La CNIL autorise Microsoft à héberger les données de santé des Français !
La CNIL a officiellement autorisé le fournisseur américain Microsoft à héberger les données de santé des Français. Cette autorisation est donnée dans le cadre d'un projet nommé EMC2. Voici ce qu'il faut savoir sur cette décision.
Cet accord intervient dans le cadre d'un projet nommé "EMC2" et qui a pour objectif de créer une plateforme européenne pour l'entrepôt de données de santé, au même titre que la plateforme "Health Data Hub" lancée par la France elle-même en 2019. D'ailleurs, il faut rappeler que Microsoft est l'hébergeur actuel de la plateforme Health Data Hub.
Pour les Français, la plateforme EMC2 sera utilisée pour stocker les données de santé de l'Assurance Maladie (parcours de soin, ordonnances, etc.), mais aussi celles des patients de quatre hôpitaux dans un premier temps : Hospices civils de Lyon, centre Léon Bérard, CHU de Nancy et Fondation-hôpital Saint-Joseph.
La CNIL a pris sa décision depuis le 21 décembre 2023, et ce 31 janvier 2024, elle vient d'être officiellement annoncée et validée par l'intermédiaire d'une publication sur le site Légifrance. Ainsi, Microsoft est l'hébergeur officiel de la plateforme EMC2 pour les trois prochaines années.
Pourtant, la CNIL a essayé et elle a des regrets
En effet, trois fournisseurs de services Cloud français ont été évalués afin de déterminer s'ils pouvaient assurer l'hébergement de cette plateforme européenne, à la place de Microsoft : OVHcloud, Numspot, et Cloud Temple. L'objectif étant d'avoir un hébergeur non soumis aux lois extraterritoriales et de s'appuyer sur un Cloud souverain. Résultat : ce ne sont pas des solutions Cloud suffisamment avancées pour envisager de remplacer Microsoft. Aïe.
D'après le site 01Net, la CNIL « déplore qu’aucun prestataire susceptible de répondre actuellement aux besoins exprimés par le HDH ne protège les données contre l’application de lois extraterritoriales de pays tiers ».
D'un point de vue du droit, le fait que Microsoft héberge les données de santé des Français et des Européens via le Cloud Azure signifie qu'elles sont potentiellement accessibles aux services de renseignements américains, même si elles sont hébergées sur des datacenters situés en Europe.
Personnellement, je m'interroge... Si l'on souhaite que les données soient hébergées par un fournisseur français ou européen, pourquoi le projet n'a-t-il pas été pensé différemment dès le départ pour leur donner une chance ? Quid de l'intérêt de la certification de sécurité SecNumCloud car, par exemple, OVHcloud détient bien cette certification....
Tout cela est de la magouille. J’ai déjà assisté à la main mise de Microsoft dans un grand organisme de recherche français. Le business est simple : Microsoft promet un tarif très bas en échange des données. Microsoft arrose tous les acteurs de la négociation, je l’ai vu de mes propres yeux.
Pareil, dans l’hospitalier c’est sans appel, les prix des licences ont été très très bas pendant de nombreuses années, le ministère de la santé est le dernier à avoir une dérogation d’utiliser les suites Microsoft.
Beaucoup d’anciens de Microsoft embauchés ici + cooptation très importante.
Tout est full M$, les habitudes sont ancrées chez le personnel, et du coup complexe de tout changer… mais le prix des licences à flambé. Obligation de passer de Skype (hébergé en local) et Teams (hébergé dans le cloud), toutes les réunions, stratégiques ou non sont récupérable par nos amis US…
Bref, on mange dans la main des ricains depuis des années. Et si on tente autre chose on ira lécher le luc des Chinois… l’Europe numérique est en déclin complet, devancé par USA, Chine, Inde, Israël (ils sont très très fort leur éditeurs), on est encore devant l’Afrique, mais combien de temps :-/
Précisez que le commanditaire est venu accompagné de Microsoft auprès des hébergeurs français pour faire du AKS managé SecNumCloud…. donc toujours piloté par Azure. Déjà niveau design exigence on n’est pas conforme SNC, ça met fin au débat.
Il y a une pétition qui a été montée à ce sujet, voici le lien : https://www.mesopinions.com/petition/politique/sortons-nos-donnees-sante-microsoft/227401?source=social&tmstp=1706889537&p=sharing
En espérant que le fait de la signer puisse réellement remettre en question la décision de la CNIL.
Je suis étonné que dans l’affaire l’ANSSI n’ai pas un rôle à jouer, je pense qu’ils auraient bien défendu le fait que les acteurs cloud Français sont capable de répondre aux besoins.
Le problème est que les acteurs Francais utilisent les produits Américains de virtualisation sur leurs serveurs (vmWare, HyperV, google, etc.), les Américains auront donc aussi accès aux infras sur les hébergeurs Francais…