Dans une tribune publiée dans le Monde, un collectif initié par des professionnels du secteur et de l’informatique médicale affirme que « l’exploitation de données de santé sur une plateforme de Microsoft expose à des risques multiples ».
Le collectif explique que « le gouvernement français propose le déploiement d’une plateforme nommée Health Data Hub (HDH) pour développer l’intelligence artificielle appliquée à la santé ».
Or, « il est prévu que ces données soient stockées chez Microsoft Azure, cloud public du géant américain Microsoft. Ce choix est au centre de nos inquiétudes ». À cause du Cloud Act qui permet à la justice américaine d’accéder aux données de sociétés américaines stockées n’importe où dans le monde.
« Concrètement, les patients pourraient être soumis à une rupture du secret médical, ce qui constitue un danger aussi personnel que symbolique, l’intégrité du serment d’Hippocrate étant remise en cause », indique le collectif
Il ajoute : « Bien que les données hébergées par le HDH soient désidentifiées, l’anonymat complet est impossible, car il suffit de croiser un nombre limité de données pour réidentifier un patient ».
Ce n’est pas tout : « la base de données médico-administrative du Système national des données de santé (SNDS), intégrée dans le HDH, a été critiquée par la CNIL pour l’obsolescence de son algorithme de chiffrement ».
Commentaires (14)
#1
Très bonne réflexion, pas assez de gens pensent à Cloud Act et Partiot Act alors que cela a un impact énorme,la France et l’Europe devraient y prêter une attention extrême et donc utiliser les services/technologies en interne,même si au début cela signifie coûter plus cher, moins fiable, moins performant car cela est moins important que le contrôle des données et donc de l’information.
#2
Enfin ils se réveillent
#3
Enfin, les non-technophiles se posent les questions de souveraineté numérique … il était temps vindieu!
#4
Pourtant Azure a la certification HDS (Hébergeur de Données de Santé).
Est-ce que ce collectif remet la certification en question ?
#5
Je ne pense pas qu’ils l’ignorent, mais pour l’instant on a jamais eu de cas concret où des données “protégées” par la certification HDS ont été demandé par les US sous couvert du Cloud Act.
Du coup tant qu’il n’y a pas eu de précédent, impossible de savoir si les données sont effectivement protégées du Cloud Act par HDS.
#6
Respecter les normes ISO 27001, 27018 et 20000 ne protège pas du Cloud Act. A noter que s’il fonctionne sous mandat, chaque demande est automatiquement acceptée ; l’exception étant littéralement… exceptionnelle.
#7
Je parlais en général : tu pourrais me glisser une source ? Ca m’intéresse :-)
#8
J’ai pas forcément de sources ni une connaissance élaboré du sujet, mais je pense que ce court article qui a été écrit juste après la mise en place du Cloud Act (et 2 mois avant le RGPD) soulevait déjà les mêmes inquiétudes vis a vis de l’hebergement de donnée de santé sur des plateformes détenu par des société américaines (Azure ou AWS pour les plus gros)
Donc mon hébergeur HDS stockant les données des patients (en majorité français) de mon établissement, de plus sur le sol français, censé respecter le RGPD, est également dans l’obligation de donner accès aux données que je lui ai confié, au gouvernement américain si celui-ci lui demande, et ce avant même que le RGPD entre en application.
#9
« L’obsolescence de son algorithme de chiffrement », c’est-à-dire ? DES ?
" />
#10
Oh désolé, je savais que j’aurais du préciser –’
“on a jamais eu de cas concret où des données “protégées” par la certification HDS ont été demandé par les US sous couvert du Cloud Act”
Je dirai pas non à une liste ou un bilan des mandats Cloud Act
Mon précédent message semblait pourtant montrer que je partage ces inquiétudes. Et effectivement le court article résume très bien la problématique
#11
Dans ce cas je t’invite à chercher la raison de la signature du Cloud Act : Microsoft qui refusait de donner des données email d’un individu car les serveurs sur lesquels étaient les données était situé en Irlande. Microsoft considérait donc que la juridiction américaine ne leur permettait pas d’accéder aux données. Le combat juridique à durer 2 ans et a finis lorsque le Cloud Act a été signé.
Lien vers l’historique juridique de microsoft vs United States. Si tu regardes dans la partie ou il y a la trace des documents, on voit que 7 jours après l’approbation du Cloud Act (le 23 Mars 2018), les 2 partis (Microsoft et Unite States) ont communément accepté d’ignorer les précédents jugements (vacate a judgment?) et rejeter la procédure (dismissed as moot?)
C’est je crois l’exemple le plus flagrant qu’on ai eu a ce jour du Cloud Act.
Après des cas ou le Cloud Act a été publiquement utilisé je ne pense pas qu’il y en ai eu. Le cloud act permet justement aux autorités américaines de ne pas avoir recours a la justice (américaine ou n’importe quel pays) pour obtenir des données depuis les entreprises américaine de manière complètement silencieuse.
#12
Pourquoi ne pas utiliser OVH? Au moins ils peuvent garantir la non-application du Cloud Act
#13
3DES je crois que c’est ce qu’utilise Sesam Vitale dans cette partie de son fonctionnement.
#14
Lobbies !