Discussion :

[darklinux]

Que pensez-vous de l’appel de la CNIL à choisir un prestataire européen ?

Cela aurait du être fait des l ' établissement du cahier des charges et oui il aurait du être français

Que pensez-vous de la polémique concernant le choix de Microsoft ? Les craintes exprimées vous semblent-elles justifiées ?

Oui , cela ne remet pas en cause le leadership de Microsoft , mais une société extra communautaire n ' aurais même pas du être approchée

[redcurve]

Je résume donc Microsoft a pu proposer un POC qui tourne parce qu'ils ont investit depuis des années, pendant que les autres se touchaient la rondelle et donc [blablabla vomi contre les étrangers qui sont à minima des nazis etc.], il faudrait que ce soit un acteur bras cassé pousse dans l'c** qui puisse avoir le contrat quand même parce que parce que il est français ... Du grand n'importe quoi.

[john94]

quoiqu'il en soit, l'exploitation notamment des données de santé au travail du Health Data Hub France par des outils d'intelligence artificielle amènera une grande amélioration bienvenue de la prévention des risques professionnels : https://www.officiel-prevention.com/...nte-au-travail

[surcouf1]

Bonjour,

Je suis conscient que ce n'est pas directement le sujet, néanmoins je me demande: pourquoi part-on aujourd’hui du principe que l'hébergement de données doit se faire dans un cloud?
Oui, le cloud a des avantages évidents (installation, exploitation,...), mais ce sont des critères parmi d'autres, non? Le décideur mets les critères pondérés dans son tableau de décision et hop à la fin la décision est prise. Si la souveraineté sur les données stockées est si importante, il serait possible de mettre ce critère au-dessus des autres, et par là même, remettre en cause l'option cloud, si ces deux critères sont actuellement antinomiques.
N.B. antinomiques selon le comportement du gouvernement français dans les faits. Il se peut bien sûr (Cf réaction d'OVH) que les deux critères soient conciliables...

[Wokati]

j'ai donc pas l'impression qu'il y a tant d'informaticiens "non prestataires" que ça au service de l'état.

Pour ça faudrait que ça soit attractif.

Perso j'ai fait deux ans en CDD, je suis arrivée en me disant que je passerais les concours un peu plus tard, j'étais vraiment motivée. Je me suis barrée et j'ai aucune envie d'y retourner. Pourtant des supers collègues et un boulot qui aurait du être intéressant, juste gros foutage de gueule sur la rémunération, et des moyens beaucoup trop limités pour faire les choses correctement.

Maintenant je suis dans le privé : mieux payée, moins stressée, et même si j'essaie de réduire les coûts j'ai les moyens de faire les choses correctement.

Enfin bon s'ils mettaient les sous dans le recrutement de gens compétents, en s'alignant sur le marché, et dans les moyens leur permettant de faire leur boulot, plutôt que dans des prestataires, ils y gagneraient à terme, et il y aurait plus de candidats.

[Stéphane le calme]

Health Data Hub : la CNIL estime que Microsoft ne doit plus gérer les données de santé des Français depuis l'invalidation de l'accord Privacy Shield
et demande d'évaluer en urgence l'existence de fournisseurs alternatifs

Au nom de l’état d’urgence, le gouvernement français a accéléré la mise en place du Health Data Hub, une plateforme devant centraliser des données de santé. Nous pouvons citer des mesures comme l’arrêté du 21 avril qui autorise le Health Data Hub, ainsi que la Caisse nationale de l’assurance-maladie (Cnam), à collecter, « aux seules fins de faciliter l’utilisation des données de santé pour les besoins de la gestion de l’urgence sanitaire et de l’amélioration des connaissances sur le virus Covid-19 », un nombre considérable de données.

L’avis de la CNIL sur le projet a été demandé et la Commission n’a pas caché ses inquiétudes face à un possible transfert des données aux États-Unis notamment parce que le gouvernement français s’appuie sur l’américain Microsoft pour stocker l’ensemble des données de santé.

