Microsoft stockera toutes les données de santé des Français, ce qui rend furieux les acteurs tricolores du Cloud

Alexandre Boero
Chargé de l'actualité de Clubic
02 février 2024 à 17h26
30
Microsoft hébergera vos données de santé ces trois prochaines années © rafapress / Shutterstock.com
Microsoft hébergera vos données de santé ces trois prochaines années © rafapress / Shutterstock.com

La CNIL a autorisé le stockage des données de santé des Français chez le géant américain Microsoft. Et la décision suscite l'incompréhension de certaines entreprises hexagonales du Cloud, comme Leviia, qui évoquent une décision grave.

Dans une décision publiée au Journal officiel le 31 janvier 2024, la Commission nationale de l'informatique et des libertés (CNIL) a officiellement autorisé Microsoft à héberger les données de santé des Français. Le tout sera piloté par le Health Data Hub (HBU), la plateforme des données de santé (PDS) qui, sous la forme d'un groupement d'intérêt public (GIP), est censée garantir un accès unifié, sécurisé et transparent à ces informations, pour améliorer la prise en charge des patients et la qualité des soins.

Sauf que la décision de la CNIL ne semble pas franchement aller dans un sens franco-français. Voici comment et pourquoi le HBU a désormais toute la liberté de confier vos données de santé à un géant américain.

Microsoft, qui n'est pas certifiée parmi les Clouds les plus sécurisés en France, va quand même stocker vos données de santé

Plus précisément, la CNIL a autorisé la création de ce qu'on appelle un entrepôt de données de santé, baptisé EMC2, qui se nourrit du traitement automatisé de données personnelles et qui est piloté par l'Agence européenne du médicament. Jusqu'ici, tout va bien. Sauf que les données de santé des Français doivent en théorie être hébergées chez des fournisseurs qualifiés SecNumCloud.

Pour rappel, SecNumCloud est comparable à un visa de sécurité délivré par l'ANSSI, l'Agence nationale de la sécurité des systèmes d'information, aux acteurs qui attestent d'un niveau de protection suffisamment élevé des données sensibles. Et en France, le gendarme de la cybersécurité n'a délivré le label qu'à cinq entreprises : Secure Temple, Oodrive, Outscale, Wordline et OVH, tous des acteurs français.

Microsoft, et c'est tout le problème, n'a pas encore décroché ce visa, même s'il le convoite pour 2025 aux côtés d'Orange et de Capgemini pour leur co-entreprise Bleu, récemment créée. Pourtant, la CNIL a décidé, non sans se justifier, nous allons en reparler, d'autoriser l'hébergement de ce fameux entrepôt de données de santé de l'Assurance maladie par Microsoft.

« La France n'est pas capable d'héberger ses propres données de santé »

La décision, vous l'aurez compris, fait débat. Car outre le choix de Microsoft, le deal prévoit que ces données de santé soient confiées à l'entreprise américaine pendant 3 ans, temps nécessaire à la réalisation de la migration du Health Data Hub vers une solution souveraine. Au départ, le contrat devait porter sur 10 ans. La qualité du Cloud Azure de Microsoft n'est pas remise en cause, mais il faut avoir à l'esprit que s'appliqueront les lois américaines à portée extra-territoriale sur des données de santé d'un autre pays, en l'occurrence la France, dont nos dirigeants vantent sans cesse la « souveraineté ».

« Ce que nous pouvons dire et le dire avec gravité : c'est que la France n’est pas capable d’héberger ses propres données de santé. Et nous parlons bien de "la France", car il s’agit là de données gérées par le GIP PDS, le groupement d’intérêt public plateforme des données de santé, sous la direction du ministère des Solidarités et de la Santé », s'emporte le cofondateur de Leviia, entreprise française du stockage de données souverain, William Méauzoone.

La CNIL a semble-t-il fait un choix par défaut, puisqu'« après consultation, aucun prestataire français ne propose d'offres d'hébergement répondant aux exigences techniques et fonctionnelles » du projet, selon les propres mots du gendarme des données. Et cela embête d'autant plus William Méauzoone, dont l'entreprise, comme d'autres, n'a pas été conviée aux discussions. « Cela souligne une lacune énorme dans la planification et la coordination des ressources nationales pour répondre à un défi éminemment important », ajoute-t-il, en demandant l'annulation pure et simple de la décision de la CNIL. « Il est impératif que la France dispose de son propre écosystème de stockage de données certifiées ». Il serait effectivement temps.

Alexandre Boero

Alexandre Boero

Chargé de l'actualité de Clubic

Chargé de l'actualité de Clubic

Journaliste, chargé de l'actualité de Clubic. Reporter, vidéaste, animateur et même imitateur-chanteur, j'ai écrit mon premier article en 6ème. J'ai fait de cette vocation mon métier (diplômé de l'EJC...

