Vous n'avez pas encore de notification

Page d'accueil

Options d'affichage

Abonné

Actualités

Abonné

Des thèmes sont disponibles :

Thème de baseThème de baseThème sombreThème sombreThème yinyang clairThème yinyang clairThème yinyang sombreThème yinyang sombreThème orange mécanique clairThème orange mécanique clairThème orange mécanique sombreThème orange mécanique sombreThème rose clairThème rose clairThème rose sombreThème rose sombre

Vous n'êtes pas encore INpactien ?

Inscrivez-vous !

Hébergement des données de santé : la CNIL rejette le choix Microsoft

Hop, par la fenêtre !
Droit 2 min
Hébergement des données de santé : la CNIL rejette le choix Microsoft

Nouvelle conséquence de l’arrêt Schrems II sur l’invalidation du Privacy Shield. Comme l’a révélé Médiapart, la CNIL recommande chaudement que le Health Data Hub soit à bref délai géré par un acteur non soumis au droit américain. Une gifle pour Microsoft, société prise en tenaille entre les lois de surveillance américaines et le RGPD.

La question de la plateforme des données de santé (PDS ou HDH) revient à la charge. Une procédure d’urgence a été initiée par le collectif SantéNathon. Il « s’oppose à la centralisation chez Microsoft Azure des données de santé de plus de 67 millions de personnes et attaque l'État ».

Ce référé-liberté a été déposé dans le sillage de l’invalidation de l’accord Privacy Shield le 16 juillet dernier. La voie principale pour le transfert des données à caractère personnel des Européens vers les États-Unis a été torpillée par la justice européenne. Deux motifs : les pouvoirs des services de renseignement sur ces données et l’absence de droit au recours.

Devant le Conseil d’État, les requérants « sollicitent la suspension du traitement et la centralisation des données au sein du Health Data Hub. Ils font également valoir que les engagements contractuels conclus entre la société Microsoft et le Health Data Hub sont insuffisants » exposent-ils dans leur billet.

La plateforme de gestion des données de santé est censée faciliter « le partage en mettant en relation les producteurs et les utilisateurs publics comme privés selon un processus standardisé, lisible et non discrétionnaire », selon le ministère de la Santé.

Créé par l'article 41 de la loi du 24 juillet 2019 relative à l'organisation et à la transformation du système de santé, ce « hub » est géré par un groupement d'intérêt public. Il a pour vocation d’apporter de nouveaux matériaux en matière de recherche médicale, afin de faciliter la détermination « des prises en charge adaptées et efficaces pour les maladies rares en agrégeant des observations de sources multiples » ou encore le dépistage des états précancéreux « grâce à l’intelligence artificielle ». Et c’est Microsoft qui a été choisie pour abriter ces données sensibles.

Depuis, les nuages s'amoncellent pour le géant. « Nous travaillons avec Olivier Véran, après le coup de tonnerre de l'annulation du Privacy Shield, au transfert du Health Data Hub sur des plates-formes françaises ou européennes » a exposé hier Cédric O devant la Commission d'enquête au Sénat. « La décision est actée » nous signale l’entourage du ministre. Hier, lors de l’audience au Conseil d’État, le ministère de la Santé a soutenu une autre doctrine, faisant valoir « qu'il n'y a pas d'alternative à Microsoft pour le HDH », au point de mettre « en garde contre une décision qui aurait des conséquences désastreuses au-delà du HDH ». 

L'effet de l'arrêt Schrems II sur le Heath Data Hub

23 commentaires
Avatar de LeJuge Abonné
Avatar de LeJugeLeJuge- 09/10/20 à 15:21:36

Il faudrait enfin que cela soit clair pour tout le monde, une structure (entreprise, administration, association) française ou européenne peut-elle légalement utiliser les services de Gmail, Dropbox, AWS... pour stocker des données personnelles ?
Quand on lit cet article, on se dit que cela n'est pas en phase avec le RGPD...
Il serait bien que la CNIL émette un avis clair pour toutes les entreprises de France.

