La Cnil regrette l'incapacité de l'Europe à développer un cloud souverain
La Commission nationale de l'informatique et des libertés (Cnil) a officiellement approuvé Microsoft comme hébergeur des données de santé françaises et européennes pour le projet EMC2 - une version européenne du Health Data Hub français - du GIP PDS (l'acteur public chargé par la loi de recueillir les bases de données de santé françaises). La plateforme doit héberger des données concernant des patients de quatre hôpitaux français, ainsi que les données de l'Assurance maladie. Cette décision, prise le 21 décembre 2023 et publiée le 31 janvier 2024, intervient après une évaluation de trois sociétés françaises (OVH Cloud, Numspot et Cloud Temple) par le GIP PDS. Le rapport transmis par le GIP à la Cnil a fait valoir "qu'aucun prestataire potentiel ne propose d'offres d'hébergement répondant aux exigences techniques et fonctionnelles du GIP PDS pour la mise en œuvre du projet EMC2 dans un délai compatible avec les impératifs de ce dernier".
La Cnil a exprimé "des regrets" quant à ce choix, soulignant que Microsoft, en tant qu'entreprise américaine, est soumise aux lois extraterritoriales américaines, telles que le Cloud Act et la loi FISA. Ces lois pourraient permettre l'accès des services de renseignement américains aux données de santé même si elles sont hébergées en Europe. A l'occasion de cette décision, la Cnil rappelle son attachement à voir les données sensibles hébergées dans des solutions souveraines bénéficiant de certifications de type Secnumcloud, une ligne soutenue par l'Etat dans sa doctrine "cloud au centre". Elle regrette aussi que les projets de recherche mobilisant des données de santé n’aient pas fourni l'occasion de "stimuler une offre européenne à même de répondre à ce besoin".
Malgré elle, la Cnil valide donc le choix de Microsoft tout en limitant son autorisation à une durée de trois ans. Elle oblige aussi le GIP PDS à informer les usagers du lieu de stockage de leurs données. Les sociétés françaises recalées ont regretté ce choix, notant un déséquilibre dans les exigences imposées aux fournisseurs américains et européens en matière de cybersécurité.