Faute de prestataire européen, la Cnil a validé l’hébergement de données de santé des Français chez Microsoft, pour une durée de trois ans. Et ce, malgré “le risque de communication à des puissances étrangères”.
La Cnil a autorisé l’hébergement temporaire chez l’américain Microsoft d’un entrepôt de données de santé pour la recherche alimenté par l’Assurance maladie, une première pour la gardienne française des libertés numériques, selon une décision parue mercredi sur Legifrance.
Jusqu’à présent, la Cnil n’avait jamais accepté d’autoriser des entrepôts alimentés par des données du Système national des données de santé (SNDS, géré par l’Assurance maladie), si ceux-ci devaient être hébergés sur une plateforme “cloud” – infrastructure informatique dématérialisée – non européenne.
Risque d’accès par les autorités américaines
La Cnil mettait en avant le risque d’accès aux données par des autorités étrangères, avec dans le collimateur les lois américaines à portée extraterritoriale notamment. Grâce à ces lois, les autorités américaines peuvent exiger dans certains cas que les opérateurs de cloud américains leur fournissent les données stockées chez eux, où qu’elles se trouvent dans le monde.
Mais dans une décision en date du 21 décembre, publiée ce 31 janvier 2024 sur Legifrance, la Cnil a accepté de valider pour trois ans la constitution d’un tel entrepôt, pour le compte de l’Agence européenne du médicament.