Faute de mieux, la Cnil autorise l’américain Microsoft à héberger les données de santé françaises

La Cnil vient de valider la création d’un entrepôt de données de santé hébergé sur le cloud de Microsoft pour 3 ans. Dans sa décision, publiée le 31 janvier au Journal Officiel, elle formule de vives inquiétudes quant au caractère étasunien de ce prestataire. 

La Cnil a été saisie par le groupement d’intérêt public « Plateforme des données de santé » (GIP PDS), qui souhaite constituer un entrepôt de données de santé. Cet entrepôt, baptisé EMC2, doit permettre la réalisation de recherches, d’études et d’évaluations. Il s’agira notamment d’évaluer la prise en charge des patients, ainsi que l’utilisation et/ou les pratiques, l’efficacité et la sécurité en vie réelle des produits de santé (les dispositifs médicaux remboursés sont concernés au premier chef). Les données seront transmises par des hôpitaux partenaires ou issues de la base principale du SNDS (système national des données de santé). EMC2 contiendra aussi des données de professionnels de santé (spécialité, mode d’exercice, sexe, âge et département d’implantation). Elles seront toutes pseudonymisées et le GIP PDS n’aura accès « ni aux données directement identifiantes de personnes ni aux documents bruts produits à l’occasion de leur prise en charge sanitaire ». La pseudonymisation et la structuration des données seront mises en œuvre par les établissements partenaires avant leur transmission.

Inexistence de l’offre européenne

En ce qui concerne l’hébergement, la Cnil a été contrainte d’autoriser le GIP à utiliser Microsoft, qui conservera les données de l’entrepôt dans ses centres situés en France. Il est cependant possible que « des données techniques d’usage de la plateforme (qui ne révèlent aucune information de santé) soient transférées vers des administrateurs situés aux États-Unis. Ces transferts de données vers les États-Unis sont encadrés par les clauses contractuelles types de la Commission européenne. Les personnes devront être spécifiquement informées de ces transferts », précise la Cnil, en formulant de vives inquiétudes : « Les données stockées par un hébergeur soumis à un droit extra-européen peuvent être exposées à un risque de communication à des puissances étrangères. Pour les entrepôts de données de santé appariées avec le SNDS, et malgré le fait que ces données soient pseudonymisées, la Cnil a toujours demandé aux porteurs de projet, publics et privés, de s’assurer que l’hébergeur des données n’est pas soumis à une législation extra-européenne. » Toutefois, aucun prestataire européen ne peut, pour l’heure, proposer d’offres d’hébergement répondant aux exigences techniques et fonctionnelles du GIP PDS dans les délais imposés. La Cnil déplore cette situation et regrette que la stratégie mise en place pour favoriser l’accès des chercheurs aux données de santé n’ait pas stimulé une offre européenne pouvant répondre aux besoins. Elle pointe aussi du doigt le choix du GIP PDS de recourir au cloud, car il « a conduit à privilégier des offres d’acteurs étasuniens dont il apparaît désormais difficile de se détacher à court terme malgré l’émergence progressive de fournisseurs souverains. Le projet EMC2 aurait pu être retenu par le GIP PDS pour préfigurer la solution souveraine vers laquelle il doit migrer ».  Dans ces conditions, elle autorise la constitution de l’entrepôt EMC2 pour une durée de 3 ans, ce qui correspond à la réalisation du projet de migration de la plateforme de la PDS qui a été confirmé par le gouvernement.