• Contenus gratuits
  • Notre offre
Menu
  • Ressources
    • Toutes les ressources
  • Infos
    • Toutes les infos
  • Essentiels
    • Tous les essentiels
  • Analyses
    • Toutes les analyses
  • Data
    • Data
  • Newsletters
  • Profil
    • Je teste 15 jours
    • Je me connecte
  • Profil
    • Mon profil
    • Je me déconnecte
CLOSE

Accueil > Industrie > L’hébergement d’EMC2 par Azure : imbroglio juridique et technique

L’hébergement d’EMC2 par Azure : imbroglio juridique et technique

Le Health Data Hub a choisi de recourir au cloud Azure de Microsoft pour héberger l’entrepôt de données de santé EMC2. La Cnil a autorisé fin janvier cet hébergement provisoire, exprimant toutefois une profonde réserve. Cette décision réanime le débat autour de la souveraineté des données de santé, auquel s’est joint l’Internet Society France, la première association à déposer un recours en annulation devant le Conseil d’État.

Par Clarisse Treilles. Publié le 04 mars 2024 à 15h28 - Mis à jour le 04 mars 2024 à 15h35
  • Ressources

La Cnil a autorisé l’hébergement temporaire chez Microsoft d’un entrepôt de données de santé alimenté notamment par l’Assurance maladie, dans une délibération en date du 21 décembre et publiée le 31 janvier 2024 sur Légifrance. Par cette décision, le groupement d’intérêt public “Plateforme des données de santé” (GIP PDS), plus connu sous le nom du Health Data Hub, est autorisé pour trois ans à mettre en œuvre un traitement automatisé de données à caractère personnel ayant pour finalité la constitution d’un entrepôt de données de santé à des fins de recherche et d’évaluation, dénommé EMC2. 

Teintée de réserve, la délibération de la Cnil a fait réagir l’Internet Society France (ISOC), qui a annoncé le 13 février dernier avoir déposé un recours devant le Conseil d’Etat pour obtenir l’annulation de la délibération de la Cnil. S’il s’agit du premier recours déposé pour demander l’annulation pure et simple de cette décision, il doit servir “d’électrochoc avec une visée pédagogique” a souligné Nicolas Chagny, président de l’ISOC, à mind Health. “Nous ne pouvons pas nous contenter de cette décision. Nous voulons inciter les pouvoirs publics à se remettre autour de la table avec les acteurs, pour faire monter des fournisseurs européens face aux Gafam” a ajouté Nicolas Chagny, pointant du doigt l’attitude “défaitiste” des pouvoirs publics.

“Il faut saluer le courage de l’ISOC qui est le premier à s’exposer. C’est également le premier à avoir eu le courage de la nuance”, a déclaré à mind Health Me France Charruyer, avocate associée et Managing partner du cabinet ALTIJ qui porte ce recours. Sur ce sujet “extrêmement compliqué”, elle souligne que l’objet du recours n’est pas de critiquer la décision de la Cnil : “à aucun moment il n’a été question de clouer au pilori la Cnil. Le gendarme des données personnelles applique une réglementation tout en la regrettant”. Ce n’est d’ailleurs pas “un recours militant”, insiste-t-elle, car “l’association se place dans la défense d’un internet libre. Il s’agit plutôt de tirer les conséquences qui sont contradictoires, plongeant les organisations publiques et privées depuis quelques années dans une très grande insécurité juridique.”

L’argumentaire de l’ISOC

Le recours de l’ISOC ne porte pas intrinsèquement sur le Data Privacy Framework, l’accord d’adéquation pour les transferts de données entre l’Union européenne et les États-Unis, évoque Me France Charruyer. Il vient surtout soulever les risques que font peser la décision de la Cnil sur l’écosystème, et en particulier “la dégradation de l’indépendance numérique”, puisque “nous sommes toujours soumis au risque de l’extraterritorialité de la divulgation de nos données les plus sensibles, qui vont peut-être nourrir un écosystème et dont on ignore in fine l’utilisation réelle dans un contexte géopolitique et de guerre économique croissant”. 

Me France Charruyer soutient que cette décision vient peser sur la réversibilité des données et le coût de la migration future, étant donné que c’est la plateforme qui “contrôle et fixe le prix du cloud”. Or, souligne-t-elle, “cela ne va pas dans le sens de la protection des acteurs”. Elle encourage une réponse politique “dans le financement d’acteurs publics”.

