Après le drame du Health Data Hub (HDH) démarré en 2019 avec Microsoft avant d'être mis en pause en 2022 puis relancé en mai 2023 toujours sur le cloud de l'éditeur américain au moins jusqu'au 3e trimestre 2025, la Cnil vient de remettre une pièce dans la machine. Non pas du HDH en tant que tel mais sur le fait de valider la création d'un entrepôt de données de santé basé sur du traitement automatisé de données personnelles (sexe, mois et année de naissance, commune de résidence...) encore une fois hébergé sur le cloud de la firme de Redmond. Il faut dire à sa décharge qu'il a bien de l'expérience en la matière.
De quoi s'agit-il exactement cette-fois ci ? Le régulateur a été saisi par le groupement d’intérêt public plateforme des données de santé (GIP PDS) d’une demande d’autorisation concernant un traitement automatisé de données à caractère personnel ayant pour finalité la constitution d’un entrepôt de données dans le domaine de la santé. Baptisé EMC2, il a pour but de faire avancer la recherche pharmaco-épidémiologique sur les effets à long terme des traitements médicaux. Dans une délibération du 21 décembre 2023, publiée seulement ce 31 janvier 2024 au Journal Officiel, on apprend que la Cnil a ainsi donné son accord et validé le choix du GIP PDS de confier à Microsoft son hébergement. « Les données de l’entrepôt seront conservées dans les centres de données de Microsoft situés en France », peut-on lire dans la décision. Mais en même temps : « Il résulte des informations communiquées que, compte tenu du contrat passé avec Microsoft et du fonctionnement des opérations d’administration de la plateforme technique, il est possible que des données techniques d’usage de la plateforme (qui ne révèlent aucune information de santé) soient transférées vers des administrateurs situés aux États-Unis ».
Un manque de prestataires européens regrette la Cnil
Sur ce dernier point, la Cnil se veut rassurante : « ces transferts de données vers les États-Unis sont encadrés par les clauses contractuelles types de la Commission européenne. Les personnes devront être spécifiquement informées de ces transferts ». Mais c'est un peu moins le cas s'agissant des risques d'accès par les autorités américaines : « L’hébergeur retenu par le GIP PDS appartient à un groupe dont la société mère est située aux États-Unis et soumise au droit de cet État. De ce fait, en application de cette législation, les autorités états-uniennes sont susceptibles d’adresser à Microsoft des injonctions de communication des données qu’il héberge [...] Il n’en reste pas moins que les données stockées par un hébergeur soumis à un droit extra-européen peuvent être exposées à un risque de communication à des puissances étrangères ».
Loin de se sentir en porte à faux, le régulateur profite de sa décision pour un joli coup de pied l'âne à qui de droit : « la Cnil déplore qu’aucun prestataire susceptible de répondre actuellement aux besoins exprimés par le GIP PDS ne protège les données contre l’application de lois extraterritoriales de pays tiers [...] De manière générale, elle regrette que la stratégie mise en place pour favoriser l’accès des chercheurs aux données de santé n’ait pas fourni l’occasion de stimuler une offre européenne à même de répondre à ce besoin ». Le contrat liant le GIP PDS à Microsoft court pour une durée de 3 ans.