Avatar de Equilibrium Abonné
Avatar de EquilibriumEquilibrium- 09/10/20 à 15:36:50
LeJuge

Aujourd'hui, en l'état du droit, utiliser ces services est potentiellement illégal dans la mesure où vous ne pouvez pas apporter suffisamment d'éléments pour montrer qu'un régime juridique équivalent s'applique à vos données aux Etats-Unis et que le fournisseur en question assure bel et bien le niveau de sécurité et de confidentialité requis.

Oui, la CNIL devrait mettre les pieds dans le plat quitte à froisser de nombreuses personnes et intérêts.

C'est ce qu'on attend d'elle !

Avatar de abermingham Abonné
Avatar de aberminghamabermingham- 09/10/20 à 16:45:50

Une très belle décision, c'est un pas en avant contre la colonisation numérique !

Avatar de Garga Abonné
Avatar de GargaGarga- 09/10/20 à 16:59:52

Je me demande ce que ça impliquerait pour les mutuelles qui hébergent leurs données sur AWS, comme Alan qui vient juste de publier un article pour défendre leur choix d'hébergement. Pour eux (en synthétisant à l'extrême), c'est chiffré donc pas de soucis https://blog.alan.com/tech-et-produit/pourquoi-nous-hebergeons-sur-aws

Avatar de Paul Muad'Dib Abonné
Avatar de Paul Muad'DibPaul Muad'Dib- 09/10/20 à 18:00:15

Ce genre de décisions devraient donner du grain à moudre aux hébergeurs français/européens, j'espère qu'OVH/Scaleway/Outscale and co sont sur le coup.

Garga a écrit :

Je me demande ce que ça impliquerait pour les mutuelles qui hébergent leurs données sur AWS, comme Alan qui vient juste de publier un article pour défendre leur choix d'hébergement. Pour eux (en synthétisant à l'extrême), c'est chiffré donc pas de soucis https://blog.alan.com/tech-et-produit/pourquoi-nous-hebergeons-sur-aws

Son article est très long, est-ce qu'il dit qu'Alan est seul maitre des clés de chiffrement utilisées ?
Parce que si celles-ci sont générées et exploitées par AWS, Alan n'a dans les fait aucune maitrise sur ses données.

Avatar de SebGF Abonné
Avatar de SebGFSebGF- 09/10/20 à 18:39:40

Cela va de concert avec le récent avis défavorable de son homologue allemande vis à vis de l'utilisation de Microsoft 365 dans l'administration (notamment pour les écoles publiques).

De bonnes nouvelles en soit pour aider à développer des alternatives aux solutions de facilités que sont les offres des gros Cloud Providers US.

Avatar de Futureman INpactien
Avatar de FuturemanFutureman- 09/10/20 à 19:44:55

La vache, mais "on" devient lucides ou je rêve ?
Fallait se réveiller bien 10-15 ans plus tôt, mais mieux vaut tard que jamais...

Avatar de Ameris Abonné
Avatar de AmerisAmeris- 09/10/20 à 19:49:22

Et il serait surtout temps qu'en France, et en Europe, on crée les acteurs capables de gérer toutes ces données. C'est pas comme si' nous n'avions ni les moyens, ni les compétences.

Avatar de SebGF Abonné
Avatar de SebGFSebGF- 09/10/20 à 20:45:52
Ameris

L'agence du numérique en santé a une belle liste d'hébergeurs agréés hébergeurs de données de santé à caractère personnel, incluant beaucoup d'acteurs français.

Ils existent bien, encore faut-il y aller et ne pas opter pour la facilité du prestataire américain "rassurant".

Avatar de Crazy Diver Abonné
Avatar de Crazy DiverCrazy Diver- 10/10/20 à 07:37:42
Garga

Waw, le niveau de sécuwashing impressionnant !
Utilisation de redshift s3 et clef dans kms, vm chez AWS aussi et en Allemagne...
Peut être, vaudrait il mieux faire comme les autres et ne pas se "vanter" de ce genre de choses ?!

Il n'est plus possible de commenter cette actualité.
Page 1 / 3
  • Introduction
  • L'effet de l'arrêt Schrems II sur le Heath Data Hub
  • On ne divulgue rien, sauf quand on doit divulguer
  • Soustraire les données de santé de l'emprise américaine
S'abonner à partir de 3,75 €