Le Conseil d’État reconnaît que le gouvernement US peut accéder aux données de santé des Français

Posté par  (site web personnel) . Édité par Davy Defaud. Modéré par Davy Defaud. Licence CC By‑SA.
97
15
oct.
2020
Justice

Dans une ordonnance rendue publique ce jour, le Conseil d’État, saisi par le collectif Santenathon, reconnaît que le gouvernement des États‑Unis peut accéder sans contrôle aux données de santé des Français hébergées par le Health Data Hub chez Microsoft, et demande des garanties supplémentaires.

Cette décision est justifiée par l’arrêt de la Cour de justice de l’Union européenne (CJUE) du 16 juillet 2020, dit « Schrems II », qui juge que la surveillance exercée par les services de renseignements américains sur les données personnelles des citoyens européens est excessive, insuffisamment encadrée et sans réelle possibilité de recours. La CJUE en a déduit que les transferts de données personnelles depuis l’Union européenne vers les États‑Unis sont contraires au règlement général sur la protection des données (RGPD) et à la Charte des droits fondamentaux de l’Union européenne, sauf à apporter des garanties particulières ou dans certains cas dérogatoires.

Les jours sont donc bien comptés pour cette plate‑forme développée depuis deux ans, sans appel d’offre, et au mépris de l’offre des sociétés françaises et européennes, notamment des acteurs du logiciel libre. Le Gouvernement a en effet exprimé, jeudi dernier devant le Sénat, sa volonté de transférer le Health Data Hub sur des plates‑formes françaises ou européennes. Dans l’intervalle, la juge du Conseil d’État demande au Health Data Hub de travailler à minimiser ce risque, notamment en concluant un nouvel avenant avec Microsoft, et à ce que la CNIL instruise les demandes d’autorisation des projets de recherche utilisant le Health Data Hub en vérifiant que l’intérêt du projet, compte tenu de l’urgence sanitaire actuelle, est suffisant pour justifier le risque encouru et que le recours à la plate‑forme est nécessaire.

Aller plus loin

  • # Quelques précisions

    Posté par  . Évalué à 10.

    J'imagine mal que cet hébergement ne passe pas sur un marché ouvert (via contrat-cadre ou procédure de gré à gré) avec le ministère de tutelle du Health Data Hub. Aussi certains marchés peuvent se passer d'appels d'offres si les montants en jeu sont inférieurs à une somme (que le premier employeur ici n'ayant pas bénéficié de ce mécanisme se lève et jette la première pierre).

    En France il existe bien des hébergeurs certifiés pour la gestion de données de santé (la liste est ici : https://esante.gouv.fr/labels-certifications/hds/liste-des-herbergeurs-certifies). Malheureusement, OVH, souvent cité, n'est pas conforme avec le ASIP HDS 5. Ma compréhension (probablement erronée) est qu'il n'est donc pas possible d'utiliser les services hébergés proposés (type Bloc Storage), c'est évidemment dommage. (OVH a, par ailleurs, d'autres problèmes de conformité à commencer par SOC3)

    Enfin, je me pose de grosses questions sur le jeu mené par la CNIL. En effet, les traitements sur des données de santé sont soumis à des autorisations préalable (le formulaire de demande se trouve ici : https://declarations.cnil.fr/declarations/declaration/accueil.action - je trouverai dommageable que du temps (et donc de l'argent qui plus est public) ait été investi après validation initiale de la CNIL, pour finir sur un rétropédalage.

    • [^] # Re: Quelques précisions

      Posté par  . Évalué à 10. Dernière modification le 15 octobre 2020 à 13:41.

      Remarques pertinentes.
      Je trouve également dommageable que les données de santé des français se retrouvent sur une plateforme US.
      Derrière cette décision d'il y a deux ans, apparemment remise en question au sein du gouvernement au vu de cet article, se trouvent sans doute des tenants et des aboutissants dont nous n'avons pas, et n'aurons sans doute jamais, le détail. Je ne crois pas à la théorie du complot (gouvernement vendu au US), je crois plutôt en des raisons plus pragmatiques, comme la pré-existence d'un contrat ou la qualité de service rendue par MS.
      Je pense qu'il serait bien dans ce cadre, que la France n'avance pas seule, mais se concerte aussi avec les autres pays européens pour faire une politique commune. Je ne vois en effet pas pourquoi les données de santé des grecs ou des portugais pourraient elles se retrouver sur des sites US, alors que ce n'est pas bon pour les français, alors que ces pays auront moins de poids face à des géants comme ms, qui font énormément de lobbying et ont des leviers face à des gouvernements.
      Enfin, concernant la protection des données personnelles en général, nous allons face à un problème de taille suite à l'invalidité du "privacy shield" en juillet dernier, vu l'usage très important de plateformes situées aux US dans l'internet.
      https://www.cnil.fr/fr/invalidation-du-privacy-shield-la-cnil-et-ses-homologues-analysent-actuellement-ses-consequences

