Mauvaise nouvelle pour Microsoft. La CNIL estime que l’annulation du Privacy Shield change radicalement la situation et rend urgent le transfert du Health Data Hub sur des Clouds de droit Européen exclusivement.

Le « Health Data Hub » (HDH, aussi dénommé PDS pour Plateforme de Données de Santé) est une plateforme de centralisation et de stockage des données de santé devant faciliter des études globales de santé et le développement de nouvelles applications.
Depuis plusieurs mois, et plus particulièrement depuis l’apparition de l’application Stop Covid, le choix du cloud qui accueille le HDH est contesté et remis en cause par une quantité infinie de lobbies, de politiques et d’observateurs.

Le stockage du « Health Data Hub » a en effet été confié à Azure. Ce n’est pas tant le fait que ce soit Microsoft qui attire tant d’animosité sur ce choix, que le fait qu’Azure dépende d’une entreprise Américaine. Il y a un peu plus de deux ans, ce choix a été réalisé sans appel d’offres, par une procédure rapide, un peu en catimini, parce que les options étaient à l’époque très limitées : les clouds disposant à la fois d’un stockage certifié HDS (autrement dit présentant les garanties de sécurité nécessaires pour accueillir des données de santé) et d’un PaaS suffisamment élaboré pour réaliser simplement du Machine Learning et de la visualisation n’étaient pas légion.

La CNIL ne veut pas d’étatsuniens…

À l’heure de Gaia-X, des discours géopolitiques où chaque pays ne parle plus que de souveraineté et ne voit plus son voisin que comme un espion, et où la donnée a désormais plus de valeur que l’or pur, Microsoft se retrouve pris pour cible de toutes parts et son hébergement du PDS déjà condamné à courte échéance.

La CNIL vient d’ailleurs de statuer et de guillotiner le projet originel : « le changement de la solution d’hébergement (du Health Data Hub) et des autres entrepôts de santé hébergés par les sociétés soumises au droit étasunien devrait intervenir dans un délai aussi bref que possible ». C’est une très mauvaise nouvelle pour Microsoft mais aussi pour Google, AWS, Oracle Cloud, IBM Cloud, Alibaba Cloud (qui n’a pourtant rien d’ « Etasunien »). Et c’est, sur le papier, une excellente nouvelle pour les hébergeurs européens comme Scaleway, OVHcloud ou T-Systems. Mais les choses ne sont pas si simples.

En effet, pour la CNIL, la décision de la Cour de justice européenne d’invalider le « Privacy Shield » qui régissait le transfert de données entre l’Europe et les États-Unis « change radicalement la situation ». Pour l’organisme ,« la solution la plus effective consiste à confier l’hébergement de ces données à des sociétés non soumises au droit étatsunien ». La CNIL demande par ailleurs au gouvernement de réduire au strict minimum la nécessaire période de transition menant aux transferts des données du PDS d’Azure vers un hébergeur européen.

Et Gaia-X ne sera pas la solution…

On notera au passage que la CNIL se focalise sur la seule invalidation du « Privacy Shield » semblant totalement oublier au passage que cette même cour de justice européenne a rappelé la validité des clauses contractuelles types (confirmées par l’arrêt Schrems II) qui permettent aux entreprises d’encadrer les transferts de données, clauses contractuelles à notre connaissance justement utilisées par Microsoft et le ministère de la Santé dans leurs accords d’hébergement du Health Data Hub sur Azure.

Reste que la décision de la CNIL est quasi impossible à contrecarrer pour Microsoft. Car l’arrêt Schrems II de la Cour de justice européenne a rappelé que les autorités de contrôle (la CNIL dans le cadre de la France) sont en première ligne de la protection des données personnelles et ont pleine autorité en la matière. Elles peuvent notamment interdire ou suspendre immédiatement les transferts de données vers les pays tiers.

Le risque est finalement que le projet Health Data Hub, qui était pertinent et intéressant, ne finisse totalement dans les oubliettes.
Il aurait été plus simple de décider dès le départ que dans l’Union Européenne, aucun organisme public ni aucune entreprise liée à un organisme public, n’a le droit d’utiliser un cloud autre qu’Européen. Car au final, c’est exactement ce qui est en train de se passer.

Mais attention à ce qu’on appelle « Cloud Européen ». La CNIL rappelle en effet  « qu’il ne suffit pas que l’hébergeur ait son siège social hors des États-Unis pour ne pas être soumis en partie au droit étatsunien, s’il exerce une activité dans ce pays ».
Autrement dit, le futur hébergeur du PDS devra faire une croix sur ses activités hors d’Europe… De quoi refroidir les ardeurs de certains acteurs qui ont tant dénoncé le choix d’Azure. Mais une décision et un rappel qui pourraient aussi compliquer l’émergence du projet Gaia-X.