Perché la CNIL convalida l'archiviazione dei dati sanitari francesi presso Microsoft?

La pillola fa fatica a passare per gli specialisti francesi di archiviazione dati e sostenitori del cloud sovrano. La CNIL, in una decisione del 3 gennaio, ha annunciato di aver consentito ciò Caching dei dati sanitari francesi presso MicrosoftTuttavia, è soggetto alle leggi statunitensi extraterritoriali, come parte di un progetto europeo di ricerca sanitaria chiamato EMC2.

La scelta del fornitore cloud statunitense rientra nello sviluppo della piattaforma di ricerca europea EMC2. Si tratta di una sorta di equivalente europeo dell’Health Data Hub, la piattaforma francese lanciata nel 2019 per facilitare la condivisione dei dati sanitari e promuovere la ricerca, e che è già ospitata sui server Microsoft Azure almeno fino al 2025.

Il progetto in questione riguarda i dati dei pazienti ricoverati in medicina, chirurgia e ostetricia a partire dal 2022 in quattro grandi ospedali francesi (Hospices Civils de Lyon, Centre Léon Bérard, Nancy University Hospital e Saint Joseph Hospital Foundation) e i dati dell'assicurazione sanitaria relativi ai rimborsi Costi di consultazioni, cure e corsi ospedalieri per questi stessi utenti. I dati saranno resi anonimi per ridurre il rischio di reidentificazione del paziente. L’obiettivo del progetto è promuovere la ricerca sui dati sanitari e migliorare la prevenzione, la diagnosi e il trattamento delle malattie.

Opzione predefinita a causa della mancanza di un'alternativa locale

La nomina di Microsoft è un'opzione ipotetica e insoddisfacente, come spiega la CNIL. Fino ad ora, la Commissione ha sempre sottolineato i rischi che le autorità straniere accedano ai dati inerenti all’archiviazione presso fornitori cloud non europei.

Il caso di Microsoft è particolarmente sintomatico, perché Anche se i dati del progetto saranno ospitati in data center situati in Francia, l'azienda americana è soggetta alle leggi extraterritoriali del suo Paese Ciò consente alle autorità locali, in alcuni casi, di richiedere agli operatori cloud nazionali di fornire loro i dati che ospitano lì, indipendentemente da dove provengano nel mondo. In teoria, i dati sanitari francesi potrebbero quindi essere a disposizione dei servizi segreti statunitensi, senza informare gli interessati.

Nella sua decisione del 21 dicembre, pubblicata il 31 gennaio, la CNIL ha finalmente accettato di convalidare per tre anni l'hosting dei dati degli archivi da parte dell'EMA sulla base di “nessun potenziale fornitore di servizi” tra gli operatori francesi ed europei. non fornire un'offerta di hosting che soddisfi i requisiti tecnici e funzionali” del progetto.

L’autorità si rammarica che “nessun fornitore di servizi in grado di soddisfare le esigenze espresse dal progetto protegge attualmente i dati dall’applicazione di leggi extraterritoriali di paesi terzi” e spera che un cloud europeo affidabile abbia il tempo di apparire “qui tra tre anni”.

Tre aziende francesi erano candidate

La decisione ha suscitato forti reazioni nell’ecosistema francese. Lanciato da Thomas Faury, presidente di Whaller, una piattaforma francese per il social networking collaborativo sicuro Petizione per chiedere alla CNIL di riconsiderare la sua posizione In nome della sovranità digitale della Francia. “La Francia non è riuscita a riunire le sue aziende e i suoi esperti tecnologici per sviluppare una soluzione nazionale per l'hosting dei dati sanitari”, denuncia William Meuzon, direttore della startup francese Livia, specializzata nell'archiviazione dei dati.

Ricordiamo che tre società francesi specializzate nell'hosting di dati, ovvero OVH Cloud, Numspot e Cloud Temple, sono state valutate alla fine del 2023 dalla Digital Health Commission (DNS) per valutare se fossero in grado di seguire Microsoft, la società madre. Attuale ospite dell'Heath Data Hub per il progetto EMC2. Ma l’amministrazione ha concluso che nessuna di queste piattaforme soddisfaceva le specifiche del progetto europeo.

Per saperne di più