      D'ailleurs, cette précision en fin de phrase de la dépêche "les transferts de données personnelles depuis l’Union européenne vers les États‑Unis sont contraires au règlement général sur la protection des données (RGPD) et à la Charte des droits fondamentaux de l’Union européenne, sauf à apporter des garanties particulières ou dans certains cas dérogatoires.".
      Je m'interroge sur la qualités des garanties qui peuvent être apportées, face à la décision d'une administration américaine.
      Voyons ce qu'en dit Gandi :
      https://news.gandi.net/fr/2020/07/privacy-shield-invalide-ce-quil-faut-retenir/
      Quelle est la protection que peuvent apporter des "clauses contractuelles type" ?
      Moi je dis : chiffrons nos données ! et surtout, évitons les stockages US, mais aussi lorsque c'est possible les boîtes américaines, car il y a aussi le "cloud act" !
      Vu l'importance que cet état semble accorder à nos infos, ce n'est que plus suspicieux.

      • [^] # Re: Quelques précisions

        Posté par  (site web personnel) . Évalué à 6.

        des tenants et des aboutissants dont nous n'avons pas, et n'aurons sans doute jamais, le détail

        dessous de table ?!

        Je pense qu'il serait bien dans ce cadre, que la France n'avance pas seule, mais se concerte aussi avec les autres pays européens pour faire une politique commune.

        entièrement d'accord ! C'est pas pour rien que nos amis teutons sont dans l'Europe :-)

        chiffrons nos données !

        moui, mais sans donner la clé à l'hébergeur… euh, wait, WTF !

        • [^] # Re: Quelques précisions

          Posté par  . Évalué à 0.

          sans appel d’offre, et au mépris de l’offre des sociétés françaises et européennes, notamment des acteurs du logiciel libre

          Non just une honnête et réelle vérité : il n'y a aucun cloud européen qui arrive même à la cheville des Clouds US.

          C'est triste hein, soyons clair, mais c'est factuel.

          • [^] # Re: Quelques précisions

            Posté par  . Évalué à 6.

            Oui mais c'est précisément comme ça que les entreprises US assurent leur hégémonie commerciale. Il ne faut pas s'étonner que leurs offres de service se développent à grande vitesse et que les offres européennes rament en face si l'argent du contribuable européen passe directement dans les poches des multinationales US. C'est un effet d'auto-entraînement: tout ces contrats contribuent directement à l'asymétrie dans la recherche et le développement de nouvelles solutions.

          • [^] # Re: Quelques précisions

            Posté par  (site web personnel) . Évalué à 6.

            | il n'y a aucun cloud européen qui arrive même à la cheville des Clouds US

            C'est probablement exagéré mais un peu vrai et personne ne te contredira.

            On justifie aujourd'hui ces choix par l'urgence.

            Du coup la question: à qui la faute ? Histoire de ne pas recommencer les mêmes erreurs.

            Où sont allés les millions, les centaines de millions d'investissement dans le "cloud", depuis 10 ans ? Et pourquoi n'en est-il rien sorti ?

            En 2014, le projet Andromède avait accouché de 2 sous-projets - Numergy et Cloudwatt - à défaut d'avoir réussi à convaincre ses membres à travailler ensemble. Pourtant, cela paraissait simple: offrir 450 millions d'euros à 2 startups dans le besoin mais ayant démontré depuis longtemps leur capacité d'innovation: SFR et Orange.

            En 2014, donc, je discutais avec un "responsable de l'innovation" chez Mines-Telecom. On cherchait des partenaires pour des projets de R&D. Celui-ci ignorait tout simplement qu'OVH était fournisseur de cloud. La première offre commerciale cloud d'OVH date de 2010…

            Évidemment, les fondateurs d'OVH ne font pas partie de la "caste" télécom, à l'inverse des instigateurs et responsables des projets Cloudwatt ou Numergy.

