La CNIL a donné son aval à la création d'un entrepôt de données de santé, appelé EMC2, basé sur le traitement automatisé de données personnelles. Cette initiative sera hébergée sur le cloud de Microsoft pour une période de trois ans. Cependant, la CNIL souligne les risques liés à l'application des lois américaines à portée extra-territoriale et exprime des préoccupations quant à l'absence de prestataires européens.
Une Autorisation Controversée
Après les épisodes tumultueux du Health Data Hub (HDH) avec Microsoft, la CNIL revient sur le devant de la scène en validant la création d'un entrepôt de données de santé. Baptisé EMC2, ce projet, hébergé sur le cloud de Microsoft jusqu'au 3e trimestre 2025, vise à promouvoir la recherche pharmaco-épidémiologique sur les effets à long terme des traitements médicaux.
Des Préoccupations Liées à la Souveraineté des Données
La CNIL a été sollicitée par le groupement d’intérêt public Plateforme des Données de Santé (GIP PDS) pour autoriser un traitement automatisé de données personnelles dans le domaine de la santé. Bien que la CNIL ait accordé son approbation, des inquiétudes subsistent quant aux risques potentiels liés à la législation extra-européenne.
Encadrement des Transferts de Données
La CNIL assure que les données de l'entrepôt seront conservées dans les centres de données de Microsoft en France. Cependant, elle reconnaît qu'en raison du contrat avec Microsoft, des données techniques non liées à la santé peuvent être transférées vers des administrateurs aux États-Unis. Ces transferts sont toutefois encadrés par les clauses contractuelles types de la Commission européenne, avec une obligation d'information spécifique pour les utilisateurs.
Les Risques d'Accès par les Autorités Américaines
La CNIL souligne également les risques potentiels liés à l'accès des autorités américaines aux données hébergées par Microsoft, en particulier en vertu de lois extra-européennes. Bien que les transferts de données vers les États-Unis soient encadrés, la CNIL regrette le manque de fournisseurs européens capables de répondre aux besoins du GIP PDS.
Un Coup de Pied à la Stratégie Actuelle
La CNIL, loin de se contenter d'approuver l'initiative, critique le fait qu'aucun prestataire européen ne satisfasse actuellement aux exigences du GIP PDS en matière de protection des données contre l'application des lois extraterritoriales de pays tiers. Elle exprime des regrets quant à la stratégie mise en place, qui n'a pas stimulé une offre européenne répondant à ces besoins. Le contrat entre le GIP PDS et Microsoft est prévu pour une durée de trois ans.
Une Autorisation Controversée
Après les épisodes tumultueux du Health Data Hub (HDH) avec Microsoft, la CNIL revient sur le devant de la scène en validant la création d'un entrepôt de données de santé. Baptisé EMC2, ce projet, hébergé sur le cloud de Microsoft jusqu'au 3e trimestre 2025, vise à promouvoir la recherche pharmaco-épidémiologique sur les effets à long terme des traitements médicaux.
Des Préoccupations Liées à la Souveraineté des Données
La CNIL a été sollicitée par le groupement d’intérêt public Plateforme des Données de Santé (GIP PDS) pour autoriser un traitement automatisé de données personnelles dans le domaine de la santé. Bien que la CNIL ait accordé son approbation, des inquiétudes subsistent quant aux risques potentiels liés à la législation extra-européenne.
Encadrement des Transferts de Données
La CNIL assure que les données de l'entrepôt seront conservées dans les centres de données de Microsoft en France. Cependant, elle reconnaît qu'en raison du contrat avec Microsoft, des données techniques non liées à la santé peuvent être transférées vers des administrateurs aux États-Unis. Ces transferts sont toutefois encadrés par les clauses contractuelles types de la Commission européenne, avec une obligation d'information spécifique pour les utilisateurs.
Les Risques d'Accès par les Autorités Américaines
La CNIL souligne également les risques potentiels liés à l'accès des autorités américaines aux données hébergées par Microsoft, en particulier en vertu de lois extra-européennes. Bien que les transferts de données vers les États-Unis soient encadrés, la CNIL regrette le manque de fournisseurs européens capables de répondre aux besoins du GIP PDS.
Un Coup de Pied à la Stratégie Actuelle
La CNIL, loin de se contenter d'approuver l'initiative, critique le fait qu'aucun prestataire européen ne satisfasse actuellement aux exigences du GIP PDS en matière de protection des données contre l'application des lois extraterritoriales de pays tiers. Elle exprime des regrets quant à la stratégie mise en place, qui n'a pas stimulé une offre européenne répondant à ces besoins. Le contrat entre le GIP PDS et Microsoft est prévu pour une durée de trois ans.
