Selon le site TicSanté, le conseil de la CNAM s’oppose « à un transfert d’une copie du Système National des Données de Santé sur la solution actuelle d’hébergement du Health Data Hub », actuellement gérée par Microsoft.
La prise de position s’est concrétisée le 4 février dernier, lors de la lecture d’une déclaration par le président du conseil, Fabrice Gombert.
Toujours selon le site spécialisé, « la nouvelle version du projet de décret encadrant le Health Data Hub (…) prévoit une obligation d’hébergement des données du SNDS dans l’Union européenne (UE) ».
Le mouvement a été initié à la suite d’un arrêt de la Cour de justice de l’Union européenne invalidant en 2020 le Privacy Shield, l’accord EU-États Unis qui permettait de fluidifier les transferts de données à caractère personnel vers l’autre rive de l’Atlantique.
Suite à cette décision, le Conseil d’État a exigé des correctifs face au risque de surveillance américaine sur les données de santé, le risque n’étant pas réduit à zéro.
De son côté, en novembre dernier, le ministre de la Santé Olivier Véran s’est engagé auprès de la Commission nationale de l’informatique et des libertés (CNIL) à mettre un terme, d’ici deux ans, à l’hébergement par Microsoft de la plateforme.
Un délai jugé bien trop long pour le député Philippe Latombe.
« Les données ne sont pas transférées hors de l'UE même avec Microsoft Azure. Le décret n'interdit pas le recours à Microsoft, mais cela doit être correctement encadré, c'est ce que nous faisons avec les avenants contractuels tout en travaillant sur une trajectoire souveraine » a tempéré Stéphanie Combes, directrice du Health data hub.
Commentaires (19)
#1
Je comprends pas bien, on autorisera quand même l’hébergement par une entreprise américaine, soumise au patriot act, dans un data center en union européenne ?
En gros on a déplacé la porte, mais elle est connecté sur internet et des tiers en dehors de l’UE peuvent toujours obtenir les clés …
#1.1
Hello, de ce que j’ai compris (à confirmer car je suis loin de bien connaître le sujet), nos données de santé actuelles sont gérées par le service de Microsoft, qui prétend que rien ne va aux USA, et en réponse aux diverses demandes, le ministre de la santé propose d’héberger les données en Europe, mais pas de suite : il donne un délai de 2 ans, jugé trop long par d’autres.
Ce que je me pose comme question : quelles types de données de santé transitent vers ce système ? Les simples consultations ? Y a-t-il obligation de remplir un formulaire pour donner son consentement ou est-ce fait “discretos” (genre dans les conditions générales de AMELI ou autre) sans que le patient ne le sache clairement ? Merci
#2
Bonjours. Comme DKman je me suis toujours poser la question de cette logique d’hébergement de données en Ue pour les entreprises ricain et autre. Tous les serveurs sont connectés. Donc rien n’empêche une entreprise de faire sortir les données chez eux malgré tout (surtout avec le cloud act)
#3
“Héberger en EU” est bien trop large. Microsoft a des centre de données en EU, mais vu que c’est une entreprise américaine soumis au Cloud Act, toutes les promesse et mesure qu’il mettra en place ne seront d’aucune utilité si la justice/NSA veux récupérer les données.
“Hébergé en EU, non soumis a une loi extra territoriale” serais déjà mieux
#4
L’UE devrait aller plus loin et obliger les fournisseurs cloud hors UE à crée des filiales européennes non soumises au droit US.
Là dessus les chinois, les russes et les indiens ont raison d’aller plus loin que nous.
#5
Filiale et non soumise au droit US, c’est incompatible.
Il faut faire dans l’UE comme OVH l’a fait pour les US, créer une société sans lien capitalistique avec la société US, donc, ce n’est pas une filiale.
#5.1
Pardon de l’abus de langage.
Les 2 entreprises peuvent être lié par une licence de marque et de savoir-faire et se connecter financièrement par des royalties ou des prestations de service.
Ce ne sera pas une « filiale » mais la représentante des services de la société sur le territoire UE.
#6
Au final on se rend bien compte qu’on s’est arrêté en chemin entre la situation ex-ante de libre échange intégral sans obligations spécifiques et celle d’un vrai protectionnisme numérique qui aurait le mérite de mieux nous protéger.