            Alors, à qui la faute ? Des politiciens incompétents (on n'apprend pas le cloud à l'ENA) confient l'argent et les clés de l'innovation à des gens dont le seul mérite est d'appartenir à la bonne caste. Au passage, en snobant superbement ceux qui innovent réellement.

            La méritocratie n'a pas encore traversé l'Atlantique.

            D'ailleurs, anecdote assez drôle, si les résultats n'étaient pas dramatiques, lors de cette conversation de 2014, on se posait également la question de savoir ce que valaient les étudiants de l'EPITECH (je vous laisse imaginer la réponse de la part d'enseignants de Mines Telecom…). Pendant ce temps, Solomon Hykes, issu de l'EPITECH, levait des fonds pour un projet nommé Docker… dans la Silicon Valley.

            "Liberté, Sécurité et Responsabilité sont les trois pointes d'un impossible triangle" Isabelle Autissier

      • [^] # Re: Quelques précisions

        Posté par  . Évalué à 10.

        Je ne crois pas à la théorie du complot (gouvernement vendu au US), je crois plutôt en des raisons plus pragmatiques, comme la pré-existence d'un contrat ou la qualité de service rendue par MS.

        De mon côté je crois qu'une explication est dans la force de frappe financière des grands industriels américains de l'informatique : ils peuvent mettre les ressources nécessaires pour être certifiés plus vite que leurs concurrents plus petits, notamment européens, et remportent les marchés par la suite.
        (Marchés qui sont lancés suite à marketing bien effectué et démarchage commercial).

        De plus étant plus gros leur résilience est plus forte, là où les coûts de certification font que le choix de lancer une démarche ou non est beaucoup plus périlleuse pour une entreprise plus petite.

      • [^] # Re: Quelques précisions

        Posté par  (site web personnel) . Évalué à 10.

        1) Notre avocat, Maitre Soufron, a déclaré récemment dans une interview: https://www.marianne.net/societe/big-brother/health-data-hub-heberge-par-microsoft-il-y-a-un-probleme-de-competence-et-dintegrite-des-responsables-publics-qui-traitent-le-numerique

        "Nous avons un problème de formation, de compétence et d'intégrité des responsables publics qui traitent ce sujet. L'attribution du Health Data Hub à Microsoft relève de la corruption culturelle : le fait de prendre pour acquis certaines choses - ici, l'idée que Microsoft serait forcément plus compétent -, parce qu'elles apparaissent comme des solutions de facilité."

        Il y a bien à mon sens, a minima, un problème de cohérence et d'intégrité de la part d'un certain nombre de décideurs gouvernementaux à vouloir la souveraineté numérique de l'Europe et la défense de l'économie française, d'un côté, et de l'autre de signer les contrats que l'on sait avec Microsoft, Google, Amazon.

        On peut rappeler à ce sujet que l'actuel Ministre de la Santé, responsable in fine du Health Data Hub, réclamait il y a 2 ans, quand il n'était encore que simple Député: "la mise en place d'un calendrier de migration des systèmes d'informations des établissements publics de santé vers des logiciels libres et pour la généralisation et la rationalisation de l'utilisation des formats ouverts" en rappelant que "la Cour des comptes, dans son rapport annuel pour 2018, valide le recours aux logiciels libres au sein de l'État".

        2) Concernant l'existence possible de garanties que nos données ne transitent pas par les US, dans l'état actuel le tableau n'est pas du tout favorable, comme l'a observé la "CNIL européenne" en juillet dernier dans: https://edps.europa.eu/sites/edp/files/publication/20-07-02_edps_paper_euis_microsoft_contract_investigation_en.pdf

        "There's no such thing as can't. You always have a choice." - Ken Gor

        • [^] # Re: Quelques précisions

          Posté par  . Évalué à -1. Dernière modification le 15 octobre 2020 à 15:28.

          "Nous avons un problème de formation, de compétence et d'intégrité des responsables publics qui traitent ce sujet. L'attribution du > Health Data Hub à Microsoft relève de la corruption culturelle : le fait de prendre pour acquis certaines choses - ici, l'idée que > Microsoft serait forcément plus compétent -, parce qu'elles apparaissent comme des solutions de facilité."

          Je pense que l'accusation est grave, et en l'occurrence, il n'apporte aucun élément pour étayer ce qu'il dit dans son article.
          Le fait qu'il soit avocat n'est pas suffisant pour moi pour prendre ses propos pour "parole d'évangile". L'incompétence est une chose, le manque d'intégrité en est une autre. Le manque d'intégrité et l'incompétence, ça se voit aussi chez les avocats.

