CNIL HDS MICROSOFT : La Commission Nationale de l’Informatique et des Libertés (CNIL), autorité de référence en matière de protection des données personnelles en France, a récemment approuvé Microsoft en tant qu’hébergeur des données de santé françaises et européennes. Cette décision, prise dans le cadre du projet européen EMC2, une extension du Health Data Hub français, n’a pas été sans réserve.
Le 21 décembre, la CNIL a tranché sur la capacité de Microsoft à héberger cette plateforme européenne, une décision publiée le 31 janvier sur Legifrance. L’évaluation préalable par la Délégation du Numérique en Santé (DNS) avait conclu que les fournisseurs de cloud français, bien que compétents, ne répondaient pas entièrement aux exigences du projet.
Initialement, le Health Data Hub, en collaboration avec d’autres sociétés européennes, avait remporté l’appel d’offres pour développer EMC2. Cependant, les conditions de cette victoire ont été sujettes à débat. La CNIL, tout en suivant la recommandation de la DNS, exprime des regrets, notamment en raison de la soumission de Microsoft aux lois extraterritoriales américaines telles que le Cloud Act et la loi FISA.
Cette décision soulève des préoccupations sur la protection des données de santé des Français contre l’accès potentiel des services de renseignement américains. La CNIL critique également le choix initial de Microsoft pour le Health Data Hub, arguant que cela a manqué une opportunité de stimuler une offre de cloud européenne plus compétitive.
Le choix de Microsoft a été validé pour une période de trois ans, avec des conditions spécifiques. La CNIL espère ainsi que cette période permettra l’émergence de solutions françaises ou européennes conformes au référentiel SecNumCloud, garantissant une meilleure protection contre les lois extraterritoriales.
Cette décision illustre la tension entre le besoin d’efficacité technologique et la protection de la souveraineté numérique et des données personnelles, un défi de plus en plus prégnant dans le monde de la santé numérique.
Pour plus de détails, la délibération complète de la CNIL peut être consultée sur Legifrance.