La CNIL a rendu son rapport au Conseil d’État le 8 octobre : au vu de l’invalidation du Privacy Shield par la cour européenne, les données de santé française ne doivent plus êtres hébergées par les services de Microsoft.
Health Data Hub : l’intelligence artificielle au cœur de la recherche
En 2018, le rapport Villani sur l’intelligence artificielle mettait en avant le besoin de la France de développer la recherche sur l’utilisation de l’intelligence artificielle dans le domaine de la santé.
Afin de faciliter et d’accélérer le travail des chercheurs, le gouvernement a mis en place en 2019 la plateforme Health Data Hub compilant des données de santé provenant du SNDS (Système National des Données de Santé), ainsi que des données provenant des hôpitaux ou d’autres métiers et organismes liés à la santé de santé.
Une solution d’hébergement contestée
Le gouvernement français a fait appel à la solution de cloud Microsoft Azure pour l’hébergement de la plateforme Health Data Hub.
Cette décision a beaucoup inquiété lors de son adoption, en effet, Le cloud Microsoft est soumis au Cloud Act, et depuis l’invalidation du Privacy Shield par la cour européenne, l’hébergement des données de santé des français sur les serveurs de Microsoft est très fortement contesté, d’autant que Microsoft a en sa possession les clés de déchiffrements des données du HDH.
En effet, les données personnelles qui sont stockées dans le Health Data Hub sont considérées comme sensibles au regard du RGPD, c’est pourquoi un collectif regroupant entre autres des professionnels de la santé et des organisations du monde du logiciel libre a déposé un recours devant le juge administratif demandant le retrait des données des serveurs Microsoft, estimant que les données contenues dans le Health Data Hub sont transférées illégalement aux États Unis.
Le verdict de la CNIL
La CNIL, autorité de contrôle chargée de surveiller l’application du RGPD sur le territoire français, a transmis un mémoire au Conseil d’État ce 8 octobre, dans lequel elle demande aux différents acteurs stockant des données de santé, de cesser de confier leur hébergement à Microsoft, comme à toute société dépendant du droit des États-Unis.
Elle argumente en effet que même en l’absence de transmission des données en dehors du territoire ou de l’Union Européenne, « La société Microsoft peut être soumise […] à des injonctions des services de renseignement l’obligeant à leur transférer des données stockées et traitées sur le territoire de l’Union européenne ». Il en résulte, selon elle, une illégalité pour le Health Data Hub et les entrepôts de données de santé hébergées par des acteurs soumis au droit états-unien.
Une problématique allant au delà des données de santé
À noter que la CNIL précise dans son mémoire qu’elle « n’est pas sans ignorer que cette situation […] dépasse largement le cadre du seul Health Data Hub ».
Mais elle réserve pour le moment « son appréciation des conséquences qu’il convient d’en tirer dans d’autres secteurs et pour d’autres données présentant une moindre sensibilité ».
Vers de prochains appels d’offre
La CNIL rappelle donc l’obligation légale de l’arrêt de l’hébergement des données de santé françaises par Microsoft ou de toute société soumise au droit des États-Unis dans un délai « aussi bref que possible » et propose l’aménagement d’une période transitoire, afin de s’assurer de l’intégrité des données de la plateforme au moment de la migration, et dans l’attente de la consultation dans le cadre de la législation sur les contrats et marchés publics.