CNIL 在 1 月 31 日星期三發布的決定中勉強開了綠燈。正如我們在一月初向您解釋的那樣,我們的自由警察已經證實了這樣一個事實:微軟是一家受美國治外法權管轄的美國公司,作為歐洲平台開發的一部分,託管著法國人和歐洲人的健康數據用於研究。
綠燈和「遺憾」:這次,我們個人資料的法國警察 CNIL 正式證實了這樣一個事實:微軟保存我們和歐洲人的健康數據。這是第一次。作為歐洲健康資料倉儲計畫「EMC2」的一部分,法國當局必須授權選擇這家美國雲端供應商。這是歐洲版的“健康資料中心»,法國健康資料平台自 2019 年起在法國開發。 CNIL 於 12 月 21 日做出的決定於 1 月 31 日星期三在 Legifrance 上發布。
該決定的內容已經眾所周知。一月初,01net.com為您解說了三位法國雲客(OVH雲、Numspot 和 Cloud Temple)已由數位健康代表團(DNS)進行了評估,該代表團是衛生部負責電子醫療項目的一個分支機構。政府的目標是評估這些公司是否可以在歐洲健康資料平台計畫 EMC2 中接管目前備受爭議的健康資料中心 (HDH) 主機微軟。
根據法國政府的評估,法國或歐洲的雲端公司都無法達到微軟的水平
這次,被審計的三家公司之一Numspot的主管向我們解釋說,CNIL已經為微軟託管這個歐洲平台開了綠燈。接受01網質疑時,CNIL證實12月21日確實就此事進行了審議,但尚未公佈決定。現在已經完成了。
在這項程序的起源時,歐洲藥品管理局發出了招標,要求開發一個歐洲健康數據平台,供某些研究人員在某些條件下存取。 Health Data Hub 與其他歐洲公司合作,於 2022 年贏得了這個名為 EMC2 的專案。
為了滿足 CNIL 的要求和法國國家的原則(現在要求選擇一家不受域外法律管轄的雲端供應商來處理特別敏感的數據,例如健康數據),我們在 2019 年底對法國雲端服務商進行了評估。去年。
在一些人形容為「令人難以置信」的情況下,這三家雲端公司的「協商」導致政府得出這樣的結論:在這個歐洲計畫EMC2 中,這三家法國公司都沒有提供足夠先進的雲端解決方案取代微軟。
CNIL 在審議中解釋說,收到了這一結論“專業使命e」於 2023 年 12 月 13 日。根據這份報告,她寫道:「沒有潛在的服務提供者提供滿足 (HDH) 技術和功能要求的託管服務,以便在與後者要求相容的時間範圍內實施 EMC2 專案。」。在等待法國或歐洲的解決方案時,DNS 建議“EMC2專案是在(HDH)現有技術方案上進行的」。因此,讓微軟成為歐洲健康數據平台的雲端供應商。
CNIL 遵循政府的結論,但感到遺憾
我們私生活的法國警察遵循法國政府的結論:它確實驗證了微軟的選擇,但只有三年,並且具有一定的“遺憾»。因此,CNIL“遺憾的是,目前沒有能夠滿足 (HDH) 表達的需求的服務提供者保護資料免受第三國域外法律的適用»。
法國當局含蓄地提醒,微軟身為一家美國公司,須遵守美國的域外法律,包括《雲端法案》和FISA 法剛延長至 2024 年 4 月。 Microsoft Azure 資料中心位於歐洲並不重要。因此,美國情報部門可以獲得法國健康數據,而沒有通知主要利害關係人。
法國當局也藉此機會批評了 2019 年最初選擇微軟作為健康資料中心的選擇,該平台是託管法國人健康資料的法國平台,目前運作緩慢。
她因此宣稱:遺憾的是,為促進研究人員獲取健康數據而製定的策略並未提供機會刺激歐洲提供能夠滿足這一需求的機會」。她走得更遠,因為她用白紙黑字寫道,有了這個“最初的選擇”,
«現在看來短期內很難擺脫(來自美國廠商的報價,編者註)儘管主權供應商逐漸出現。 HDH 可能選擇 EMC2 專案來預示其必須遷移到的主權解決方案»。
換句話說,CNIL 指出,錯過了透過公共採購升級法國或歐洲雲端產品的機會。
但考慮到健康資料中心中標的歐洲藥品管理局 (歐洲藥品管理局) 所做出的承諾,CNIL 驗證了微軟託管「EMC2 倉庫」的選擇,但為期三年。
CNIL也指出,本EMC2涉及的健康數據是來自法國四家醫院(里昂臨終關懷醫院、萊昂貝拉德中心、南錫大學醫院和聖約瑟夫醫院基金會)的某些患者的健康數據,以及來自健康保險的數據(照護途徑、處方等)。這是迄今為止的第一次,HDH 的法文版一直扮演著一站式商店的角色。對於研究中心的每項請求,HDH 都必須向這樣的資料庫提交請求。每次請求都必須得到 CNIL 的批准,導致程序持續數月,並且導致操作速度大大減慢。
對於作為託管此類專案候選者的法國雲端運算公司來說,微軟的選擇是令人遺憾的,他們在一月初向我們解釋。因為一方面,微軟並沒有對「主義」作出回應。雲在中心» 政府對健康資料託管了「SecNumCloud」基準,這是最高的網路安全標籤。該儲存庫的 3.2 版本提供了域外法律的豁免權,其中排除了 Microsoft 所屬的美國超大規模企業。
但另一方面,我們將這項基準強加給法國和歐洲的雲端供應商,這需要時間才能獲得。 「雙重標準」最終可能會結束。 Un 平台上的政府報告,1月18日發表,確實推薦“安排在 24 個月內停止在 Azure 上託管 HDH 平台,並(啟動)在合格的 SecNumCoud 雲端上託管 HDH 的工作」。該截止日期被描述為“雄心勃勃,但現階段可信»。
來源 : CNIL 2023 年 12 月 21 日的審議,於 2024 年 1 月 31 日在 Legifrance 上發布
