views
Au Conseil d’Etat pour suivre l’audience #emc2
https://twitter.com/reesmarc/status/1769803422344028287
La @cnil a évidemment fait le déplacement. Comme rappelé dans l’actu @LInforme_ , elle a donné son feu vert pour l’hébergement des données de santé entre les mains de Microsoft. Non sans le regretter.
Salle presque comble. L'audience débute (en espérant que les micros soient connectés)
Le GIP, le gouvernement et la CNIL sont représentés. Et font face aux requérants, dont @clever_cloud et d'autres parties, défendues par @soufron
@clever_cloud @soufron Près de 300 pages d'écritures "qui permettent d'assez éclairer", relève le président, avec un petit sourire (et une voix mal amplifiée)
@clever_cloud @soufron Pour ce référé suspension, la question est de savoir si les moyens présentés sont de nature à faire naitre un doute sérieux, résume le président. La mise en oeuvre de cette autorisation porte-t-elle une atteinte grave et immédiate aux intérêts en présence ?
@clever_cloud @soufron Ordre des débats :
- examen de la recevabilité (intérêt à agir des requérants)
- examen du critère de l'urgence
- examen des moyens et de leur caractère sérieux
- examen de la recevabilité (intérêt à agir des requérants)
- examen du critère de l'urgence
- examen des moyens et de leur caractère sérieux
1. Recevabilité
Aucune fin de non recevoir n'a été opposée par les défendeurs, sinon que la plateforme des données de santé a, à propos de l'urgence, soulevé des questions qui pourraient être pertinentes pour l'intérêt pour agir d'une des associations requérantes (constituée, mais non déclarée) (PDT)
Aucune fin de non recevoir n'a été opposée par les défendeurs, sinon que la plateforme des données de santé a, à propos de l'urgence, soulevé des questions qui pourraient être pertinentes pour l'intérêt pour agir d'une des associations requérantes (constituée, mais non déclarée) (PDT)
@clever_cloud @soufron 2. urgence éventuelle à suspendre l'autorisation
Elle s'apprécie différemment selon les requérants, entreprises et associations. S'agissant des entreprises, la question de savoir si la délibération attaquée porte atteinte à leurs intérêts a été soulevée par les défendeurs
Elle s'apprécie différemment selon les requérants, entreprises et associations. S'agissant des entreprises, la question de savoir si la délibération attaquée porte atteinte à leurs intérêts a été soulevée par les défendeurs
Ces entreprises se présentent comme des concurrents de Microsoft. Les défendeurs leur opposent la non certification "données de santé". Ces sociétés ne peuvent donc pas être lésées par une délibération qui autorise un traitement dans le cadre d'un marché qu'elles n'auraient pu remporter
Les défendeurs font observer que ces entreprises ne fournissent pas d'élément sur les impacts concrets sur leurs résultats.
Selon le président, se pose aussi la question de l'atteinte faite aux particuliers par rapport à un traitement qui pourrait les concerner. Mais au regard de la base de ce traitement, cela ne pose pas vraiment de difficulté.
Selon le président, se pose aussi la question de l'atteinte faite aux particuliers par rapport à un traitement qui pourrait les concerner. Mais au regard de la base de ce traitement, cela ne pose pas vraiment de difficulté.
@soufron : nous ne savions pas lors de la requête qu'elles étaient les hôpitaux concernés. Le traitement va finalement concerner 10% de la population française, 6 millions de personnes sur 3 ans. Un de nos requérants est patient d'un des hôpitaux. Ce sont ses données personnelles qui vont se retrouver concernées
Il y a une ambiguïté dans ce dossier qu'il faut lever : on parle d'hébergeur; mais en réalité il y a des fonctions d'hébergement de données et des traitements, avec une interface. Des requérants ici présents sont des hébergeurs. D'autres, tout autant présents, font du traitement. Il y a des PME en France qui ne sont pas de la taille de MS, mais qui font cela tous les jours. On est surpris de s'entendre dire qu'on n'est pas capable d'y faire face.
Toutes les sociétés peuvent mettre des solutions ennemies place. Aujourd'hui, elles sont exclues d'un marché qui n'existe pas et n'ont pas été consultées. Aujourd'hui, la problématique est là : elles sont exclues de facto de ce marché sans avoir la capacité à pouvoir y répondre, peu importe le moyen
@clever_cloud @soufron Pour la caractérisation de l'urgence : l'exécution de la décision d'autorisation et la mise en oeuvre du fichier portent-elles une atteinte grave et immédiate aux intérêts des personnes en cause ?, demande le PDT.
@clever_cloud @soufron Est ce que l'autorisation a été donnée par la CNIL dans des conditions qui porteraient atteinte aux droits en cause, au regard de la forte probabilité d'un risque non limité par des mesures suffisantes ? (PDT, suite)
@clever_cloud @soufron Schématiquement,
1. dans quelle mesure estime t on que les autorités (US pourraient avoir accès aux données en cause ?
2. quelles sont les mesures techniques et organisationnelles prises par le responsable du traitement pour prévenir ces risques ?
(PDT)
1. dans quelle mesure estime t on que les autorités (US pourraient avoir accès aux données en cause ?