          • [^] # Re: Quelques précisions

            Posté par  (site web personnel) . Évalué à 6.

            « [L]'actuel Ministre de la Santé, responsable in fine du Health Data Hub, réclamait il y a 2 ans, quand il n'était encore que simple Député: "la mise en place d'un calendrier de migration des systèmes d'informations des établissements publics de santé vers des logiciels libres et pour la généralisation et la rationalisation de l'utilisation des formats ouverts" en rappelant que "la Cour des comptes, dans son rapport annuel pour 2018, valide le recours aux logiciels libres au sein de l'État".

            En tout cas on peut tout à fait définitivement exclure le problème culturel. Le monsieur sait parfaitement qu'il existe des alternatives.

            Ne reprochons pas à un avocat de n'avoir par les moyens de la justice et de la police pour enquêter dans les ministères et les officines de détournement des biens publics. Si l'on souhaite savoir quels sont les processus de corruption à l'œuvre — non pas au sens corruption vénale qui n'est effectivement pas démontrée, mais au sens de corruption morale qui est elle parfaitement flagrante — nous avons la possibilité de trouver les 99000 signataire manquant pour cette pétition qui devrait avoir plus de chance d'aboutir à l'éventualité d'une vraie enquête qui pourrait à son tour donner des résultats plus sérieux que nos élucubrations de comptoir 2.0.

            « IRAFURORBREVISESTANIMUMREGEQUINISIPARETIMPERAT » — Odes — Horace

          • [^] # Re: Quelques précisions

            Posté par  . Évalué à 10.

            L'avocat est prudent : il parle de corruption culturelle, pas de corruption tout court.

            On entend le ministère de la santé chanter sur tout les tons et à tout les niveaux que seul microsoft pouvait permettre la création du HDH tout cela en faisant fi des problèmes lié à l'extraterritorialité du droit états-uniens. Il a été choisir d'utiliser un marché standard existant à l'UGAP plutôt que faire un appel d'offre. Vu l'échelle du projet, c'est quand même hallucinant. Cela incline à penser qu'à tout le moins les tenants de ce projet ont un gros biais envers microsoft. Une corruption culturelle quoi…

            Voir aussi l'article de France Inter sur le sujet : l'épisode des contrats signés à posteriori, ça fait carrément bidouille.

            Sinon, pour ce qui est de la corruption tout court, il a été prouvé que microsoft l'a pratiquée et ce à un haut niveau gouvernemental.

            • [^] # Re: Quelques précisions

              Posté par  (site web personnel) . Évalué à 10.

              Exactement, Soufron parle de "corruption culturelle". C'est un phénomène bien connu qui remonte au "nobody gets fired for buying IBM" d'il y a 50-30 ans (devenu "nobody gets fired for buying Microsoft" à partir des années 90, puis "nobody gets fired for buying AWS" aujourd'hui).

              Et sur la question de l'intégrité, il y a effectivement de quoi dire, en commençant pas les mensonges devant la juge sur la date de signature des contrats.

              Au delà de ces questions, il y a la question de la cohérence de décisions qui pénalisent notre écosystème alors même que la commande publique devrait nous aider à nous développer.

              Cf. ce passage de https://www.antidox.fr/2020/10/15/veille-intelligence-strategique-diplomatie-et-communication-digitale-15-octobre/ : "En réalité, cette affaire interroge au-delà même de la question tech- nique. Cela traduit tout à la fois une cécité des autorités françaises, mais encore une discordance manifeste entre un discours affirmé de souveraineté numérique et des choix radicalement opposés. De la même manière, Renault, entreprise détenue pour partie par l’Etat, doit-elle confier le traitement de ses données industrielles à Google comme elle s’apprête à le faire ? BPI, le bras armé financier de la France, qui a activement garanti les prêts consentis au titre de la relance économique pendant la période de crise sanitaire, devait-elle enregistrer les dossiers de demande de crédit des entreprises fran- çaises dans une solution extra-européenne, en l’occurrence AWS d’Amazon ? Le renseignement intérieur doit-il se soumettre à la solution américaine Palantir pour l’exploitation des données d’in- terception ?".

              Bref, JB Soufron a pesé ses mots, mais je le suis à 100% sur cette citation.

