Dữ liệu sức khỏe của chúng tôi hiện vẫn được Microsoft lưu trữ. Trong một quyết định được công bố vào thứ Ba, ngày 29 tháng 4 và ban đầu được l’Informé công bố, Hội đồng Nhà nước, tòa án hành chính cao nhất, đã bác bỏ đơn kháng cáo nhằm hủy bỏ, ngầm định, việc CNIL xác nhận Microsoft là máy chủ lưu trữ “Health Data Hub”, nền tảng dữ liệu sức khỏe của Pháp.
Một số tổ chức, bao gồm Clever Cloud và Hội đồng Phần mềm Tự do Quốc gia và Dự án Internet Mở, đã đệ đơn kháng cáo tạm thời và có nội dung đối với hai quyết định của CNIL được công bố vào tháng 3 năm ngoái. Trong các quyết định này, cơ quan giám sát dữ liệu cá nhân của chúng tôi đã ủy quyền cho Cơ quan Dược phẩm Châu Âu (EMA) triển khai xử lý máy tính trong ba năm đối với dữ liệu sức khỏe của 10 triệu người Pháp – đáng chú ý là thông qua "Trung tâm dữ liệu sức khỏe" lưu trữ dữ liệu nhạy cảm này trên đám mây của công ty Microsoft của Mỹ.
Cụ thể, hai cuộc thảo luận của CNIL được công bố vào tháng 3 năm ngoái đã bật đèn xanh cho Cơ quan Dược phẩm Châu Âu. Sau này muốn giao thầu phụ cho "Trung tâm dữ liệu y tế" (HDH) việc trích xuất "dữ liệu có liên quan từ hệ thống dữ liệu y tế quốc gia (SNDS), bí danh hóa dữ liệu, chuyển đổi dữ liệu sang định dạng "OMOP-CDM" và lưu trữ dữ liệu". Mục tiêu của hoạt động này là tiến hành "các nghiên cứu về ước tính tỷ lệ mắc và tỷ lệ lưu hành của các bệnh lý và việc sử dụng thuốc trong dân số nói chung tại Pháp", Hội đồng Nhà nước nhớ lại.
Lập luận này không thuyết phục được các thẩm phán hành chính. Đối với Hội đồng Nhà nước, điều kiện cấp bách chưa được đáp ứng. Mặc dù tòa án hành chính cấp cao nhất thừa nhận rằng dữ liệu của Pháp "có thể bị chính quyền Hoa Kỳ yêu cầu truy cập thông qua công ty mẹ của máy chủ và máy chủ không thể phản đối điều này, nhưng rủi ro này vẫn chỉ là giả thuyết xét đến tình trạng điều tra hiện tại". Hơn nữa, ban giám khảo lưu ý rằng Microsoft Ireland có chứng nhận của Pháp là “nơi lưu trữ dữ liệu sức khỏe”. Tuy nhiên, nhãn này ngụ ý "chuẩn mực bảo mật và kiểm toán thường xuyên của một cơ quan được công nhận, các biện pháp bảo đảm và an ninh" cũng như dữ liệu "được ẩn danh nhiều lần và không xác định trực tiếp", Hội đồng Nhà nước cũng lưu ý. Do đó, đơn xin cứu trợ tạm thời bị bác bỏ, nhưng các thủ tục thực chất vẫn đang tiếp tục – chúng sẽ được xét xử trong những tháng tới.
Nhưng kể từ đó, bối cảnh quốc tế đã thay đổi và sự thay đổi địa chính trị của Hoa Kỳ đã đưa mong muốn về chủ quyền kỹ thuật số của Lục địa già trở lại tâm điểm chú ý: hai yếu tố này có thể thay đổi mọi thứ, các tổ chức tin tưởng, những người đã chuyển vấn đề này lên thẩm phán hành chính vào tháng 3 năm ngoái. Do đó, quyết định quan trọng tiếp theo của Hội đồng Nhà nước sẽ được theo dõi rất chặt chẽ.
Một số tổ chức, bao gồm Clever Cloud và Hội đồng Phần mềm Tự do Quốc gia và Dự án Internet Mở, đã đệ đơn kháng cáo tạm thời và có nội dung đối với hai quyết định của CNIL được công bố vào tháng 3 năm ngoái. Trong các quyết định này, cơ quan giám sát dữ liệu cá nhân của chúng tôi đã ủy quyền cho Cơ quan Dược phẩm Châu Âu (EMA) triển khai xử lý máy tính trong ba năm đối với dữ liệu sức khỏe của 10 triệu người Pháp – đáng chú ý là thông qua "Trung tâm dữ liệu sức khỏe" lưu trữ dữ liệu nhạy cảm này trên đám mây của công ty Microsoft của Mỹ.