2. quelles sont les mesures techniques et organisationnelles prises par le responsable du traitement pour prévenir ces risques ?
(PDT)
@clever_cloud @soufron Deux niveaux : un risque et son articulation avec la nature de la plateforme des données de santé, le tout sous l'égide du FISA et de l'EO américains.
@clever_cloud @soufron Le PDT rappelle à l'un des défenseurs qui a cité la décision Schrems II, s'agissant de l'accès des autorités US, que cette décision ne concerne que les transferts
@clever_cloud @soufron a plateforme des données de santé assure que les données font l'objet d'un processus qui permet que les données qui arrivent sont pseudomysées "à plusieurs reprises". il y a une protection technique très forte réalisée en amont.
@clever_cloud @soufron Je comprends à la lecture de la décision attaquée que certaines données, comme la date de naissance etc. sont effacées à un certain stade (PDT)
@clever_cloud @soufron Il y a deux flux : les données des personnes hospitalisées, les données de la base principale du SNDS afin de constituer une population témoin, pour les futures recherches.
Il y a des données cliniques qui font l'objet d'un premier niveau de pseudo°. (le reste inaudible... :/)
Il y a des données cliniques qui font l'objet d'un premier niveau de pseudo°. (le reste inaudible... :/)
CNIL : pour nous, le risque n'est pas théorique et c'est normal de le prendre en compte. Qd une base de données est hébergée dans le cloud par un acteur extra EU même avec un très haut niveau de pseudoni°, même quand les données sont chiffrées, il y a un risque d'accès aux données. C'est l'ANSSI qui le dit. Et la circulaire Cloud rappelle qu'il faut recourir à des opérateurs SecNum cloud pour se protéger aux accès hors UE.
Quand j'utilise Office 365, les données sont stockées dans un placard qui n'est pas totalement souverain. Des risques existent, insiste la CNIL. Les lois US leur permettent d'accéder à ce type de données.
Avec la richesse des détails (ce qui a été prescrit, etc.) la réidentification est possible.
Avec la richesse des détails (ce qui a été prescrit, etc.) la réidentification est possible.
@clever_cloud @soufron Le PDT invite la CNIL de dépasser ses positions de principe et de rentrer dans les débats juridiques et de revenir sur les éléments qui l'ont conduite à accorder l'autorisation.
CNIL : sur la réduction des risques, l'AAI s'est assurée d'un certain nombre de précaution au regard d'un risque qui existe. Il y a des garanties dans les contrats qu'il n'y aura pas de transfert ("cela a été précisé dans des avenants par Microsoft"). Il y a des mesures de sécu très élevées sur les données.
La CNIL doute du chiffre de 6 millions de personnes concernées par le traitement objet du contentieux.
La CNIL doute du chiffre de 6 millions de personnes concernées par le traitement objet du contentieux.
@clever_cloud @soufron Le PDT demande des éléments sur les mesures techniques qui ont emporté les convictions de la CNIL.
@clever_cloud @soufron La CNIL évoque la pseudonymisation à plusieurs niveaux, mais concède en substance que le risque n'est pas nul.
Pdt : Le risque n'est donc pas théorique pour un service US qui connait le parcours de soin d'un patient
Pdt : Le risque n'est donc pas théorique pour un service US qui connait le parcours de soin d'un patient
@clever_cloud @soufron la préoccupation de la requête est légitime mais c'est un risque que nous acceptons tous les jours, résume le représentant de la CNIL.
@soufron : il faut être attentif à ce qui est mis en place par la législation US. Nous expliquons comme le secrétaire général de la CNIL qu'il n ya pas de risque théorique. Foreign Intelligence Information, aux US, ce sont n'importe quelle information qui porte atteinte aux intérêts US. Il y a même un service US dédié au renseignement portant sur les données de santé. C'est concret, pas théorique.
@clever_cloud @soufron Je suis étonné d'entendre que dans leur mémoire, que si c'était toute la base, leur position aurait été différente. 6 millions par an, c'est pas une expérimentation. C'est très important de comprendre qu'on est face à une situation acquise et un risque d'une grande finesse
@clever_cloud @soufron Soufron rappelle l'intérêt des US sur les données, via le récent décret Biden. Il s'agit der"récupérer les données en vrac (FISA) ou de manière ciblée. On est face à des données d'une grande finesse, d'une forte. capacité de repersonnalisation, des données très sensibles.
@clever_cloud @soufron Les US sont très intéressés par les données dont nous estimons la protection si suffisante (shorter).
Les défendeurs prennent la parole pour parler de l'absence d'alternative à date. Selon le ministère, cela doit être pris en compte. A l'issu d'un audit, le ministère de la Santé, la DINUM ont conclu qu'il n'y avait pas d'alternative à date à MS assurant un même niveau de sécurité, dans les délais.
Le PDT interroge les défenseurs sur la question de l'intérêt général du projet.
PDS : tout ce qui est fait sur la plateforme est fait pour les patients, mieux les soigner, mieux gérer les médocs, mieux diagnostiquer. L'énergie déployée n'est fait que dans l'intérêt des patients.
