El 31 de enero, Legifrance publicó una deliberación de la CNIL que autoriza a Microsoft a alojar en su nube, durante un período de tres años, datos del Sistema Nacional de Datos Sanitarios. Estos se almacenarán en un almacén denominado EMC2 a través del cual la Plataforma de Datos de Salud, también llamada Health Data Hub, proporcionará a la Agencia Europea de Medicamentos datos personales de pacientes tratados en cuatro grandes hospitales franceses (Hospices Civils de Lyon, centro Léon Bérard, Nancy Hospital Universitario y Fundación Hospital Saint-Joseph).
Esta decisión, tomada sin mucho entusiasmo, supone un verdadero cambio de rumbo por parte del policía de datos personales. Y con razón, hasta ahora la CNIL seguía negándose a permitir que los datos de salud fueran alojados por proveedores de nube no europeos. Así, en un memorando fechado el 8 de octubre de 2020 y enviado al Consejo de Estado, se dijo a favor de que los actores encargados de los almacenes de datos sanitarios detuvieran “ en el menor tiempo posible » su colaboración con “ empresas sujetas a la ley estadounidense “. La razón dada fue que las autoridades estadounidenses podrían pedir a los operadores de la nube estadounidenses que accedieran a estos datos gracias a sus leyes extraterritoriales.
¿Una decisión que revela las debilidades de la nube europea?
En su reciente deliberación, la CNIL reafirma su posición tradicional a favor del alojamiento de datos sanitarios por parte de proveedores europeos de nube. Además, siempre expresa su temor de que autoridades no europeas recuperen los datos almacenados por Microsoft. Pero donde radica el problema es que una misión de expertos encabezada por las autoridades competentes observó que ningún proveedor europeo de nube responde” requisitos técnicos y funcionales (…) para la implementación del proyecto EMC2 en un plazo compatible con los requisitos de este último “.
Es para alinearse con esta observación que ella “ deplora » que la CNIL ha decidido autorizar el alojamiento de datos sanitarios en Microsoft. Además, como ella explica, ahora es “ necesario para que se cumplan los compromisos adquiridos con la Agencia Europea de Medicamentos “.
Sin embargo, el regulador de datos personales lamenta el “ elección inicial » de la Plataforma de Datos de Salud « para usar la nube » : esto « ha llevado a favorecer ofertas de actores americanos de los que ahora parece difícil separarse a corto plazo a pesar de la aparición gradual de proveedores soberanos ” el explica.
Y con razón, todo hace pensar que la nube estadounidense se beneficia de tal aura que distrae la atención de alternativas creíbles y eficaces. Entre ellos se encuentra, por ejemplo, el almacén compartido de datos sanitarios, el DataHubHOURAA, desarrollado por cuatro hospitales universitarios de la región de Auvernia-Ródano-Alpes (Hospital Universitario de Clermont-Ferrand, Hospital Universitario de Grenoble Alpes, Hospices Civils de Lyon, Universidad de Saint-Etienne Hospital) en colaboración con Thales y Docaposte.
¿Una descarga eléctrica para estimular la nube europea?
Esta decisión podría tener un efecto beneficioso: el de considerar mejor la necesidad de desarrollar estrategias públicas cuya implementación sólo integre a los proveedores europeos de nube para estimular su crecimiento. Para ello, las autoridades públicas aún deben ser menos exigentes en cuanto a los aspectos técnicos y funcionales de los servicios europeos en la nube, mientras los proveedores se ponen al día en este ámbito.
La CNIL es plenamente consciente de esta necesidad cuando escribe que “ lamenta que la estrategia puesta en marcha para promover el acceso de los investigadores a los datos sanitarios no haya brindado la oportunidad de estimular una oferta europea capaz de satisfacer esta necesidad “.
Sin embargo, que la CNIL esté tranquila: dentro de unos años, la relación entre Microsoft y Health Data Hub probablemente será sólo una vieja historia. Un informe gubernamental reciente titulado Reuniendo a los actores del ecosistema para liberar el uso secundario de datos de salud publicado el 5 de diciembre de 2023 recomienda “ programar el cierre del hosting en Azure [cloud de Microsoft] del Health Data Hub (HDH) y poner en marcha los trabajos para alojar el HDH (…) en una nube SecNumCloud, en un plazo de 24 meses, un plazo ambicioso pero creíble en esta fase “.
Sin embargo, para que un proveedor de nube pueda beneficiarse de la última versión 3.2 de la etiqueta SecNumCloud, debe ser completamente inmune a las leyes no europeas. Si la administración sigue esta recomendación, Health Data Hub ya no podrá utilizar hiperescaladores estadounidenses.