              "There's no such thing as can't. You always have a choice." - Ken Gor

        • [^] # Re: Quelques précisions

          Posté par  . Évalué à 4. Dernière modification le 15 octobre 2020 à 15:50.

          Notre avocat

          l'avocat de qui, de quoi, pourquoi ?

          • [^] # Re: Quelques précisions

            Posté par  (Mastodon) . Évalué à -1.

            Avocat du collectif santenathon.org

            et oui il vaut mieux en avoir un bien gaulé.e.s pour rédiger les référés…(et au passage ils ne fait pas l'amour à l’œil même si les membres du collectif sont super sympa)

            fa

        • [^] # Re: Quelques précisions

          Posté par  . Évalué à -1.

          à vouloir la souveraineté numérique de l'Europe et la défense de l'économie française, d'un côté, et de l'autre de signer les contrats que l'on sait avec Microsoft, Google, Amazon.

          Alors c'est bien beau de vouloir privilégier l'indépendance. D'un côté cela se comprend.

          Mais ensuite en tant que gestionnaire du projet, va falloir expliquer à tout le monde pourquoi il faudra 10 ans pour arriver à ce que l'on aurait pu faire en 2 ans sur AWS ou Azure ou GCP.

          Alors là, en tant que gestionnaire tu réfléchis à deux fois et tu te demandes si tu veux être le gus qui paie de son poste pour cet effort commendable.

          La réalité est que construire cette independence cloud doit se faire d'abord, afin qu'un cloud européen soit non pas équivalent mais proche des capacités US, afin que l'effort de construire dessus puisse être justifiable.

          • [^] # Re: Quelques précisions

            Posté par  . Évalué à 6.

            La réalité est que construire cette independence cloud doit se faire d'abord, afin qu'un cloud européen soit non pas équivalent mais proche des capacités US, afin que l'effort de construire dessus puisse être justifiable.

            C'est exactement ce qui a déjà été tenté, mais ça ne marche pas comme ça. Ce n'est pas comme ça que les choses fonctionnent. Il faut diriger par les besoins sinon tu crée un truc hors sol. Sur un modèle économique très dangereux (dépenser ton capital avant de dégager des revenus) et tu te plante.

            Non ce qu'il faut c'est investir dans des projets. L'État peut très bien le faire. Sur ce projet là ou sur de plus petits. Mais ça ne se construit pas tout seul.

            Mais pour ça il faut comprendre l'enjeu et l'état du marché. Quand on pense que c'est déjà perdu, il est évident qu'on imagine pas créer quelque chose. Alors que tout montre que le marché est encore petit et qu'il y a encore des perspectives de croissance importantes. Tous les acteurs du cloud sont en croissance, c'est qu'il y a encore de la place.

            https://linuxfr.org/users/barmic/journaux/y-en-a-marre-de-ce-gros-troll

            • [^] # Re: Quelques précisions

              Posté par  . Évalué à 2.

              Mais les besoins sont connus ! Il suffit de regarder GCP, Azure et AWS pour voir qu'ils ont de large parts en commun.

              Rien que faire cela serait enorme compare a la situation actuelle.

              • [^] # Re: Quelques précisions

                Posté par  . Évalué à 4.

                Ben non. Tu peux pas dire « ben fais exactement ce que fais le leader et on en parle ». Ça ne fonctionne pas comme ça.

                • la marche est beaucoup trop haute, il faut choisir ce qu'on fait maintenant pas à terme, ça doit être dirigé par les besoins
                • on ne crée pas de l'innovation en reproduisant exactement ce qui est déjà fait. Les 5 ans que tu aura dépensé (à perte) pour rejoindre le leader, il aura passé 5 ans à prendre de l'avance et même si tu le rejoins quel intérêt de venir vers toi si tu n'es qu'une copie

                Tu remarquera par exemple que GCP, AWS et Azure ont des approches différentes. Azure et l'écosystème firebase par exemple sont à un très haut niveau de valeur ajoutée pour des besoins particulier Azure pour de l'IoT et Firebase pour du web/mobile. Il y a une tentative en Europe pour créer dans la même orientation mais pour l'industriel car c'est un domaine pas encore beaucoup passé au cloud. Bien sûr il est possible de tout faire avec AWS, mais AWS pour de l'IoT à coté d'Azure fais figure de simple hébergeur à l'ancienne.

                https://linuxfr.org/users/barmic/journaux/y-en-a-marre-de-ce-gros-troll

      • [^] # Commentaire supprimé

        Posté par  . Évalué à -8.

