Health Data Hub : Les données sont désormais hébergées en région parisienne mais toujours par Microsoft
Le conseil de la Caisse nationale de l’assurance maladie maintient sa position réfractaire sur l’hébergement par Microsoft du Health Data Hub. Au cœur du problème : le Cloud Act, qui permet aux autorités américaines d’accéder à des données quelle que soit leur localisation. Mais pour Stéphanie Combes, à la tête du Heath Data Hub, il n’y a pas d’inquiétude à avoir étant donné que les données sont désormais stockées en « région parisienne ».
Face aux inquiétudes du conseil de la Caisse nationale de l’assurance maladie (Cnam), la directrice du Health Data Hub Stéphanie Combes a expliqué que les données de santé des Français étaient désormais hébergées en « région parisienne » et non plus aux Pays-Bas, révèle TICsanté.
Mais le provider de cloud reste le même : Microsoft. Et c’est ce point qui préoccupe particulièrement le conseil de la Cnam. C’est ce qui ressort d’une déclaration faite par son président, Fabrice Gombert, à propos d’un nouveau projet de décret encadrant le Health Data Hub. Ainsi, le conseil a fait part de son opposition à « un transfert d’une copie du système national des données de santé sur la solution actuelle d’hébergement du Health Data Hub ».
En septembre dernier déjà, le conseil avait refusé de statuer sur le premier projet de décret. Il expliquait vouloir attendre l’avis de la Commission nationale de l’informatique et des libertés (Cnil) et réclamait en parallèle une « analyse rigoureuse » des conséquences de l’invalidation du Privacy Shield, ce texte facilitant les transferts de données vers les Etats-Unis.
Une obligation d’hébergement des données en Europe
Le nouveau décret, qui a pu être consulté par TICsanté, prévoit cette fois-ci explicitement une obligation d’hébergement des données du système national des données de santé (SNDS) dans l’Union européenne. En d’autres termes, Microsoft doit stocker les données de santé des Français dans des data centers situés dans l’UE. Dans tous les cas, d’après Stéphanie Combes, « le décret n’interdit pas le recours à Microsoft, mais cela doit être correctement encadré, c’est ce que nous faisons avec les avenants contractuels tout en travaillant sur une trajectoire souveraine ».
Régulièrement questionné à ce propos, Microsoft répond que seules les données « techniques », sous-entendues qui ne contiendraient aucune donnée de santé, pourraient être transférées outre-Atlantique pour des raisons de maintenance. Des propos a priori rassurants mais qui omet une partie du raisonnement : l’existence du Cloud Act.
Au cœur de la polémique, le cloud Act
En vertu de cette loi, les services de renseignement américains peuvent contraindre les fournisseurs de services établis aux Etats-Unis à fournir des données stockées sur des serveurs, qu’ils soient situés à l’intérieur du territoire ou à l’extérieur, en Europe par exemple. C’est en partie ce texte qui a poussé la Cour de justice de l’Union européenne (CJUE) a invalidé le Privacy Shield en juillet dernier estimant que les programmes de surveillance américains n’étaient pas compatibles avec le Règlement général sur la protection des données (RGDP).
Face à ce risque, le gouvernement veut changer de fournisseur de cloud. « Je partage pleinement vos préoccupations relatives au risque de divulgation de données hébergées par la plateforme aux autorités américaines avec le choix de l’entreprise Microsoft », écrivait le ministre de la Santé et des Solidarités Olivier Véran dans cette lettre en novembre 2020. Il expliquait souscrire pleinement à la nécessité d’adopter « une nouvelle solution technique » dans un « délai qui soit autant que possible compris entre 12 et 18 mois ».
Gaia-X, une alternative sur la table
Le choix d’une solution européenne semble être privilégié, d’après les dires du secrétaire d’Etat Cédric O qui précisait être en pourparlers avec « des partenaires allemands » dans le cadre du projet de cloud souverain Gaia-X.
Alice Vitard
Faut-il s’inquiéter qu’Amazon héberge les données de Bpifrance sur les PGE ?
Le 5 février, la sénatrice Nathalie Goulet s’est inquiétée devant la presse des partenariats entre Bpifrance et Amazon, en particulier l’hébergement sur le cloud d’AWS des données liées aux prêts garantis par l’Etat (PGE), souscrits par 530 000 entreprises. De quelles données parle-t-on ? Avec quels risques ? L’Usine Nouvelle a enquêté.
A minima, la symbolique est discutable. Alors que le gouvernement ne cesse d’appeler à la souveraineté numérique, c’est sur le cloud de l’américain Amazon que la banque publique d’investissement Bpifrance a décidé d’héberger la plate-forme délivrant des attestations aux entreprises qui souhaitaient contracter un prêt garanti par l’Etat (PGE), un soutien exceptionnel lié à la crise du Covid. Mais au-delà du message contradictoire que ce choix renvoie, comporte-t-il de réels risques ?
Sans aucun doute, répond Nathalie Goulet, sénatrice UDI qui a alerté la presse, le 5 février, du danger des partenariats entre Bpifrance et le géant américain du numérique. « Les données liées au PGE sont des données financières d’entreprises en difficulté, s’est-elle inquiétée. Or parmi ces entreprises, il y a des pépites intellectuelles, dont certaine détiennent des technologies de très haute valeur ajoutée. » Autrement dit : en choisissant un cloud américain, Bpifrance aurait donné au géant Amazon des informations confidentielles, utilisables pour faire des achats ou des profits en revendant les données.