En juin, la CNIL a indiqué souhaiter qu’au vu de « la sensibilité et du volume des données ayant vocation à être hébergées au sein de la PDS (plateforme de données de santé, ndlr), pour lesquelles le niveau de protection technique, mais aussi juridique le plus élevé doivent être assurés, y compris en matière d’accès direct par les autorités de pays tiers, la CNIL a fait part de son souhait qu’une vigilance particulière soit accordée aux conditions de conservation et aux modalités d’accès aux données ».

La Commission nationale est allée plus loin en appelant au choix d’un hébergeur européen : « À plus long terme, elle a pris acte de ce qu’il lui a été indiqué que l’entrepôt appelé à être constitué au sein de la Plateforme des données de santé n’est pas lié aux services d’un unique prestataire. Elle souhaiterait, eu égard à la sensibilité des données en cause, que son hébergement et les services liés à sa gestion puissent être réservés à des entités relevant exclusivement des juridictions de l’Union européenne ».

Le même mois, une quinzaine d'organisations et de personnalités ont déposé un référé-liberté devant le Conseil d’État contre le déploiement de la base de données de Health Data Hub.

Il s’agit entre autres du collectif InterHop, composé de professionnels du secteur de la santé et de l’informatique médicale, mobilisé depuis près d’un an contre le projet, mais également par le médecin Didier Sicard, ancien président du Comité national consultatif d’éthique, le professeur Bernard Fallery, spécialiste des systèmes d’information, le Syndicat national des journalistes (SNJ), le Syndicat de la médecine générale (SMG), l’Union française pour une médecine libre (UFML), la représentante des usagers du conseil de surveillance de l’APHP, l’Observatoire de la transparence dans les politiques de médicaments, l’Union générale des ingénieurs, cadres et techniciens CGT (UGICT-CGT) et l’Union fédérale médecins, ingénieurs, cadres, techniciens CGT Santé et Action sociale (UFMICT-CGT Santé et Action sociale).

Selon eux, cette mise en place « porte une atteinte grave et sûrement irréversible aux droits de 67 millions d’habitants de disposer de la protection de leur vie privée notamment celle de leurs données parmi les plus intimes, protégées de façon absolue par le secret médical : leurs données de santé ».

Le motif : le Health Data Hub, avec ses données, est « hébergé sur le cloud de Microsoft ». Microsoft étant une entreprise américaine, « il n'y a pas de garantie que ces données ne seront pas exportées aux États-Unis », selon les auteurs du recours, s’alignant ainsi sur l’avis rendu par la CNIL.

Après l'invalidation du Privacy Shield, la CNIL prend position

En juillet 2020, la Cour de justice européenne a invalidé l'accord « Privacy Shield », la base légale sur laquelle s'appuyait Microsoft pour transférer certaines données vers ses serveurs outre-Atlantique, un arrêt qui « a radicalement changé la situation du recours à des solutions d'hébergement fournies par des acteurs étasuniens », selon la CNIL.

Le gendarme français des données personnelles rappelle que Microsoft, qui détient les clés de chiffrement des données stockées en Europe, est susceptible de réaliser certains transferts aux États-Unis pour des opérations d'administration. Et de préciser que l’entreprise est soumise « à des injonctions des services de renseignement (américains) l'obligeant à leur transférer des données stockées et traitées sur le territoire de l'Union européenne. »

Pour la CNIL, la situation est donc très claire : les données des citoyens européens ne peuvent plus être confiées à une entreprise américaine, même si celle-ci dispose d’un siège et de serveurs dans l’Union européenne. « Cette situation doit conduire à modifier les conditions d’hébergement de la PDS ainsi que celles des autres entrepôts de données de santé qui sont hébergés par des sociétés soumises au droit étatsunien ». Le gendarme soutient que ce changement d’hébergement « devrait intervenir dans un délai aussi bref que possible »

Consciente du défi technique d'un changement d'hébergement, la CNIL envisage « période de transition » dont la durée sera « limitée au strict nécessaire », et « recommande aux autorités publiques d'évaluer en urgence l'existence de fournisseurs alternatifs et leurs capacités, tant en volume de stockage qu’en qualité de service, afin d’évaluer la durée nécessaire pour cette transition, la plus courte possible ».