Dans l’absolu, peut être aurions nous intérêt à obliger la création de coentreprises dans des domaines stratégiques pour garder le contrôle sur ces marchés et développer nos capacités techniques et économiques ?
Je pose ouvertement la question.
#7
La CNIL l’a recommandé peu de temps après en octobre ou novembre, pas de M$ ou Amazon ou autre boite Etats-Unienne pour les données de santé. Soit faut faire un bout de papier qui interdit tout transfert vers les US avec le prestataire de service (dans le cas de sous traitant), soit faut migrer vers autre chose.
#8
Les données du health data hub sont déjà stockés en france à paris pour être exact il y a un replica sur marseille.
#8.1
ça reste du Microsoft Azure
#8.2
De toute façon soumis au même régime du PatriotAct, qui est une loi extraterritoriale s’il fallait le rappeler, auquel sont soumis tous les groupes Américains…
#9
l’ideal serait une méthode a la chinoise, ok service microsoft mais géré par l’entreprise X qui est une entreprise européenne, du coup la nsa ou les ricain envoi une demande l’entreprise X répond NOPE et rien ne pourra les contraindre.
Ca reste un bon compromis pour MS qui récupère 90% de la somme (10% étant absorbé pour les frais de fonctionnement) plutot que 100% de que dalle.
et nous on guarde l’avantage des produits ricain tout en ayant la protection d’une entreprise EU comme guarde fous
#9.1
C’est un bon modèle, et on permet à l’entreprise française qui met en œuvre la techno US de réaliser des transferts de technologie, cela peut être prévu par contrat ou par la loi. On pourrait rattraper notre retard grâce à ce genre de politiques.
#9.2
En effet solution intéressante, mais qui nécessiterait un audit du code très rigoureux et couteux. Autant développer une alternative européenne qui éviterait en plus la fuite de capitaux.
#10
C’est une très bonne chose, je trouve ça dingue que l’on puisse laisser nos données hébergées par des sociétés américaines qui peuvent les utiliser à leur guise.
#11
C’est vrai que c’est un écran de fumée cette disposition.
Pire: cela impose d’isoler physiquement les serveurs US (il parait; je n’ai pas vérifié, que si une entité type CIA, NSA ou autre, veut accéder physiquement aux serveurs hors territoire américain, non seulement ils ont le droit, mais s’octroie aussi le droit de perquisitionner tous les autres équipements se trouvant dans la même salle que leurs serveurs…)
Question: est-ce que cela s’applique aux Apple (Watch), Fitbit, et cie, qui proposent des solutions d’auto surveillance et quantification personnelles assez poussées?
#12
Encore faudrait-il avoir des prestataires de serveur européen à la hauteur.
Nous sommes clairement à la ramasse sur ce sujet derrière AWS, GCP et Azur qui investissent des milliards chaque année, et forcer le passage des données de santé sur des serveurs de boîtes européennes signerait l’arrêt de mort de la e-santé européenne, et notamment des startups qui sont massivement sur AWS et GCP.
J’ai pas l’impression que cela soit au bénéfice des patients.
Et puis quelle base juridique ? Comment gère-t-on les filiales de ces groupes ? Que se passe-t-il si ces groupes rachètent les hébergeurs européens, et ainsi de suite…
Enfin un sujet petit technique quand même : si je suis à Singapour en voyage, que je dois faire une télé-consultation ou un télé-suivi avec un médecin français et que mes données ne peuvent être hébergées qu’en Europe, ça risque de pas être terrible niveau latence…
Il y a une vieille règle en prévention qui veut qu’il ne faut pas qu’elle coûte plus cher en conséquences que le risque qu’elle prévient.
Là en l’espèce le risque c’est la revente de données à des 1⁄3 qui ne pourraient pas les exploiter en Europe… Bon.
Avant de réglementer sur tout ça, que les Etats facilitent l’investissement ou investissent eux-mêmes déjà massivement dans les infrastructures / fermes de serveurs / PAAS en Europe que l’on rattrape notre retard (si c’est possible…) et on en reparle.
#13
oui et non, suffi d’un audit simple pour vérifier qu’il n’y a pas de phone home.
Et developé une alternative c’est stéril car les entreprises sont bien impléntée chez les pro.