5 月 22 日星期三,新版 HDS 發布,該儲存庫託管法國生態系統的健康數據。有了新的標準(包括歐洲數據的本地化),更新 HDS 將使某些人有可能邁向「戰略自主」。但其他人認為,仍然缺乏真正保護我們的健康數據的主權標準。
這是 VivaTech 第一天沒有引起注意的事件,但它標誌著“保護的重要一步健康數據» 法國人的。 5 月 22 日星期三,「健康資料主機」或「HDS」儲存庫的更新已提交給健康和醫療社會機構以及製造商和法國雲端提供者。
HDS對主機提出了一定數量的要求,只要涉及健康數據,例如診斷、治療、血液結果或與基因組相關的資訊。此類個人健康數據,無論是出於預防、護理、監測還是醫療社會目的而收集,“影響我們的隱私”,同時代表“重大戰略問題(…)”,數位國務秘書瑪麗娜法拉利 (Marina Ferrari) 解釋道,她結束了這被視為“重要一步”確保我們的戰略自主權。
有必要「在法國和歐洲建立明確的保障措施,以便我們的公民和健康利益相關者能夠對目前託管其數據的人充滿信心»,政治領袖繼續說。 HDS 儲存庫就是這些保護措施之一。
“務實的做法”
HDS 創建於 2018 年,其目標是在雲端供應商(雲端運算)每次處理健康資料(被認為特別敏感的資料)時施加一定數量的規則。如果他們符合 HDS 的條件,他們將獲得這份珍貴的證書,有效期為三年,保證他們嚴格遵循標籤的要求。重點:該框架涉及風險管理,而不是網路安全。
「HDS 是基於 ISO 27001,這是一項指定資訊安全管理系統的標準,」OVHcloud 客戶安全經理 Emmanuel Meyrieux 在第二天接受採訪時解釋道。01網。後者回憶道,為了找到加密或「符合 ANSSI 要求的機器配置」的要求,我們必須轉而採用 SecNumCloud 標準,這是法國最高的網路安全標籤。如今,已有近 302 家 HDS 認證主機。
該修訂版是在歐洲關於個人資料的主要文本GDPR 之前設計的,自2022 年起就有人討論要對其進行更新。委員會,最終於 5 月 16 日成為一項法令的主題。
在這次修訂中,「o沒有嘗試擁有務實的方法,也就是說繼續支援 300 台和一些已經認證的主機,同時,展示了一條通往更多主權的道路»,在活動期間指定了數位健康代表 Hela Ghariani。目標?願法國和歐洲實現“對我們的資料管理的策略自主權,這些資料是最親密、最個人的,但也具有特別重要的經濟和戰略利益“,她補充道。
更新逐步強化數據主權
儲存庫第二個版本的主要變更:HDS«逐步強化數據主權”,提出了新的要求:
- 健康資料的儲存必須在歐洲(歐洲經濟區)進行;
- 東道主必須履行新的透明度義務,其中包括告知客戶與域外立法相關的風險。他還必須解釋“為限制它們而採取的技術和法律措施»;
- 主持人還必須“在其網站上公開其託管資料可能傳輸到不屬於歐洲經濟區的國家的地圖»。
換句話說, ”最終,主辦單位對歐盟以外的外國人資料所帶來的風險狀況負有公開透明的義務»,數位健康代表團 (DNS) 監管與合規部門負責人 Émilie Passemard 在發表會上總結。
具體而言,如果歐洲經濟區第三國的域外法律適用於該東道國:
- 後者必須提及它,並引用有關國家。有必要具體說明相關的域外立法——例如,如果它是美國公司的子公司,則有必要提及外國情報監視法、雲法等
- 然後東道國必須提交一份充分性決定——歐盟委員會的協議,該協議承認歐洲人在相關國家受益於與他們在歐洲有權獲得的同等保障。
«如果做不到這一點,當然必須採取適當的保證,以確保遵守 GDPR,並吸引客戶的注意»,艾蜜莉·帕斯馬德補充。那裡國家資訊科技與自由委員會 (CNIL)她指出,將是驗證這項法律要求的機構,而不是認證機構。
認證機構 6 個月,主辦單位 24 個月
認證機構有六個月的時間直到 2024 年 11 月 16 日才能根據新框架對應用程式進行認證。對於已經獲得認證的主機,他們的認證期限為24個月。
儘管收效甚微,但一旦在歐洲同等水平(未來的雲端網路安全儲存庫)達成協議,該儲存庫就必須再次更新(EUCS)。儘管歐洲有關於數據本地化的討論,並要求提供有關域外法律問題的更多信息,但修訂後的 HDS 並不意味著不受域外法律的豁免。
沒有域外和非歐洲規則的豁免標準
對於在發布會開幕式上發表演說的議員 Philippe Latombe 來說,這是令人遺憾的一點。如果當選的調製解調器認識到“第一步「,我們必須走得更遠,」他報告道。議員對兩個缺點表示遺憾:「缺乏資料和託管主權,以及缺乏額外的網路安全標準“, 尤其 ”在當前不穩定的地緣政治背景下,網路攻擊的數量和深度日益嚴重»。
«在 HDS 存儲庫中”,他繼續,「有資料本地化的標準,但沒有不受域外和非歐洲規則約束的標準»:美國總統拜登在一項行政命令中提出的挑戰這位議員強調,清楚地解釋了美國人的敏感數據不得由非美國雲端供應商持有。
«因此,如果美國人說美國人的健康數據異常敏感,那麼當前狀態下的匿名化(…)不再受保並且我們必須保護他們免受非美國域外規則的影響,為什麼我們不做同樣的事情?»,向當選官員提問。
對於後者,歐洲的資料在地化要求不足以保護健康數據,這與當天發布並由 OVHCloud、Cloud Temple、Docaposte、Outscale 和 Drive 簽署的公開信相呼應。在本文中,法國雲端簽署者承認修訂內容是“積極的第一步», «但必須先於其他事項:已計劃於 2027 年對儲存庫進行下一次修訂,必須透過要求不受域外法律的豁免來保證健康資料的真正主權»,他們懇求道。
拉托姆貝議員強調說,作為證據:中國國家主席習近平和匈牙利達成了建立混合雲的協議,相當於該國的 Blue 或 S3NS。未來的雲端基礎設施將允許中國公司在歐洲託管數據,但中國公司可以存取……這足以構成對法國和歐洲高管所倡導的神聖主權目標的違背。
編者註:與我們在採訪 OVHcloud 客戶安全經理 Emmanuel Meyrieux 後所記錄的內容相反,HDS 基於 ISO 27001 而不是 ISO 2020,這一記錄錯誤已於 5 月 27 日星期一得到糾正。