        Ce commentaire a été supprimé par l’équipe de modération.

    • [^] # Re: Quelques précisions

      Posté par  (site web personnel) . Évalué à 10.

      Merci pour tes commentaires.

      1) Il n'y a pas eu de marché. Rien via une recherche sur le site du BOAMP (https://www.boamp.fr/avis/liste). Aucune réponse sur ce point non plus quand on pose la question aux personnes concernées.

      2) D'une part les "données de santé" gérées par le HDH ne sont pas des "Données de santé" au sens de la réglementation concernée (je cite l'arrêt du CE du 19 juin: "[…] contrairement à ce que soutiennent les requérants, la Plateforme des données de santé ne peut être regardée comme hébergeant des données de santé […]" ce qui est quand même assez drôle). La juge, pendant l'audience du 8 octobre, a d'ailleurs employés plusieurs expressions pour ne pas avoir à utiliser "données de santés" dans ce contexte, dont par exemple "données issues du monde médical".

      L'arrêt Schrems II nous a permis de relancer le dossier sous l'angle des données personnelles, donc soumises au RGPD.

      D'autre part il n'y a pas qu'OVH dans la liste des hébergeurs potentiels, et d'ailleurs OVH ne fait pas partie des requérants dans notre affaire.

      3) Je présume que tu fais référence à la "procédure [qui] s'applique aux traitements ayant pour finalité une recherche, une étude ou une évaluation dans le domaine de la santé (chapitre IX de la loi du 6 janvier 1978 modifiée)", et qui donc s'applique projet de recherche par projet de recherche, et non de manière globale et une fois pour toutes pour tout projet qui passe par le HDH.

      Il n'y a pas de contradiction avec la demande de la juge: "Il appartient à la CNIL de veiller, pour les demandes d’autorisation des projets de recherche sur le Health Data Hub dans le cadre de la crise sanitaire, à ce que le recours à la plateforme soit techniquement nécessaire, et de conseiller les autorités publiques sur les garanties appropriées."

      "There's no such thing as can't. You always have a choice." - Ken Gor

      • [^] # Re: Quelques précisions

        Posté par  . Évalué à 5.

        1) Il n'y a pas eu de marché. Rien via une recherche sur le site du BOAMP (https://www.boamp.fr/avis/liste). Aucune réponse sur ce point non plus quand on pose la question aux personnes concernées.

        En même temps pas pratique de chercher la dessus. Pourquoi ne pas répondre à la question ? (j'ai conscience de la naiveté de ma question)

        Merci pour cette précision sur le point 2. Je parlais d'OVH car le nom revient sans arrêt dès que la question est abordée. J'ai bien conscience qu'il existe d'autres hébergeurs :).

        Concernant le 3), je parle de la demande d'avis. Dans le cadre de mes activités (où je ne manipule pas de données de presque santé), j'ai déjà eu recours à cette demande d'avis pour le traitement de donnée à caractère personnel pour un organisme public. Avoir la CNIL à bord, dès l'étape 0 d'un projet vaut toujours mieux qu'au moment du delivery (encore une fois je suis peut-être trop naïf / idéaliste)

        • [^] # Re: Quelques précisions

          Posté par  (site web personnel) . Évalué à 10. Dernière modification le 16 octobre 2020 à 08:23.

          Concernant les demandes d'avis à la CNIL, celle-ci a déjà rendu plusieurs avis sur le projet, qui sont autant de mises en garde, et qui n'ont pas été prise en compte, puisqu'il a fallu qu'elle remette le couvert en octobre.

          Notamment en juin dernier: https://www.cnil.fr/fr/la-plateforme-des-donnees-de-sante-health-data-hub

          "[elle rappelle] les inquiétudes soulevées à plusieurs reprises par le Comité européen de la protection des données (CEPD) concernant l’accès par les autorités nord-américaines aux données transférées aux États-Unis, plus particulièrement la collecte et l'accès aux données personnelles à des fins de sécurité nationale en vertu de l'article 702 de la loi américaine FISA et du décret (« Executive Order ») 12 333 ;"

          "la CNIL a fait part de son souhait qu’une vigilance particulière soit accordée aux conditions de conservation et aux modalités d’accès aux données." (en gras dans le texte)

          "Elle souhaiterait, eu égard à la sensibilité des données en cause, que son hébergement et les services liés à sa gestion puissent être réservés à des entités relevant exclusivement des juridictions de l’Union européenne." (en gras dans le texte)

          "There's no such thing as can't. You always have a choice." - Ken Gor

  • # Le conseil des bisounours

    Posté par  (site web personnel) . Évalué à 10.

    une violation du règlement général sur la protection des données (RGPD) demeure dans un tel cas hypothétique, car elle supposerait que Microsoft ne soit pas en mesure de s’opposer à une éventuelle demande des autorités américaines

    Un bel exemple de Security by what could go wrong.