Durant cette période de transition, la CNIL propose de mettre en place « un fondement juridique permettant le cas échéant, de délivrer de telles autorisations, sous certaines garanties ». Elle précise que « cette période de transition doit rester limitée à ce qui est nécessaire et impérativement mise à profit pour garantir, par des démarches actives, la modification des conditions d’hébergement des données ».

Ce 8 octobre, auditionné par des sénateurs, le secrétaire d'État au Numérique Cédric O a annoncé que le gouvernement souhaitait stocker les données de santé du Health Data Hub – actuellement hébergées par Microsoft – en France ou en Europe.

« Nous travaillons avec [le ministre de la Santé] Olivier Véran, après le coup de tonnerre de l’annulation du Privacy Shield, au transfert du Health Data Hub sur des plateformes françaises ou européennes », a déclaré Cédric O. « Nous aurons sur ce sujet des discussions avec nos partenaires allemands », a-t-il ajouté.

Néanmoins, lors de l’audience au Conseil d’État, le ministère de la Santé a défendu une autre position, indiquant « qu'il n'y a pas d'alternative a Microsoft pour le HDH (Health Data Hub, ndlr) » au point de préciser que « le HDH n'est pas le seul à utiliser des acteurs américains » et de mettre en garde « contre une décision qui aurait des conséquences désastreuses au-delà du HDH ».

Sources :CNLL, ministère de la Santé

Et vous ?

Quel est votre avis sur le sujet ?

[Stéphane le calme]

Le Conseil d’État autorise Microsoft à héberger les données de santé des Français malgré l'invalidation de l'accord Privacy Shield
et les recommandations de la CNIL

La Plateforme pour centraliser les données de santé, organisme public également appelé « Health Data Hub », a été créée fin novembre 2019 afin de faciliter le partage des données de santé afin de favoriser la recherche. Certaines de ces données sont notamment utilisées pour les besoins de la gestion de l’urgence sanitaire et de l’amélioration des connaissances sur le virus covid-19. D'ailleurs, au nom de l’état d’urgence, le gouvernement français a accéléré la mise en place du Health Data Hub. Nous pouvons citer des mesures comme l’arrêté du 21 avril qui autorise le Health Data Hub, ainsi que la Caisse nationale de l’assurance-maladie (Cnam), à collecter, « aux seules fins de faciliter l’utilisation des données de santé pour les besoins de la gestion de l’urgence sanitaire et de l’amélioration des connaissances sur le virus Covid-19 », un nombre considérable de données.

La Plateforme a signé, le 15 avril 2020, un contrat avec une filiale irlandaise de la société américaine Microsoft pour l’hébergement des données et l’utilisation de logiciels nécessaires à leur traitement.

L’avis de la CNIL sur le projet a été demandé et la Commission n’a pas caché ses inquiétudes face à un possible transfert des données aux États-Unis notamment parce que le gouvernement français s’appuie sur l’américain Microsoft pour stocker l’ensemble des données de santé.

En juin, la CNIL a indiqué souhaiter qu’au vu de « la sensibilité et du volume des données ayant vocation à être hébergées au sein de la PDS (plateforme de données de santé, ndlr), pour lesquelles le niveau de protection technique, mais aussi juridique le plus élevé doivent être assurés, y compris en matière d’accès direct par les autorités de pays tiers, la CNIL a fait part de son souhait qu’une vigilance particulière soit accordée aux conditions de conservation et aux modalités d’accès aux données ».

