Dans une annonce parue au Journal officiel le 31 janvier 2024, la Commission nationale de l'informatique et des libertés (CNIL) a officiellement donné son aval à Microsoft pour héberger les données de santé des citoyens français.
Cette autorisation s'inscrit dans le cadre du Health Data Hub (HBU), une plateforme de données de santé fonctionnant en tant que groupement d'intérêt public (GIP). L'objectif affiché est d'assurer un accès unifié, sécurisé et transparent aux informations de santé, visant à améliorer la qualité des soins et la prise en charge des patients.
Cependant, la décision de la CNIL suscite des interrogations quant à son orientation nationale. En effet, elle permet désormais au HBU de confier les données de santé des Français à Microsoft, un géant américain. Microsoft n'est pas certifiée parmi les Clouds les plus sécurisés en France, contrairement à d'autres fournisseurs tels que Secure Temple, Oodrive, Outscale, Wordline et OVH, qui ont reçu le label SecNumCloud délivré par l'ANSSI, l'Agence nationale de la sécurité des systèmes d'information.
La CNIL a autorisé la création d'un entrepôt de données de santé, nommé EMC2, piloté par l'Agence européenne du médicament. Cependant, les données de santé des Français devraient normalement être hébergées chez des fournisseurs certifiés SecNumCloud en France.
Bien que Microsoft n'ait pas encore obtenu cette certification, la CNIL a néanmoins autorisé l'hébergement des données de l'Assurance maladie par cette entreprise, suscitant des débats. Le contrat initial prévoyait un partenariat de 10 ans avec Microsoft, mais il a été réduit à 3 ans, durée nécessaire pour migrer le Health Data Hub vers une solution souveraine.
Cette décision soulève des inquiétudes quant à l'application des lois américaines sur des données de santé françaises, malgré la vantée "souveraineté" du pays.
Certains critiques estiment que la France aurait dû être en mesure d'héberger ses propres données de santé, remettant en question la planification et la coordination des ressources nationales pour relever ce défi crucial. Certains acteurs du secteur, comme Leviia, n'ayant pas été inclus dans les discussions, demandent l'annulation de la décision de la CNIL et insistent sur l'importance d'établir un écosystème national de stockage de données certifiées.