Lire d'autres articles

Journaliste, chargé de l'actualité de Clubic. Reporter, vidéaste, animateur et même imitateur-chanteur, j'ai écrit mon premier article en 6ème. J'ai fait de cette vocation mon métier (diplômé de l'EJCAM, école reconnue par la profession), pour écrire, interviewer, filmer, monter et produire du contenu écrit, audio ou vidéo au quotidien. Quelques atomes crochus avec la Tech, certes, mais aussi avec l'univers des médias, du sport et du voyage. Outre le journalisme, la production vidéo et l'animation, je possède une chaîne YouTube (à mon nom) qui devrait piquer votre curiosité si vous aimez les belles balades à travers le monde, les nouvelles technologies et la musique :)

Lire d'autres articles
Vous êtes un utilisateur de Google Actualités ou de WhatsApp ? Suivez-nous pour ne rien rater de l'actu tech !
google-news

A découvrir en vidéo

Rejoignez la communauté Clubic S'inscrire

Rejoignez la communauté des passionnés de nouvelles technologies. Venez partager votre passion et débattre de l’actualité avec nos membres qui s’entraident et partagent leur expertise quotidiennement.

S'inscrire

Commentaires (30)

Baxter_X
Même si les données stockées seront bein évidemment chiffrées, cela reste une honte en terme de souveraineté et d’image.<br /> Il est indispensable que l’Europe se réveille sur ce point et mette en place son propre système souverain.
somoved
Je vais demander à ce que mes données n’y figure pas. Mais bon on n’aura sûrement pas trop le choix.
Ezeta
Il y a quelque chose que je n’ai pas dû bien comprendre dans l’article…<br /> Ils ont évalué plusieurs entreprises françaises, et aucune d’elle ne répond aux exigences… Du coup, ils donnent le contrat à une autre entreprise extérieure qui non plus ne répond pas aux exigences… Quelle est l’intérêt ?<br /> Ou alors, il y a plusieurs exigences, Et l’une d’entre elle était plus importante que toutes les autres, et seul Microsoft savait y répondre ? Laquelle ?
pecore
Bien que pro-Européen, je pense que l’Europe est encore très loin d’être assez unifiée pour qu’une base de donnée commune puisse être envisagée sur des sujets aussi importants.<br /> Pour envisager une telle mise en commun, il faudrait que le système de santé soit lui-même unifié entre tous les pays et ça, ce n’est pas demain la veille. À chaque pays donc de protéger ses données, pour l’instant et oui, ce serait bien que la France ait le contrôle sur celles de ses concitoyens.
Droz
Ca pue la corruption à la CNIL.
Neferith
«&nbsp;Ce que nous pouvons dire et le dire avec gravité : c’est que la France n’est pas capable d’héberger ses propres données de santé.&nbsp;» =&gt; Tranquillou le mec est en train d’affirmer qu’actuellement en France, les gens ne peuvent pas etre soigné. Ah mais en fait non, ce qu’il dit est absurde. Bref comme d’hab, on veut nous vendre plus de centralisation de donnée comme l’alpha et omega de toute chose.<br /> On ne peut pas en stocker plus ? Bah ne le faisons pas.<br /> Dans le fond, tout ça n’est bien entendu qu’une affaire de sous. La santé n’est pas le sujet.
trollkien
Windows, Office, maintenant les services cloud sensibles.<br /> On est pas sortis des griffes de Microsoft…
g-m1n1
Trop tard pour une solution européenne commune.<br /> Dommage, car certains projets européens comme Airbus ont été de beaux succès. On sait le faire si on s’entend tous. Mais que c’est difficile et long à chaque fois…<br /> Pour la France, OVH me semble être quand même un fournisseur sérieux et suffisamment grand? Étonnant.
nephermat
c’est sur que dire qu’il est indispensable que «&nbsp;l’Europe&nbsp;» se reveille ca va bien dans le sens de notre souveraineté mdr …
Daeneroc
Donc d’un coté la CNIL qui dit que les exigences techniques se sont pas remplies par les acteurs français.<br /> De l’autre coté ces mêmes acteurs, forcément avides de remporter un contrat public, qui disent «&nbsp;comment ca ? comment ca ?&nbsp;»<br /> Ca aurait été cool d’avoir quelques exemples de ces spécificités techniques que la CNIL exige. Impossible de savoir qui a tort ou raison sans ca.
LeChien
La France (et d’autres, aussi) est à la ruecomparativement (j’insiste) aux grands noms du cloud.<br /> Dès qu’on parle temps réel, dès qu’on parle cybersec&amp;def, dès qu’on parle uptime et PRA. Les choses évoluent et tant mieux. Pas assez vite… Donc devrait-on mettre les projets en pause pour les attendre ?<br /> Si (et seulement si) les personnes en charge de mettre les choses en prod sur cloud MS font les choses bien, nos données seront bien mieux à l’abri que si elles étaient sur cloud souverain.<br /> Et s’ils font les choses mal… Ben y’a pas de miracle ! Et la France pourra tjrs dire qu’elle s’est trompée en faisant confiance à blah blah blah. C’est confort.<br /> Le très haut secteur financier mondial est en partie sur Azure… En tenant EU et avec les mesures qui vont bien vis à vis de certaines législations un peu trop curieuses, off course.
Palou
trollkien:<br /> On est pas sortis des griffes de Microsoft…<br /> De toute façon, si ce n’était pas Microsoft, ce serait AWS (Amazon Web Services) et ce ne serait pas mieux
ultrabill
Baxter_X:<br /> Il est indispensable que l’Europe se réveille sur ce point et mette en place son propre système souverain.<br /> La «&nbsp;souvernaité européenne&nbsp;»… nos données de santé n’ont pas plus leur place sur un SI américain qu’un SI autrichien.
65root
Une belle honte pour la France, même si les acteurs Français étaient un peu à la traine cela aurait été mieux de leur confier ces données. Maintenant cela sera IMPOSSIBLE de les reprendre. Déjà je peste envers les docteurs qui ont leur mail sur gmail. Se réfugier sous le fait que ces données sont cryptées ne tiens pas, cela sera cassé dans peu de temps avec le quantique. Le cloud est a éviter.
Joeee