    Le post ci-dessus est une grosse connerie, ne le lisez pas sérieusement.

  • # Si seulement ....

    Posté par  . Évalué à 10.

    Et s'il ne s'agissait que des données de santé …

    J'ai démissionné de mon ancien employeur du privé (infogérance et presta de service) en grande partie pour cette raison.

    Il est grand temps que l'état et l'ANSSI mette une limitation/interdiction sur ces pratiques.

    Il y a maintenant aussi beaucoup de petites villes mais pas que. Certaines ont largement la capacité d'avoir une team IT pour gérer leur données mais non c'est plus simple avec office 365 et SharePoint.

    D'école privées (je ne sais pas côté du public) qui sont aussi sur de l'hébergement et gestion full-microsoft.

    Ainsi que des conseil départementaux dotés d'une équipe IT de plus de 30 personnes et des salles serveurs plus grand que le rdc de ma maison.

    • [^] # Re: Si seulement ....

      Posté par  (site web personnel) . Évalué à 7.

      Exactement.

      Il faut rappeler que l'avis de la CNIL et du Conseil d'Etat sont motivés par le fait qu'il s'agit, d'un point de vue juridique, de données personnelles et pas de "données de santé" car le HDH a réussi le tout de passe-passe de faire admettre que ce n'en étaient pas.

      La décision actuelle repose dont sur le RGPD et peut s'appliquer à d'autres données personnelles.

      Il faut cependant prendre en compte qu'il y a un principe de proportionnalité, et que donc plus les données personnelles sont considérées comme sensibles (ce qui est le cas des données médicales, même s'il ne s'agit pas de "données de santé"), plus la prudence s'impose.

      "There's no such thing as can't. You always have a choice." - Ken Gor

    • [^] # Re: Si seulement ....

      Posté par  (Mastodon) . Évalué à 7. Dernière modification le 22 octobre 2020 à 05:59.

      Et s'il ne s'agissait que des données de santé …

      En effet, il s'agit aussi et surtout de souveraineté, française et/ou européenne, de la capacité à conserver et à développer celle de notre droit.

      Car pour l'exemple qui nous importe en ce moment, si effectivement l'usage de ce "hub" repose le problème à un nouveau niveau, il serait naïf de croire que c'est un accès nouveau et premier à nos données de santé. Un nouvel usage, oui, pas un premier accès. Car des sociétés de droit étranger ont déjà accès à l'essentiel de nos données de santé via les services informatiques des assureurs et/ou de leurs prestataires.
      Tout simplement.

      Autre exemple, qui je l'espère participera à permettre au public de se faire sa propre réflexion éclairée sur ce sujet de l'accès à nos données. Les données politiques. C'est d'autant plus intéressant puisqu'il s'agit de voir comment font les acteurs politique, puisqu'ils nous parlent (enfin) de ces questions :
      Le PS a migré vers NationBuilder, entreprise de sol américain, hébergement à Los Angeles.
      Ce n'est ni le seul ni le premier, NationBuilder a été utilisé il y a plusieurs années par Alain Juppé, plus récemment Donald Trump pour son élection, ainsi que Jean Luc Mélenchon pour sa dernière campagne nationale. Ok ? Pas de reproche, pas de troll, un simple constat.
      Ce qui était auparavant du travail d'artisan (tenir à jour une liste d'adhérent, puis à côté un fichier de sympathisant, à côté un pour leur famille et proches, puis recouper avec les listes électorales, ben si, avoir les adresses, etc ..) est aujourd'hui totalement industrialisé et à grand renfort de traitements massifs sémantique de bases de données, soupoudrée d'intelligence articielle, un niveau et une qualité jamais atteinte. Tout ça, toutes ces données, toutes ces informations sur vous, tout est traité sur le sol américain.

      • [^] # Re: Si seulement ....

        Posté par  . Évalué à 7.

        Ce qui était auparavant du travail d'artisan est aujourd'hui totalement industrialisé

        On appel ça la révolution industrielle. C'est assez vieux.

