EMC2 : la Cnil adoube une nouvelle fois Microsoft pour héberger des données de santé
Le choix d’un fournisseur de cloud soumis à des lois extraterritoriales est l’objet de vives critiques.
Le Journal officiel a publié, le 31 janvier 2024, une délibération de la Cnil du 21 décembre 2023 portant sur la création de l’EMC2, un entrepôt de données de santé. La Cnil y autorise le groupement d’intérêt public plateforme des données de santé (GIP PDS) à confier pour trois ans l’hébergement de l’EMC2 à Microsoft Azure. Le GIP PDS pilote le Health Data Hub (HDH), la plateforme française de traitement des données de santé, elle aussi hébergée par Microsoft.
L’EMC2 est un projet européen mené par l’Agence européenne des médicaments (EMA). Il prévoit d’utiliser le traitement automatisé des données pour faire avancer la recherche pharmaco-épidémiologique. Dans le cadre d’un appel à projet européen, l’EMA a confié au HDH, et donc au GIP PDS, le volet français de l’EMC2.
La Cnil « déplore » le choix d’un acteur extra-européen pour le traitement de ces données sensibles, et admet les risques de choisir une entreprise soumise au droit américain. « En application de cette législation [celle des États-Unis, NDLR], les autorités états-uniennes sont susceptibles d’adresser à Microsoft des injonctions de communication des données qu’il héberge », peut-on ainsi lire dans la délibération.
Mais pour la Cnil, Microsoft Azure était la seule solution viable pour tenir les délais imposés par l’EMA. Une mission d’expertise, menée par la Délégation du numérique en santé (DNS), la DINUM et l’Agence du numérique en santé, a en effet conclu qu’aucun fournisseur européen « ne propose d’offres d’hébergement répondant aux exigences techniques et fonctionnelles du GIP PDS pour la mise en œuvre du projet EMC2 dans un délai compatible avec les impératifs ce dernier ».
Trois hébergeurs français, OVHcloud, NumSpot et Cloud Temple – tous certifié SecNumCloud – ont admis avoir répondu à cette consultations. Ils ont critiqué des conditions d’évaluation au mieux « surprenantes », au pire « inéquitables », et regrettent l’absence d’un appel d’offre transparent pour cette mission.
Cette décision a d’ailleurs généré de très nombreuses critiques chez les défenseurs d’une souveraineté numérique stricte, dont celles du député Philippe Latombe (DEM). Une pétition réclamant la création d’une « commission d’enquête sur la gestion des données de santé de la France à la société Microsoft » a été déposée au Sénat.