pecore:<br /> Bien que pro-Européen, je pense que l’Europe est encore très loin d’être assez unifiée pour qu’une base de donnée commune puisse être envisagée sur des sujets aussi importants.<br /> Sauf erreur de ma part, actuellement il ne s’agit pas de stockées les données de santé de tous les Européens sur le cloud Américain mais uniquement les données des Français.<br /> On pourrait donc imaginer un cloud Européens mais avec chacun ses spécificités.<br /> g-m1n1:<br /> Trop tard pour une solution européenne commune.<br /> Du coup on abandonne, et on laisse nos portes grandes ouvertes ?
Baxter_X
Pourrais tu me dire en quoi ça ne va pas dans le sens d’une souveraineté?
ti4444
Le cloud non souverain
kroman
Avez vous le lien «&nbsp;opt-out&nbsp;» ? Merci
gothax
On est vraiment des abrutis, quelle honte de confier des données sensibles à un pays extérieur !
Loposo
Il y a du cloud en France même en Suisse. Ça semble surtout être politique tout ça. Après ça nous fait des discours de réarmement mais au final rien du tout. Que des paroles déjà détruits l industrie mais ils vont détruire l informatique
Kratof_Muller
L’article ne dit pas certains détails que j’ignore mais que je vais conjecturer.<br /> L hébergement, c est deux choses :<br /> 1 Un vaste complexe d’allées rempli de serveurs et fibrés<br /> 2 Une solution logicielle, ici microsoft azure et ses services.<br /> Il n’est absolument pas nécessaire que les données soient stockées aux États Unis pour utiliser une solution Microsoft ( j aime pas crosoft mais ca passe …)<br /> Les remarques sur le pillage, blabla extra territorialité ( oui d accord, j aime pas trop le polit bureau yankee, mais ca passe …)ca ne tient pas, à aucun moment les clefs de la maison sont à Microsoft, et si crosoft utilise une porte dérobée, c est de l espionnage et du vol, donc gros soucis diplomatique, qui passera peut-être sous silence avec quelques barbouzeries comme on peut en faire.<br /> Mais oui on a des moules qui à défaut d’utiliser des professionnels français badgés Veritas iso 92600 promotelec, vivrelec, label rouge bio, préfèrent des moules coca frites devcon4 iso sauce burger , c’est un peu navrant ( comme une partie du reste)
pascal.gautherot
Oui, en tant qu’organise publique, on nous a autorisé à mettre certaines données chez OVH…
impli
Les boitte françaises qui ne sont pas consultées et la CNIL nous sort qu’elles n’ont pas le niveau d’exigence nécessaire…<br /> Y’a du avoir un sacré lobbying du côté de Microsoft.<br /> Non mais c’est vrai que refiler les données de l’assurance maladie à une boîte américaine, c’est vraiment l’idée du siècle.<br /> L’avantage c’est qu’ils n’auront même plus besoin d’essayer de pomper nos donnés ou de nous espionner (coucou Prisme), on leur donne directement sur un plateau.<br /> C’est une honte…<br /> La CNIL vient de signer elle-même son aveu d’incompétence.
LeChien
EduRank.org - Discover university rankings by location – 11 Aug 21<br /> 100+ Best Cyber Security universities in France [Rankings]<br /> Below is the list of 100 best universities for Cyber Security in France ranked based on their research performance: a graph of 28.7M citations received by 1.43M academic papers made by these universities was used to calculate ratings and create the...<br />
Laurent_Marandet
On devrait dissoudre la CNIL après une telle trahison !
clintl
Airbus n’a jamais été un projet Européen. Et heureusement, il aurait échoué.
jvachez
Quand on voit qu’il y a OVH dans la liste des certifiés alors qu’ils ont perdu des données dans un incendie on comprend pourquoi ils ont préféré Microsoft.
Laurent_Marandet
Microsoft qui cherche depuis une semaine pouquoi outlook.com ne fonctionne pas bien, sans avoir trouvé la cause.
matthieu.masson.md
Désolé d’être à contre-courant mais j’ai envie de dire «&nbsp;bien fait pour les acteurs du cloud français&nbsp;». Leurs offres sont à peine moins chère que Microsoft (et pas tout le temps) pour un service qui est à mille année lumière de celui de Microsoft ou AWS.<br /> Pour avoir travaillé avec OVH et Orange Souvent, les usages sont complexe autant pour les équipes technique que pour les utilisateurs finaux, la sécurité est une gageur a mettre en place (passons sur OVH qui perd des données avec un seul centre qui brûle).<br /> Un autre exemple avec la poste et l’identité numérique, vous avez essayé de l’utiliser ?? C’est sécure (probablement) mais une vrai galère si on veut l’utiliser tous les jours !!!<br /> Essayer Microsoft Authenticator ou Google Authenticator, ça vous simplifie la vie et permet même de ne plus avoir de mot de passe à retenir !<br /> Que le cloud français arrête de pleurer et charbonnez pour se mettre à niveau voir dépasser le niveau de service.
matthieu.masson.md
Plus complexe que ça. Mais avec l’offre Microsoft, tu peux chiffrer les données que tu déposes avec une clé qui t’appartient et donc tu es le seule à pouvoir déchiffrer tes données.<br /> La problématique est politique. Microsoft étant une société américaine, elle dois se conformé aux lois américains notamment 3 lois qui dit dans les grandes lignes : Si le gouvernement américain demande à accéder a des données qui sont chez vous (Microsoft), même si les données sont sur un territoire étranger (la France par exemple) vous devez nous les fournir.<br /> Du coup, Microsoft (qui est bien embêté mais n’a pas le choix) ne peut en aucun cas garantir que les données ne peuvent pas être envoyé aux US.<br /> Un exemple :<br /> Un terroriste de nationalité française a fait explosé la maison blanche. Il est en cavale. En France, il y a des lois qui exige qu’un juge valide une demande pour accéder à des données personnel surtout médical. Alors que là, les US pourrais demandé sont dossier médical directement à Microsoft.
Voir tous les messages sur le forum