L’ISOC demande au Conseil d’État de “dresser une ligne claire entre ce qui va être possible et ce qui va être interdit” note l’avocate. “Nous allons prendre le temps d’aller au fond des choses”, ajoute-t-elle, tout en précisant que la décision du Conseil d’État n’est pas attendue avant deux ans. Me France Charruyer note aussi que cette décision fait écho à deux autres sujets d’actualité : d’une part la renégociation de la Section 702 du FISA (Foreign Intelligence Surveillance Act) dans quelques semaines, et d’autre part la norme de cybersécurité européenne relative aux prestataires de cloud EUCS (European Union Cybersecurity Certification Scheme for Cloud Services), sur laquelle travaille l’ENISA.

Une décision contrainte pour la Cnil

La Cnil reconnaît être prise entre deux feux : avec d’une part, l’exigence d’honorer les engagements pris vis-à-vis de l’EMA dans son appel d’offres menant à la création de l’EMC2 (cf. encadré), et de l’autre, le constat que, pour le moment, il semble “difficile de se détacher à court terme” des offres d’acteurs américains, malgré “l’émergence progressive de fournisseurs souverains”. La Cnil déplore “qu’aucun prestataire susceptible de répondre actuellement aux besoins exprimés par le GIP PDS ne protège les données contre l’application de lois extraterritoriales de pays tiers”. 

Ce tropisme entre le HDH et les hyperscalers n’est pas sans inquiéter les parlementaires. En décembre dernier, les députés Philippe Latombe et la sénatrice Catherine Morin-Desailly ont envoyé un courrier à l’ex-Première ministre pour l’informer d’une forme de favoritisme que pratiquerait le Health Data Hub à l’égard des hyperscalers américains. Au travers d’une QAG adressée au Premier ministre, Philippe Latombe a réitéré sa plainte, considérant que cette décision était “en contradiction totale avec les objectifs légitimes du gouvernement en matière de souveraineté”. 

Eric Bothorel (député Renaissance) : “Nous livrons la bataille du cloud un peu tard”

La Cnil a indiqué que sa décision a été motivée par une mission d’expertise pilotée par la DNS, la DINUM et l’ANS pour déterminer si le projet EMC2 pouvait être mis en œuvre via un prestataire soumis uniquement aux lois de l’Union européenne. Il ressort de l’étude qu’“aucun prestataire potentiel ne propose d’offres d’hébergement répondant aux exigences techniques et fonctionnelles du GIP PDS pour la mise en œuvre du projet EMC2 dans un délai compatible avec les impératifs de ce dernier”. Les clouders français en lice ont été informés courant décembre de cette conclusion. Dans un entretien à mind Health, Alain Issarni, CEO de NumSpot, a confirmé que le cloud NumSpot avait fait partie des fournisseurs consultés. “Avec Outscale et Heva, nous avons répondu à la mission, comme l’ont fait d’autres fournisseurs SecNumCloud… et nous sommes également déçus de la manière dont cette consultation s’est déroulée”, a-t-il réagi.

Sur la question qui s’est posée de concevoir une plateforme d’hébergement “spécifique” et sur-mesure au projet EMC2, la mission d’expertise a balayé l’idée, expliquant que cela aurait eu comme effet de “retarder la migration de la solution d’hébergement du GIP PDS pour l’ensemble de ses missions”.

Concernant les risques d’accès par les autorités américaines, la Cnil rappelle que, conformément à la législation américaine, “les autorités états-uniennes sont susceptibles d’adresser à Microsoft des injonctions de communication des données qu’il héberge”. Toutefois, la Commission européenne a adopté en juillet 2023 une nouvelle décision d’adéquation avec les USA (le Data Privacy Framework), jugeant la législation américaine conforme aux standards de protection européens. Pour la Cnil, cette décision d’adéquation ne masque pas le risque extraterritorial pour autant, puisque “les données stockées par un hébergeur soumis à un droit extra-européen peuvent être exposées à un risque de communication à des puissances étrangères”.

Face à ces risques, la Cnil rappelle avoir toujours recommandé pour les bases les plus sensibles de recourir autant que faire se peut à “un prestataire exclusivement soumis au droit européen et offrant le niveau de protection adéquate, tel que prévu par le référentiel SecNumCloud de l’Anssi”. Or, le GIP PDS a fait le choix de faire héberger son EDS auprès d’un hébergeur HDS qui ne bénéficie pas de la certification SecNumCloud.