Mục tiêu: tiến hành các nghiên cứu về việc sử dụng thuốc trong số người Pháp
Nhưng CNIL đã ra lệnh cho chính phủ nhanh chóng tìm một đơn vị chủ quản khác ngoài gã khổng lồ của Mỹ. Kể từ báo cáo của chính phủ vào tháng 1 năm 2024 khuyến nghị chuyển đổi nhà cung cấp dịch vụ đám mây sang một công ty châu Âu, không có lời kêu gọi đấu thầu nào được công bố. Cơ quan độc lập đã tận dụng hai cuộc thảo luận của mình để "tái khẳng định sự tiếc nuối rằng nền tảng dữ liệu y tế vẫn chưa có nhà cung cấp dịch vụ có khả năng đáp ứng nhu cầu của mình trong khi vẫn bảo vệ dữ liệu SNDS (hệ thống dữ liệu y tế quốc gia) khỏi sự truy cập của các cơ quan công quyền của các nước thứ ba" - trong trường hợp này là các cơ quan chức năng Hoa Kỳ.Cụ thể, hai cuộc thảo luận của CNIL được công bố vào tháng 3 năm ngoái đã bật đèn xanh cho Cơ quan Dược phẩm Châu Âu. Sau này muốn giao thầu phụ cho "Trung tâm dữ liệu y tế" (HDH) việc trích xuất "dữ liệu có liên quan từ hệ thống dữ liệu y tế quốc gia (SNDS), bí danh hóa dữ liệu, chuyển đổi dữ liệu sang định dạng "OMOP-CDM" và lưu trữ dữ liệu". Mục tiêu của hoạt động này là tiến hành "các nghiên cứu về ước tính tỷ lệ mắc và tỷ lệ lưu hành của các bệnh lý và việc sử dụng thuốc trong dân số nói chung tại Pháp", Hội đồng Nhà nước nhớ lại.
Không cần phải hành động ngay
Để đơn kháng cáo cứu trợ tạm thời chống lại hai cuộc thảo luận này được chấp nhận, các tổ chức phải chứng minh được "tính cấp thiết" phải hành động ngay. Để làm được điều này, họ nhấn mạnh rằng Microsoft Ireland là một công ty tuân theo luật pháp Hoa Kỳ. Điều này gây ra tác hại nghiêm trọng và tức thời do "rủi ro tiếp cận (dữ liệu sức khỏe, ghi chú của biên tập viên), liên quan đến mười triệu người (Pháp), bởi chính quyền Hoa Kỳ, trong bối cảnh bất ổn pháp lý đã gia tăng ở quốc gia này kể từ năm 2024", các tổ chức này lập luận.Lập luận này không thuyết phục được các thẩm phán hành chính. Đối với Hội đồng Nhà nước, điều kiện cấp bách chưa được đáp ứng. Mặc dù tòa án hành chính cấp cao nhất thừa nhận rằng dữ liệu của Pháp "có thể bị chính quyền Hoa Kỳ yêu cầu truy cập thông qua công ty mẹ của máy chủ và máy chủ không thể phản đối điều này, nhưng rủi ro này vẫn chỉ là giả thuyết xét đến tình trạng điều tra hiện tại". Hơn nữa, ban giám khảo lưu ý rằng Microsoft Ireland có chứng nhận của Pháp là “nơi lưu trữ dữ liệu sức khỏe”. Tuy nhiên, nhãn này ngụ ý "chuẩn mực bảo mật và kiểm toán thường xuyên của một cơ quan được công nhận, các biện pháp bảo đảm và an ninh" cũng như dữ liệu "được ẩn danh nhiều lần và không xác định trực tiếp", Hội đồng Nhà nước cũng lưu ý. Do đó, đơn xin cứu trợ tạm thời bị bác bỏ, nhưng các thủ tục thực chất vẫn đang tiếp tục – chúng sẽ được xét xử trong những tháng tới.
Hội đồng Nhà nước luôn bác bỏ các đơn kháng cáo chống lại HDH
Đây không phải là lần đầu tiên Hội đồng Nhà nước kiểm tra "Trung tâm dữ liệu y tế" và đơn vị chủ quản tại Mỹ là Microsoft. Năm ngoái, đơn kháng cáo đầu tiên nhằm yêu cầu đình chỉ khẩn cấp quyết định của CNIL về việc xác nhận Microsoft được đưa ra vào tháng 12 năm 2023 đã bị bác bỏ vào tháng 3 năm 2024. Đơn kháng cáo thứ hai, về bản chất, cũng chịu chung số phận vài tháng sau đó. Vào năm 2020, khi Trung tâm dữ liệu y tế được thành lập, các thẩm phán hành chính cũng đã bác bỏ một thủ tục tương tự.Nhưng kể từ đó, bối cảnh quốc tế đã thay đổi và sự thay đổi địa chính trị của Hoa Kỳ đã đưa mong muốn về chủ quyền kỹ thuật số của Lục địa già trở lại tâm điểm chú ý: hai yếu tố này có thể thay đổi mọi thứ, các tổ chức tin tưởng, những người đã chuyển vấn đề này lên thẩm phán hành chính vào tháng 3 năm ngoái. Do đó, quyết định quan trọng tiếp theo của Hội đồng Nhà nước sẽ được theo dõi rất chặt chẽ.
