Le Health Data Hub a récemment été autorisé à recourir à l’hébergeur Microsoft pour un entrepôt de données de santé portant le nom « EMC2 »*. Est-ce que cela signifie qu’il est désormais possible d’héberger des entrepôts de données de santé sur des cloud non-souverains ? Les enjeux associés à cette problématique sont considérables. Aussi, les débats associés à une telle autorisation ne cessent de proliférer.
Le cas de l’entrepôt de données de santé « EMC2 » du Health Data Hub
Le Health Data Hub, « chargé par la loi de recueillir les bases de données de santé les plus importants du pays« , a conclu un contrat de services avec l’Agence européenne des médicaments (EMA). C’est dans ce cadre qu’intervient le projet « EMC2″ afin, en particulier, d’ »observer et évaluer la prise en charge des patients« , d’ »évaluer l’utilisation et/ou les pratiques, l’efficacité et la sécurité en vie réelle des produits de santé, en particulier les médicaments et les dispositifs médicaux inscrits au remboursement ou en accès précoce« .
Aussi, ce projet porte sur la création d’un entrepôt de données de santé pour des analyses pharmatico-épidémiologiques. « Un appariement entre les données de la base principale du système national des données de santé (SNDS) et les dossiers médicaux fournis par les établissements de santé partenaires » y est prévu.
Le Health Data Hub a saisi la CNIL d’une demande d’autorisation pour mettre en œuvre cet entrepôt de données de santé. A noter, effectivement, qu’un entrepôt de données de santé « nécessaire à l’exécution d’une mission d’intérêt public ou relevant de l’exercice de l’autorité publique dont est investi le responsable de traitement », tel que le projet « EMC2 », doit être conforme au référentiel CNIL relatif « aux traitements de données à caractère personnel mis en œuvre à des fins de création d’entrepôts de données de santé dans le domaine de la santé« , pour pouvoir être mis en œuvre par l’organisme, responsable de traitement, concerné.
En cas de conformité, une déclaration de conformité auprès de la CNIL suffit. A défaut, une autorisation spécifique préalable de la CNIL doit être obtenue. En l’occurrence, le projet « EMC2 » ne répondait pas à toutes les exigences prévues dans ledit référentiel et nécessitait donc une autorisation.
La possibilité d’hébergement temporaire sur un cloud non-souverain, faute de mieux
Le projet « EMC2 » prévoyait de recourir à l’hébergeur Microsoft Ireland Ltd (avec la solution Microsoft Azure), dont la maison mère est située au Etats-Unis. La question des ingérences extraterritoriales se pose.
Certes, la Commission européenne a reconnu que le cadre de transfert des données « Etats-Unis/UE » assure un niveau de protection adéquat (décision d’adéquation du 10 juillet 2023). Pour autant, selon la CNIL, le risque d’accès aux données hébergées chez Microsoft par les autorités américaines demeure.
Ainsi, « pour les bases de données les plus sensibles« , telles que les bases de données de santé, la CNIL recommande de recourir à un hébergeur exclusivement soumis droit européen et certifié « SecNumCloud« . Les entrepôts de données de santé appariées avec le SNDS font d’autant plus l’objet d’une vigilance particulière, « malgré le fait que le ces données soient pseudonymisées », dans la mesure où « la CNIL a toujours demandé aux porteurs de projet, publics et privés, de s’assurer que l’hébergeur des données n’est pas soumis à une législation extra-européenne« .
La circulaire de la Première Ministre du 31 mars 2023 demande effectivement, rappelle la CNIL, que les autorités publiques s’assurent que « les données ‘d’une sensibilité particulière’ hébergées dans le cloud ne soient pas soumises à des lois extra-européennes ». Ainsi, le choix du Health Data Hub « apparaît en très nette contradiction avec [ces] éléments« .
On aurait alors pu s’attendre à un refus de la CNIL d’autoriser l’entrepôt de données de santé « EMC2 », hébergé chez Microsoft.
Mais, après avoir notamment « déplor[é] qu’aucun prestataire susceptible de répondre actuellement aux besoins exprimés par le [Health Data Hub] ne protège les données contre l’application de lois extraterritoriales de pays tiers« , la CNIL a décidé d’autoriser la mise en œuvre de l’entrepôt de données de santé « EMC2 » avec un hébergement chez Microsoft pour une durée de 3 ans.
Il faut savoir que, pour répondre aux demandes de la CNIL, une expertise, pilotée par la délégation numérique en santé (DNS), la direction interministérielle du numérique (DINUM) et l’Agence Numérique en santé, avait été réalisée « aux fins de déterminer si le projet EMC2 pouvait, sans compromettre le projet vis-à-vis des conditions fixées par [l’Agence européenne du médicament], être mis en œuvre via un prestataire soumis uniquement aux lois de l’Union européenne« .
Le rapport d’expertise, établi dans des délais relativement courts, avait répondu par la négative.
Un sujet au cœur des débats et une position du Conseil d’Etat à venir
Cette position de la CNIL donne lieu à d’importants débats.
En particulier, cette décision interroge compte tenu
- (i) d’un côté, de la récente décision de la Commission européenne considérant que le niveau de protection de données personnelles du cadre de transfert de données UE/Etats-Unis est équivalent à celui de l’Union européenne et
- (ii), de l’autre côté, des exigences nationales en termes de souveraineté.
Des critiques se sont également élevées contre la CNIL dans la mesure où elle reconnaît le non-respect du projet « EMC2 » aux exigences nationales de souveraineté tout en validant ce projet, tandis que d’autres projets similaires hébergés par Microsoft auraient déjà été refusés par la CNIL.
La position du Conseil d’Etat, saisi dans le cadre d’un recours en annulation initié par l’Internet Society France, est ainsi particulièrement attendue. A suivre…
Source : ici
