publie même pas l’offre (puisque le candidat de notre choix est le seul à correspondre).
Tout ça pour des broutilles : les données santés de la population Française.
Non vraiment tout concorde à ce qu’on aie entièrement confiance
#1.1
T’es mauvaise langue, c’est pas parce qu’on impose que l’os doit etre entièrement compatible avec des softs compatible uniquement windows que c’est forcement microsoft avec son os qui vont etre choisi, laisse toi pénétré par la magie un peu
#2
“Pénétrer” est le mot juste
#3
Mais Microsoft ayant des serveurs en France et en Europe, la solution la plus simple serait pas juste de rapatrier les données ?
#4
Les services de renseignement américains peuvent accéder aux données traitées par des entreprises américaines quelle que soit leur localisation, c’est bien le principe de l’extra-territorialité du droit américain.
Héberger des données (réellement) sensibles/confidentielles chez un acteur américain même en France ou dans l’UE c’est juste scier la branche sur laquelle on est assis, littéralement.
C’est tellement hypocrite de voir les Américains (et leurs alliés Occidentaux d’ailleurs) dénoncer la main mise du gouvernement chinois sur Huawei alors qu’ils font exactement la même chose…
#5
Et le pire, c’est que Microsoft est incapable de déterminer lui-même où sont hébergées les données, d’après ses dires, entre les données de transit, les données de facturation, les données de télémétrie, les données au repos. Il est incapable d’identifier ce qui est hébergé en France et en Europe et ce qui part aux US…
#5.1
C’est totalement faux.. et tout ça est d’ailleurs documenté…
Google en était incapable il y a quelques années, mais les règlementations aidant.. ils doivent avaoir améliorer ce point.
#6
Disons que moi aussi je sais rédiger des appels d’offre publics tellement bien ficelés que seule la boite que j’ai retenue est en mesure de répondre, et si jamais un concurrent se pointe, une ch’tite ristourne sur le tarif et c’est joué.
Mais bon, on est dredi et je chipote
#7
Non le gouvernement américains a le droit de demandé a toutes entreprises qui travaille sur sont territoire, que le siège sociale soit au USA ou dans un autre états. (Foreign Intelligence Surveillance Act (Fisa) et l’Executive Order 12333)
#8
Je suis d’accord, tu vas avoir une entreprise qui va venir ayant réussi à faire fonctionner les applis entièrement à travers Wine, il y a du pognon à ce faire avec un peu de dev
#9
Un responsable du programme du côté du ministère de la Santé a répondu à ce point en disant que le contrat spécifiait bien clairement que les données étaient en Europe et qu’elles ne pouvaient en aucun cas être transférées en-dehors de l’UE. En pratique les serveurs concernés ici sont aux Pays-Bas.
À suivre…
#9.1
Et c’est qui le plus fort pour obliger Microsoft à le suivre : les USA ou le ministère de la santé français ?
Dans le cas d’un e-mail hébergé en Irlande, c’est la justice des États-Unis qui avait gagné et obligé Microsoft à le communiquer.
#9.2
Je ne connais pas le cas de l’histoire irlandaise dont tu parles, mais si un contrat stipule clairement des conditions et qu’elles ne sont pas respectées, ça s’attaque en justice et ça se dénonce (le contrat).
J’imagine mal MS signer le contrat s’ils savent qu’ils ne pourront pas le respecter.
#9.3
Elle est pourtant célèbre et on en a parlé beaucoup ici. On peut lire sur Wikipedia que le CLOUD Act a été voté alors que le cas était soumis à la Cour Suprême afin d’obliger Microsoft à céder avec ce nouveau texte, ce qui a été fait.
#9.4
Ça me disait quelque chose évidemment mais je ne me souviens pas des détails et des choses qui avaient été contractualisées au départ. À la lumière de cette histoire, on peut supposer raisonnablement que le ministère de la Santé ne va pas signer n’importe quoi. Ils ne sont pas plus bêtes que nous.
#9.5
Le “cloud act” à mis fin au combat judiciaire avec Microsoft car il remplace la loi qui était disputer dans ce dossier et qui donc n’existe plus.
Donc: fin des procédures.
Mais la nouvelle loi s’appuie sur des accord internationaux qui n’existent pas encore et n’est donc pas opposable au sociétés pour le moment pour l’accès à des données stockées hors US.
#10
après le coup de tonnerre de l’annulation du Privacy Shield. Cher O, j’espère que le coup de tonnerre ne t’as pas fait sursauter et que tu n’as pas été surpris de l’entendre. En effet, le Privacy Shield était en zone orageuse depuis le début. Il ne faut pas nous raconter une histoire. Sinon, c’est
#11
Oui mais ca n’a rien à voir avec le privacy shield.
Et OVH étant présent aux USA, ils sont aussi soumis au cloud act.
#11.1
Le OVH aux USA est une structure totalement indépendante du OVH français. Il a été conçu dès le début pour être étanche d’un point de vue capitalistique et donc le OVH français n’a aucun compte à rendre aux USA.
#11.2
intéressant et bien pensé.
#12
Tout est dans “et leurs alliés”.
Les Chinois ne sont pas vraiment nos alliés. Quoiqu’on pense des américains, avec qui on est aussi en concurrence (tout comme nos voisins européens), c’est une énorme différence.
#13
Voir https://www.nextinpact.com/article/44100/hebergement-donnees-sante-cnil-rejette-choix-microsoft :
#14
C’est touchant de naïveté …
#14.1
C’est pas de la naïveté, c’est du réalisme. Et c’est supposer qu’ils vont prendre le risque, et supposer aussi que le contractant côté français est idiot. On a l’ANSSI et la DGSI pour conseiller l’État, entre autres, sur ce genre de question.