La Commission nationale est allée plus loin en appelant au choix d’un hébergeur européen : « À plus long terme, elle a pris acte de ce qu’il lui a été indiqué que l’entrepôt appelé à être constitué au sein de la Plateforme des données de santé n’est pas lié aux services d’un unique prestataire. Elle souhaiterait, eu égard à la sensibilité des données en cause, que son hébergement et les services liés à sa gestion puissent être réservés à des entités relevant exclusivement des juridictions de l’Union européenne ».

Le même mois, une quinzaine d'organisations et de personnalités ont déposé un référé-liberté devant le Conseil d’État contre le déploiement de la base de données de Health Data Hub.

Il s’agit entre autres du collectif InterHop, composé de professionnels du secteur de la santé et de l’informatique médicale, mobilisé depuis près d’un an contre le projet, mais également par le médecin Didier Sicard, ancien président du Comité national consultatif d’éthique, le professeur Bernard Fallery, spécialiste des systèmes d’information, le Syndicat national des journalistes (SNJ), le Syndicat de la médecine générale (SMG), l’Union française pour une médecine libre (UFML), la représentante des usagers du conseil de surveillance de l’APHP, l’Observatoire de la transparence dans les politiques de médicaments, l’Union générale des ingénieurs, cadres et techniciens CGT (UGICT-CGT) et l’Union fédérale médecins, ingénieurs, cadres, techniciens CGT Santé et Action sociale (UFMICT-CGT Santé et Action sociale).

Selon eux, cette mise en place « porte une atteinte grave et sûrement irréversible aux droits de 67 millions d’habitants de disposer de la protection de leur vie privée notamment celle de leurs données parmi les plus intimes, protégées de façon absolue par le secret médical : leurs données de santé ».

Le motif : le Health Data Hub, avec ses données, est « hébergé sur le cloud de Microsoft ». Microsoft étant une entreprise américaine, « il n'y a pas de garantie que ces données ne seront pas exportées aux États-Unis », selon les auteurs du recours, s’alignant ainsi sur l’avis rendu par la CNIL.

Après l'invalidation du Privacy Shield, la CNIL estime que Microsoft ne doit plus gérer les données de santé des Français

En juillet 2020, la Cour de justice européenne a invalidé l'accord « Privacy Shield », la base légale sur laquelle s'appuyait Microsoft pour transférer certaines données vers ses serveurs outre-Atlantique, un arrêt qui « a radicalement changé la situation du recours à des solutions d'hébergement fournies par des acteurs étasuniens », selon la CNIL.

Le gendarme français des données personnelles rappelle que Microsoft, qui détient les clés de chiffrement des données stockées en Europe, est susceptible de réaliser certains transferts aux États-Unis pour des opérations d'administration. Et de préciser que l’entreprise est soumise « à des injonctions des services de renseignement (américains) l'obligeant à leur transférer des données stockées et traitées sur le territoire de l'Union européenne. »

Pour la CNIL, la situation est donc très claire : les données des citoyens européens ne peuvent plus être confiées à une entreprise américaine, même si celle-ci dispose d’un siège et de serveurs dans l’Union européenne. « Cette situation doit conduire à modifier les conditions d’hébergement de la PDS ainsi que celles des autres entrepôts de données de santé qui sont hébergés par des sociétés soumises au droit étatsunien ». Le gendarme soutient que ce changement d’hébergement « devrait intervenir dans un délai aussi bref que possible »

Consciente du défi technique d'un changement d'hébergement, la CNIL envisage « période de transition » dont la durée sera « limitée au strict nécessaire », et « recommande aux autorités publiques d'évaluer en urgence l'existence de fournisseurs alternatifs et leurs capacités, tant en volume de stockage qu’en qualité de service, afin d’évaluer la durée nécessaire pour cette transition, la plus courte possible ».

