Sortons nos données de santé de chez Microsoft !

Depuis 2019 la plus grande opacité entourait le sort réservé aux données de santé des Français, hébergées sans appel d’offres sur les serveurs de l’entreprise américaine Microsoft.

La question de leur destination finale a semble-t-il été tranchée une fois pour toutes par la CNIL dans le cadre d’une décision en date du 21 décembre, publiée ce 31 janvier 2024.

C’est bel et bien Microsoft, société américaine soumise aux lois extraterritoriales américaines, qui hébergera les précieuses données de santé des Français et des Européens, dans le cadre du développement d’une plateforme européenne destinée à la recherche modestement baptisée EMc2.

"Aucun prestataire potentiel" (sic) parmi les opérateurs de cloud français ou européens "ne propose d'offre d'hébergement répondant aux exigences techniques et fonctionnelles" du projet, ose expliquer la CNIL pour justifier, autant que faire se peut, sa position sujette à caution.

Cette décision est clairement de nature à éveiller des soupçons quant à l’intégrité des conditions dans lesquelles elle a été prise, autant que sur la capacité de notre pays à assurer la sauvegarde, au propre comme au figuré, de nos données de santé.

C’est la raison pour laquelle :

1/ Nous contestons formellement l’appréciation de la CNIL selon laquelle aucun acteur européen du cloud n’était en mesure de fournir une prestation techniquement comparable à celle de Microsoft.

2/ Nous demandons solennellement à la Commission nationale Informatiques & Libertés, dont nous attendions qu’elle agisse en gardienne de nos données personnelles, de reconsidérer sa décision au nom de la souveraineté numérique de notre pays.

3/ En attendant, il est acquis qu’il sera désormais indécent de parler de souveraineté numérique en France tant que les données de santé de nos compatriotes, si précieuses, seront hébergées chez Microsoft.
 

Petite chronologie des faits

2019 : Le gouvernement français confie l'hébergement du Health Data Hub (HDH) à Microsoft Azure, sans passer par un appel d’offres. Cela suscite des préoccupations liées à la souveraineté numérique de la France face à l’épée de Damoclès que représentent les lois extraterritoriales américaines (FISA) 

2020 : Des promesses sont faites pour une éventuelle migration vers un hébergeur français ou européen, notamment par Olivier Véran, ministre de la Santé, et Stéphanie Combes, responsable de la plateforme HDH.

2020 Le Conseil d’État demande au Health Data Hub des garanties supplémentaires pour limiter le risque de transfert vers les États-Unis

2022 : Le HDH remporte un appel d'offres européen pour développer un espace européen des données de santé (EMC2), incitant le gouvernement à évaluer les capacités des fournisseurs de cloud français pour ce projet.

Novembre 2023 : Les sociétés OVHcloud, NumSpot et Cloud Temple reçoivent une demande de participation à une consultation de la Délégation du Numérique en Santé pour évaluer leurs solutions pour l'EMC2.

Décembre 2023 : Les entreprises participantes signalent des difficultés lors de la consultation, dont des changements fréquents dans les exigences techniques et une pression intense, laissant entendre que les dés étaient pipés ab initio et que l’intention de la consultation était de confirmer un choix déjà bien établi.

Décembre 2023 : La CNIL aurait approuvé Microsoft Azure pour l’EMC2.

31 décembre 2024 : Publication au Journal Officiel de la décision par laquelle la CNIL valide l'hébergement de données de santé des Français chez Microsoft, pour une durée de trois ans