        Je pense que c'est ici un problème d'organisation de la démocratie. Les campagnes électorales sont une forme de campagne marketing donc il est logique d'en prendre les méthodes (si on veut avoir une chance de gagner). Le corollaire c'est qu'il y a une certaine fragilité des démocraties aux campagnes de pub (comme les soupçons d'ingérence russe).

        https://linuxfr.org/users/barmic/journaux/y-en-a-marre-de-ce-gros-troll

        • [^] # Re: Si seulement ....

          Posté par  (site web personnel) . Évalué à 4.

          « On appel ça la révolution industrielle. C'est assez vieux. »

          Ou avec une référence à un processus à peine plus récent, on pourrait aussi appeler ça la délocalisation. Ce qui est amusant, c'est qu'en écoutant les discours de toutes ces braves personnes, peut-être diront-elles toutes être contre les délocalisations ; peut-être pas pour les emplois non qualifiés, mais certainement s'il s'agit d'emplois de haute-volée. Et bizarrement, pour elles, lorsqu'il a fallu faire un choix, l'idée de consommer local, d'investir dans les compétences et le matériel de leurs équipes, ou à tout le moins de compétences de concitoyens et de matériel d'entreprises de leur pays, l'idée ne semble même pas les avoir effleurées.

          « IRAFURORBREVISESTANIMUMREGEQUINISIPARETIMPERAT » — Odes — Horace

  • # Petite Question

    Posté par  (site web personnel) . Évalué à 8.

    On connait le nom du responsable qui a signé ce contrat d'hébergement ?

    • [^] # Re: Petite Question

      Posté par  . Évalué à 8.

      Oui, ça serait pas mal pour une fois d'identifier (tous) les coupables ayant shunté les procédures légales pour aller vendre NOS données de santé à la pire des racailles, Microsoft.
      J'ai travaillé 8 ans dans un hôpital public et des nouveaux dirigeants sont arrivés discrètement années après années pour diriger l'hôpital comme une boîte privée, rentabilité avant tout. Ces mecs n'ont aucune compétence een informatique et se tapent royalement du RGPD, donc ça signe des contrats open bar avec M$, les ARS sont aussi cons(rompus) qu'eux en plus.
      8 ans à me battre contre l'incompétence et la corruption de ces 'dirigeants' ça m'a suffit, je me suis barré.

      • [^] # Re: Petite Question

        Posté par  . Évalué à 3.

        En plus ce qui a déjà été déposé dans ce HDH à sûrement déjà été pompé par M$, les coupables doivent être sanctionnés !

  • # Corruption ? Oui

    Posté par  . Évalué à 6.

    "Nous avons un problème de formation, de compétence et d'intégrité des responsables publics qui traitent ce sujet. L'attribution du > Health Data Hub à Microsoft relève de la corruption culturelle : le fait de prendre pour acquis certaines choses - ici, l'idée que > Microsoft serait forcément plus compétent -, parce qu'elles apparaissent comme des solutions de facilité."

    Je pense que l'accusation est grave, et en l'occurrence, il n'apporte aucun élément pour étayer ce qu'il dit dans son article.

    Dans ce cas précis, l'accusation n'a rien de grave. Il y a bien une corruption culturelle : on choisi Microsoft parce que tout le monde a fait comme ça depuis des décennies. On voit des logos Microsoft tous les jours sur tous les écrans, au bureau, à l'école, à la maison…

    Mais je vous trouve bien frileux sur les questions de vraie corruption. Celle de plusieurs responsables français, de quelques bord politique que ce soit, a mainte fois été démontrée. Voir par exemple ici : Nos très chers Émirs.

    Nous n'avons pas encore de preuve de corruption dans le cas des marchés attribués à Microsoft, mais ceux qui travaillent dans l'administration ou les entreprises savent que la corruption, c'est rarement la valise de billets. J'en ai déjà été témoin dans un autre secteur : Aller visiter un data center au States, ça s'appelle un voyage d'étude. Et l'entreprise prend bien sur en charge le voyage, l'hôtel, les repas, et la fiesta après… De quoi être bienveillant au moment de signer le bon de commande…

    Donc non, ce n'est pas faire preuve de complotisme en présumant que l'attribution de marchés en dépit du bon sens peut être due :
    1. à de l'incompétence crasse
    2. à de la corruption

Suivre le flux des commentaires

Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.