Durant cette période de transition, la CNIL propose de mettre en place « un fondement juridique permettant le cas échéant, de délivrer de telles autorisations, sous certaines garanties ». Elle précise que « cette période de transition doit rester limitée à ce qui est nécessaire et impérativement mise à profit pour garantir, par des démarches actives, la modification des conditions d’hébergement des données ».

Le traitement de données par Microsoft sur le territoire de l’Union européenne n’est pas en lui-même une illégalité grave et manifeste

Le juge des référés relève qu’il ne peut être totalement exclu que les autorités américaines, dans le cadre de programmes de surveillance et de renseignement, demandent à Microsoft et à sa filiale irlandaise l’accès à certaines données.

Mais, tout d’abord, la CJUE n’a pas, à ce jour, jugé que le droit européen de la protection des données interdirait de confier le traitement de données, sur le territoire de l’Union européenne, à une société américaine. En outre, une violation du règlement général sur la protection des données (RGPD) demeure dans un tel cas hypothétique, car elle supposerait que Microsoft ne soit pas en mesure de s’opposer à une éventuelle demande des autorités américaines. Les données de santé sont, par ailleurs, pseudonymisées avant leur hébergement et leur traitement par la Plateforme. Enfin, il existe un intérêt public important à permettre la poursuite de l’utilisation des données de santé pour les besoins de l’épidémie de covid-19 grâce aux moyens techniques dont dispose la Plateforme.

En conséquence, le juge des référés du Conseil d’Etat ne relève pas d’illégalité grave et manifeste qui justifierait la suspension immédiate du traitement des données par cette plateforme.

En revanche, face à l’existence d’un risque, et compte tenu du fait que le juge des référés ne peut prononcer que des mesures de très court terme, il demande au Health Data Hub de continuer, sous le contrôle de la CNIL, à travailler avec Microsoft pour renforcer la protection des droits des personnes concernées sur leurs données personnelles. Ces précautions devront être prises dans l’attente d’une solution qui permettra d’éliminer tout risque d’accès aux données personnelles par les autorités américaines, comme annoncé par le secrétaire d’État au numérique le jour même de l’audience au Conseil d’État (choix potentiel d’un nouveau sous-traitant, recours à un accord de licence suggéré par la CNIL…). Il rappelle également que les projets recourant au Health Data Hub sont ceux pour lesquels il n’existe pas d’autre solution technique satisfaisante compte tenu de l’urgence de la situation.

Source : décision du juge des référés du Conseil d’Etat

[olaxius]

En outre, une violation du règlement général sur la protection des données (RGPD) demeure dans un tel cas hypothétique, car elle supposerait que Microsoft ne soit pas en mesure de s’opposer à une éventuelle demande des autorités américaines.

Il vrai que la NSA n'a jamais obligé microsoft à avoir des backdoors dans son système d'exploitation en application de la loi fédérale.
Mais ça c'est de 2013 maintenant ce n'est plus pareil
Maintenant c'est la NSA qui averti Microsoft des failles de son OS, c'est dire si les données de santé des français sur le Health Data Hub sont bien protégées.
Le juge qui a pondu cet arrêt ne doit pas être au fait , ou ne comprend pas le monde informatique actuel ... ou alors il ne veut pas le voir ... mais ça c'est un autre débat .

[i5evangelist]

En tant que citoyens, nous pourrions peut-être déposer une requête, alerter les médias.
(il me semble que les questions de sécurité ont un écho favorable ces temps-ci)

Il est anormal que l'argent de nos impôts parte aux US. (bon sang, nous sommes tout de même capables d'être autonome sur ce sujet, c'est fou)

[SQLpro]

Ou le méchant Microsoft qui veut du mal au français... Mettons donc nos données dans le gentil Google ou le philanthropique Amazon !
Ou alors on attends sagement quelques décennies d'avoir un cloud franco français, le temps de devenir un état du tiers monde......

Donc, la question est d'opter pour le moindre mal...

