CNIL 在 1 月 31 日星期三发布的决定中勉强开了绿灯。正如我们在一月初向您解释的那样,我们的自由警察已经证实了这样一个事实:微软是一家受美国治外法权管辖的美国公司,作为欧洲平台开发的一部分,托管着法国人和欧洲人的健康数据用于研究。
绿灯和“遗憾”:这一次,我们个人数据的法国警察 CNIL 正式证实了这样一个事实:微软保存我们和欧洲人的健康数据。这是第一次。作为欧洲健康数据仓库项目“EMC2”的一部分,法国当局必须授权选择这家美国云提供商。这是欧洲版的“健康数据中心»,法国健康数据平台自 2019 年起在法国开发。 CNIL 于 12 月 21 日做出的决定于 1 月 31 日星期三在 Legifrance 上发布。
该决定的内容已经众所周知。一月初,01net.com为您讲解了三位法国云客(OVH云、Numspot 和 Cloud Temple)已由数字健康代表团(DNS)进行了评估,该代表团是卫生部负责电子医疗项目的一个分支机构。政府的目标是评估这些公司是否可以在欧洲健康数据平台项目 EMC2 中接管目前备受争议的健康数据中心 (HDH) 主机微软。
根据法国政府的评估,法国或欧洲的云公司都无法达到微软的水平
这次,被审计的三家公司之一Numspot的主管向我们解释说,CNIL已经为微软托管这个欧洲平台开了绿灯。接受01网质疑时,CNIL证实12月21日确实就此事进行了审议,但尚未公布决定。现在已经完成了。
在这一程序开始时,欧洲药品管理局发出了招标,要求开发一个欧洲健康数据平台,供某些研究人员在某些条件下访问。 Health Data Hub 与其他欧洲公司合作,于 2022 年赢得了这个名为 EMC2 的项目。
为了满足 CNIL 的要求和法国国家的原则(现在要求选择一家不受域外法律管辖的云提供商来处理特别敏感的数据,例如健康数据),对法国云服务商进行了评估去年。
在一些人形容为“令人难以置信”的情况下,这三个云提供商的“协商”导致政府得出这样的结论:这三个法国公司都没有提供足够先进的云解决方案来取代欧洲项目 EMC2 中的微软,管理人员这三个公司在本月初向我们解释过。
CNIL 在审议中解释说,收到了这一结论“专业使命e”于 2023 年 12 月 13 日。根据这份报告,她写道:“没有潜在的服务提供商提供满足 (HDH) 技术和功能要求的托管服务,以便在与后者要求兼容的时间范围内实施 EMC2 项目。”。在等待法国或欧洲的解决方案时,DNS 建议“EMC2项目是在(HDH)现有技术方案上进行的”。因此,让微软成为欧洲健康数据平台的云提供商。
CNIL 遵循政府的结论,但感到遗憾
我们私生活的法国警察遵循法国政府的结论:它确实验证了微软的选择,但只有三年,并且具有一定的“遗憾»。因此,CNIL“遗憾的是,目前没有能够满足 (HDH) 表达的需求的服务提供商保护数据免受第三国域外法律的适用»。
法国当局含蓄地提醒,微软作为一家美国公司,须遵守美国的域外法律,包括《云法案》和FISA 法刚刚延长至 2024 年 4 月。 Microsoft Azure 数据中心位于欧洲并不重要。因此,美国情报部门可以获取法国健康数据,而没有通知主要利益相关者。
法国当局还借此机会批评了2019年最初选择微软作为健康数据中心的选择,该中心是法国平台,托管法国人的健康数据,目前运行缓慢。
她因此宣称:遗憾的是,为促进研究人员获取健康数据而制定的战略并未提供机会刺激欧洲提供能够满足这一需求的机会”。她走得更远,因为她用白纸黑字写道,有了这个“最初的选择”,
«现在看来短期内很难摆脱(来自美国厂商的报价,编者注)尽管主权供应商逐渐出现。 HDH 可能会选择 EMC2 项目来预示其必须迁移到的主权解决方案»。
换句话说,CNIL 指出,错过了通过公共采购升级法国或欧洲云产品的机会。
但考虑到健康数据中心中标的欧洲药品管理局 (欧洲药品管理局) 做出的承诺,CNIL 验证了微软托管“EMC2 仓库”的选择,但为期三年。
CNIL还指出,本次EMC2涉及的健康数据是来自法国四家医院(里昂临终关怀医院、莱昂贝拉德中心、南锡大学医院和圣约瑟夫医院基金会)的某些患者的健康数据,以及来自健康保险的数据(护理途径、处方等)。迄今为止,这是第一次,HDH 的法语版一直扮演着一站式商店的角色。对于研究中心的每项请求,HDH 都必须向这样的数据库提交请求。每次请求都必须得到 CNIL 的批准,导致程序持续数月,并且导致操作速度大大减慢。
对于作为托管此类项目候选者的法国云计算公司来说,微软的选择是令人遗憾的,他们在一月初向我们解释道。因为一方面,微软并没有对“主义”作出回应。云在中心» 政府对健康数据托管了“SecNumCloud”基准,这是最高的网络安全标签。该存储库的 3.2 版本提供了域外法律的豁免权,其中不包括 Microsoft 所属的美国超大规模企业。
但另一方面,我们将这一基准强加给法国和欧洲的云提供商,这需要时间才能获得。 “双重标准”最终可能会结束。 Un 平台上的政府报告,1月18日发表,确实推荐“安排在 24 个月内停止在 Azure 上托管 HDH 平台,并(启动)在合格的 SecNumCoud 云上托管 HDH 的工作”。该截止日期被描述为“雄心勃勃,但现阶段可信»。
来源 : CNIL 2023 年 12 月 21 日的审议,于 2024 年 1 月 31 日在 Legifrance 上发布