Top app & logiciels

Avast One
Avast One TÉLÉCHARGER
Opera
Opera TÉLÉCHARGER
Norton 360
Norton 360 TÉLÉCHARGER
CyberGhost VPN
CyberGhost VPN TÉLÉCHARGER
Bitdefender Total Security
Bitdefender Total Security TÉLÉCHARGER
Origin
Origin TÉLÉCHARGER
ChatGPT
ChatGPT TÉLÉCHARGER
WinRAR
WinRAR TÉLÉCHARGER
Paint.NET
Paint.NET TÉLÉCHARGER
Adobe Photoshop CC 2024
Adobe Photoshop CC 2024 TÉLÉCHARGER
Tous les logiciels
Haut de page

Sur le même sujet

Leviia, le stockage cloud français qui allie performance, confidentialité et prix mini Leviia, le stockage cloud français qui allie performance, confidentialité et prix mini
Starlink et X premium (ex-Twitter) : faut-il encore écouter Elon Musk ? Starlink et X premium (ex-Twitter) : faut-il encore écouter Elon Musk ?
Gmail vs Infomaniak Mail : la messagerie suisse peut-elle faire face à Google ? Gmail vs Infomaniak Mail : la messagerie suisse peut-elle faire face à Google ?
Pour Apple, Android est « un dispositif de pistage géant » Pour Apple, Android est « un dispositif de pistage géant »
Google souffle ses 25 bougies : retour sur un quart de siècle de succès et de ratages Google souffle ses 25 bougies : retour sur un quart de siècle de succès et de ratages