A +

[zempa]

Ou le méchant Microsoft qui veut du mal au français... Mettons donc nos données dans le gentil Google ou le philanthropique Amazon !
Ou alors on attends sagement quelques décennies d'avoir un cloud franco français, le temps de devenir un état du tiers monde......

Donc, la question est d'opter pour le moindre mal...

A +

Qu'est ce qu'il faut pas lire...

[Fagus]

Le juge qui a pondu cet arrêt ne doit pas être au fait , ou ne comprend pas le monde informatique actuel ... ou alors il ne veut pas le voir .

Même pas sûr. Je crois que le Conseil d’État ne juge pas sur le fond mais sur la conformité au droit pour des requêtes concernant des faits graves, urgents, illégaux, ou mettant en jeu des libertés fondamentales. Si ça ne rentre pas dans ces cases alors ce juge n'a pas de pouvoir. Si un légiste passe, il pourra confirmer que ce n'était peut être juste pas la juridiction compétente.

[Karadoc]

En tant que DPO d'un établissement public, je galère (mais genre énormément) à essayer de faire comprendre qu'il ne faut pas placer nos données chez un tiers dont la maison-mère est aux USA. Je passe pour le gros méchant qui gonfle tout le monde et freine les projets.
Et là, paf, le Conseil d'État prend une décision complètement à rebours de ce qu'il aurait dû faire. Merci le travail de sape, merci l'exemplarité...

[yoyo88]

Je lis vos différente réponses et j'avoue êtres surpris...
On est beaucoup de pro à conseillé régulièrement le système de Microsoft.
Si on le conseille ce n'est pas part hassard et en connaissance de cause.

J'ignore se qu'il y a dans le cahier des charges précisément. Mais en gros si je comprends bien on veut une haute disponibilité, une grosse sécurité, des outils pour faire de l'IA et du traitement de masse etc.
Je ne suis peut être pas au faite de tout mais actuellement je ne vois aucun acteur européen capable de proposer une qualité de service comparable au service cloud de Microsoft.
(si il existe je serai curieux de savoir lequel)

[Marauder]

Et pendant ce temps là, la loi FATCA rend obligatoire la communication d'informations bancaires (relevés de comptes) et fiscales aux autorité américaines.
Mais ça, c'est bien moins grave que de stocker des données anonymisées sur des serveurs protégés et pour le coup, la CNIL s'en cogne comme de l'an 40...

[alain_du_lac]

Et pan sur le bec de la CNIL, qui se prend un peu trop pout l'autorité suprême dès qu'on parle d'informatique et de protection des données 😊

[LampeRouge]

Comme si en utilisant windows, les franco français était sur d'utiliser un matériel bien de chez eux.
Pour parfaire le tout, on utilise des boites mails américaine aussi. Il n'y a pas à dire: Les secrets sont bien gardés (par les américains).

[obelix67]

Oui il faut se poser la question de la sécurité de nos données, vous parlez de données anonymisées, quel candide est-vous. Nos données ne sont jamais stockées anonymement, seul les scientifiques responsables et honnêtes s'échangent des données presque anonymes.
La NSA, la CIA et autre s'intéressent à nos données personnelles et uniquement à celles-ci.
Mettez tout sur le "cloud" comme cela ils n'auront même pas besoin de voler les données, vous les leur présentez sur un plateau en argent.
Pour les grands conseillés, continuez et bientot vous ferez partie du transfer aux US....
Mais notre gouvernement n'ose pas s'opposer à un grand au vue des représailles futures, on préfère leur vendre ce qu'ils convoitent et puis on quitte le gouvernement et on laisse la m...e aux suivants.

A+

[destroyedlolo]

Ca fleure bon une fois de plus le copinage ...

[LampeRouge]

Bah. On sait tous d’où vient le président et qui a payé pour le mettre à la présidence. On ne s'étonne pas, mais c'est juste pour la perte du pays.