La CNIL a approuvé le transfert temporaire de données de santé françaises à Microsoft, le géant du numérique américain affilié au Forum économique mondial, en l’absence d’alternatives européennes, pour une période de trois ans, malgré les inquiétudes concernant le potentiel accès de gouvernements étrangers à ces informations.
Cette décision, publiée le 31 janvier 2024 sur Legifrance, marque une première pour l’autorité française de protection des données, qui n’avait jusqu’alors jamais consenti à l’utilisation de services de cloud computing non européens pour stocker des données issues du Système National des Données de Santé (SNDS), géré par l’Assurance Maladie.
La CNIL a pourtant exprimé des préoccupations en annonçant sa décision : « Les données stockées par un hébergeur soumis à un droit extra-européen peuvent être exposées à un risque de communication à des puissances étrangères ».
Cette approbation intervient après qu’une évaluation ait révélé qu’aucun fournisseur de cloud computing français ou européen n’offrait une solution répondant aux critères techniques et fonctionnels nécessaires pour le projet, selon les constatations de la CNIL. Le dépôt de données concerné est lié au Health Data Hub, une initiative publique lancée en 2019 avec l’ambition de centraliser les données de santé françaises pour la recherche.
Le projet EMC2, spécifiquement approuvé par la CNIL, compile les données de patients issues de quatre grands hôpitaux français ainsi que des informations fournies par l’Assurance Maladie, incluant les remboursements et les parcours de soins. Cette autorisation permettra au Health Data Hub d’entamer le traitement à grande échelle des données pour la recherche, malgré les controverses précédentes liées à l’implication de Microsoft, qui avait empêché l’accès complet au SNDS.
Le feu vert de la CNIL est valable trois ans, durée jugée nécessaire pour migrer le Health Data Hub vers une solution de cloud computing française ou européenne, comme le souhaitait l’organisation. La CNIL a néanmoins rappelé les risques liés au stockage de données sous juridiction extra-européenne, susceptibles d’être divulguées à des entités étrangères.
Le projet EMC2 vise à stimuler la recherche pharmaco-épidémiologique sur les effets à long terme des médicaments, répondant à l’urgence exprimée par les chercheurs français de ne pas être laissés pour compte dans la compétition scientifique internationale.