Loi SREN : le cloud souverain au cœur des débats

Les exigences techniques du HDH

Si la Cnil rappelle que le GIP PDS a fait le choix de recourir au cloud dès sa fondation, cette décision a été motivée par des contraintes techniques, assure  le HDH à mind Health : “Pour accueillir des projets de pointe utilisant les données de santé, le HDH a besoin de pouvoir mettre en œuvre une infrastructure à la demande et par conséquent le choix d’avoir recours à des offres cloud a été fait. À titre d’exemple, aujourd’hui la plateforme du HDH héberge presque 1 Peta de données et doit pouvoir accueillir des données très hétérogènes (images, comptes-rendus médicaux, données tabulaires de grande dimension, etc.).”

Parmi les points techniques incontournables, le HDH a besoin de services cloud “complètement intégrés” pour “gérer efficacement la gouvernance de la donnée ainsi que la sécurisation des accès et des usages sur sa plateforme technologique”. Les traces (ou “logs”) qui sont générés doivent également être “recevables par un service centralisé de stockage et de traitement”. Le HDH ajoute qu’il est “indispensable que le service de gestion des identités puisse être intégré à l’ensemble des composants techniques de la plateforme pour vérifier les droits d’accès des personnes et des machines à ces différents composants”.

À la lueur de ces explications, le HDH a commenté la décision de la Cnil en ces termes : “Concernant la décision de la CNIL, la mission d’expertise pilotée par le Ministère du travail, de la santé et des solidarités a effectivement montré, qu’à ce jour, aucun des hébergeurs étudiés ne sont dans la capacité de fournir les conditions de sécurité nécessaires à l’hébergement de données de santé selon des exigences similaires à celles auxquelles la plateforme de données de santé est actuellement soumise.”

Sur ces standards techniques, Me France Charruyer s’interroge : “Sont-ils les bons ? Ce n’est pas tant une problématique de souveraineté qu’une problématique de dépendance vis-à-vis d’infrastructures qui ne sont pas les nôtres. Nous avons peut-être manqué l’occasion de faire monter en gamme un cloud souverain ou de confiance via la commande publique”.

À quoi servira EMC2 ?

Le HDH a répondu à un appel d’offres de l’Agence européenne des médicaments (EMA) pour constituer une base de données ciblant les études en pharmaco-épidémiologiques. Le GIP PDS s’est vu attribuer le lot 3 de l’appel d’offres (une convention de prestation de service ayant été conclue en décembre 2021). 

Le HDH a précisé à mind Health que la mise en œuvre de l’entrepôt EMC2 a pour finalité de “permettre la réutilisation des données qu’il contient à des fins de recherche, d’étude et d’évaluation dans le domaine de la santé, au regard des problématiques identifiées par les établissements hospitaliers et l’EMA.” Il s’agira en particulier de la conduite d’études d’intérêt public de différentes natures, telles que l’observation et l’évaluation de la prise en charge des patients, la caractérisation des populations de patients ou encore l’évaluation médico-économique (efficience et impact budgétaire) des produits de santé administrés (médicaments) ou utilisés (DM) en vie réelle. 

Dans le cadre de cet entrepôt, des données issues de la base principale du SNDS seront appareillées aux dossiers médicaux fournis par les HCL, le centre Léon Bérard, le CHU de Nancy et la Fondation hôpital Saint-Joseph. L’apport de ces données d’établissement permettra “des analyses sur des sous-groupes de patients non identifiables à partir des seules données du PMSI mais repérables à partir des critères cliniques ou paracliniques transmis par les quatre établissements de santé partenaires” précise le HDH à mind Health.

La mise en œuvre de l’entrepôt EMC2 est prévue courant 2024, comme l’indique le HDH dans sa feuille de route annuelle. Il souhaite poursuivre les rencontres avec les clouders souverains et analyser leurs différentes offres pour “identifier et sélectionner la solution de cloud de confiance cible”.

Clarisse Treilles
  • cloud
  • Données de santé
  • Europe
  • GAFAM
  • Health data hub
  • Règlementaire

Besoin d’informations complémentaires ?

Contactez Mind Research

le service d’études à la demande de mind

Découvrez nos contenus gratuitement et sans engagement pendant 15 jours J'en profite
  • Le groupe mind
  • Notre histoire
  • Notre équipe
  • Nos clients
  • Nous contacter
  • Nos services
  • mind Media
  • mind Fintech
  • mind Health
  • mind Rh
  • mind Retail
  • mind Research
  • Les clubs
  • mind et vous
  • Présentation
  • Nous contacter
  • Vous abonner
  • A savoir
  • Mentions légales
  • CGU
  • CGV
  • CGV publicité
  • Politique des cookies
Tous droits réservés - Frontline MEDIA 2025
  • Twitter
  • LinkedIn
  • Email