La Cnil autorise le stockage de données de l'Assurance maladie chez Microsoft

La Cnil a autorisé l'hébergement temporaire chez l'américain Microsoft d'un entrepôt de données de santé pour la recherche alimenté par l'Assurance maladie, une première pour la gardienne française des libertés numériques, selon une décision parue mercredi sur Legifrance.

Jusqu'à présent, la Cnil n'avait jamais accepté d'autoriser des entrepôts alimentés par des données du Système national des données de santé (SNDS, géré par l'Assurance maladie), si ceux-ci devaient être hébergés sur une plateforme "cloud" - infrastructure informatique dématérialisée - non européenne.

Risque d'accès par les autorités américaines

La Cnil mettait en avant le risque d'accès aux données par des autorités étrangères, avec dans le collimateur les lois américaines à portée extraterritoriale notamment. Grâce à ces lois, les autorités américaines peuvent exiger dans certains cas que les opérateurs de cloud américains leur fournissent les données stockées chez eux, où qu'elles se trouvent dans le monde.

Mais dans une décision en date du 21 décembre, publiée ce 31 janvier 2024 sur Legifrance, la Cnil a accepté de valider pour trois ans la constitution d'un tel entrepôt, pour le compte de l'Agence européenne du médicament.

"Aucun prestataire potentiel" parmi les opérateurs de cloud français ou européens "ne propose d'offre d'hébergement répondant aux exigences techniques et fonctionnelles" du projet, constate la Cnil pour justifier sa décision, s'appuyant sur une mission d'étude réalisée par l'Etat.

Le futur entrepôt est un projet du Health Data Hub, la structure publique créée en 2019 qui doit devenir à terme le méga-entrepôt de données de santé françaises. 

Le projet validé par la Cnil, baptisé EMC2, concerne les données de patients fournies par quatre grands hôpitaux français et les données de l'Assurance maladie (remboursements de consultations et de soins, parcours hospitaliers, etc...), pour ces mêmes patients.

Traitement de masse des données

La décision de la Cnil va permettre au Health Data Hub d'expérimenter enfin le traitement de masse des données de l'Assurance maladie par des chercheurs. Du fait de son choix controversé de départ de se reposer sur Microsoft, ce Health Data Hub n'a jamais pu obtenir la copie totale du SNDS, qui devait constituer le joyau de sa couronne. 

Le feu vert de la Cnil couvre une durée de trois ans, le temps nécessaire pour installer le Health Data Hub chez un opérateur de cloud français ou européen (ce qu'elle a toujours demandé).

"Les données stockées par un hébergeur soumis à un droit extra-européen peuvent être exposées à un risque de communication à des puissances étrangères" rappelle toutefois la Cnil dans sa décision.

Le projet EMC2 doit permettre de faire avancer la recherche pharmaco-épidémiologique sur les effets à long terme des traitements médicaux. Le temps mis par la France à exploiter pour la recherche les données de son système de santé exaspère des chercheurs, qui redoutent d'être distancés dans une course scientifique à l'échelon mondial.