PDS : tout ce qui est fait sur la plateforme est fait pour les patients, mieux les soigner, mieux gérer les médocs, mieux diagnostiquer. L'énergie déployée n'est fait que dans l'intérêt des patients.
@clever_cloud @soufron @soufron on ne conteste pas l'intérêt, mais on pouvait répondre à cet appel d'offres EU en respectant les données des patients.
JBS toujours : ce n'est pas un appel d'offres pour la France, mais pour un GIP. Il y en a d'autres comme le CASP. On nous explique dans l'audit que les délais courts n'ont pas permis d'évaluer les autres offres. Ce sont des réserves qui concernent tout de même 6 millions de personnes.
@clever_cloud @soufron Un prestataire prend la parole pour expliquer que des données sensibles, comme celles relevant du nucléaire, passent par des solutions parfaitement souveraines. C'est donc possible. Pourquoi cela ne le serait pas avec les données de santé ?
On peut dans un laps de temps relativement courts répondre aux besoins en cause, soutient-il.
@smetsjp intervient : "nous avons contacté les gens qui ont créé le HDH en 2018 et 2019 pour leur faire savoir qu'existait déjà une plateforme en Allemagne pour des données sensibles. On a réécrit ça au GVT en 2022. On n'a jamais eu de réponse".
@smetsjp intervient : "nous avons contacté les gens qui ont créé le HDH en 2018 et 2019 pour leur faire savoir qu'existait déjà une plateforme en Allemagne pour des données sensibles. On a réécrit ça au GVT en 2022. On n'a jamais eu de réponse".
@clever_cloud @soufron @smetsjp "il n'y a pas d'urgence à ne pas suspendre" @soufron
"Je comprends qu'il peut y avoir un débat théorique pour savoir qui est dans la mesure de répondre seul ou en consortium aux spécifications" (PDT) mais pas déterminant pour savoir si la CNIL était obligée de refuser. Le débat se situe sur deux plans : les recommandations de la CNIL qui auraient pu fonder une décision, et la décision finale au regard des risques sur la solution retenue.
@clever_cloud @soufron @smetsjp CNIL : la cnil était dans une position où elle a estimé qu'il n'était pas illégal de recourir à Microsoft. MS peut candidater à des appels d'offres avec des données nominatives, des données de santé, etc.
@clever_cloud @soufron @smetsjp On en vient aux différents moyens.
@soufron Sur la question des transferts : les engagements contractuels pour interdire les transferts ne sont pas opposables aux services américains. Aujourd'hui, on ne sait pas exactement quels sont les traitements qui sont opérés.
@soufron Sur la question des transferts : les engagements contractuels pour interdire les transferts ne sont pas opposables aux services américains. Aujourd'hui, on ne sait pas exactement quels sont les traitements qui sont opérés.
@clever_cloud @soufron @smetsjp @waxzce : une partie des exigences des services utilisés par la plateforme du HDH sont impossibles à faire rentrer dans le cadre d'un Secnumcloud rédigé aujourd'hui.
@clever_cloud @soufron @smetsjp @waxzce Avocat au conseil : la question centrale est celle d'un risque d'un accès des services du renseignement US. Ce simple risque suffit à caractériser une violation des textes. A partir du moment où le risque d'aces est caractérisé, il y a un risque de transfert vers les US
@clever_cloud @soufron @smetsjp @waxzce PDT : est-ce que la délibération méconnait la circulaire Cloud au centre ? (circulaire Borne)
Pas sur que le moyen soit opérant, estime le PDT, qui doute de la nécessité de son respect par la CNIL.
Pas sur que le moyen soit opérant, estime le PDT, qui doute de la nécessité de son respect par la CNIL.
@clever_cloud @soufron @smetsjp @waxzce Il doute aussi que la délibération CNIL repose sur une quelconque façon sur la dernière décision d'adéquation EU-US, qui porte sur les transferts et non l'accès des autorités publiques à ces données.
@clever_cloud @soufron @smetsjp @waxzce @soufron notre requête porte sur le transfert et l'accès. On est bien sur qq chose de simultané. La question est de savoir : peu importe la manière dont s'est fait, à la fin il y a un transfert.
@clever_cloud @soufron @smetsjp @waxzce La question - accès ou transfert ? - mérite d'être soumise à la CJUE, dans le cadre d'une question préjudicielle.
PDT : la décision d'adéquation encadre les transferts. Le contrat ne permet pas les transferts vers les US. En revanche, votre requête est centrée sur l'accès des autorités US à des données localisées en FR. Je n'ai pas trouvé dans la décision d'adéquation de références. Ce n'est pas son objet.
@clever_cloud @soufron @smetsjp @waxzce @soufron : il faut aussi regarder le contrat avec MS qui prévoit des possibilités de transferts.
@clever_cloud @soufron @smetsjp @waxzce Décision rendue fin de cette semaine ou début de semaine prochaine
@clever_cloud @soufron @smetsjp @waxzce Fin du LT. Désolé pour les petits manques, mais l'audio est vraiment déplorable dans la salle d'audience.
• • •
Missing some Tweet in this thread? You can try to
force a refresh
