في جملتين. يتيح Cloud Act (قانون أمريكي صدر عام 2018) لمدعٍ عام أمريكي المطالبة بالوصول إلى البيانات التي تحتفظ بها شركة أمريكية أو فرعها — حتى لو كانت هذه البيانات على الأراضي الأوروبية. أما SecNumCloud (المؤهل الفرنسي الصادر عن ANSSI) فيضمن أن خدمة الحوسبة السحابية محصّنة ضد هذا الإلزام.
Cloud Act بوضوح
اعتُمد في مارس 2018 من قِبل الكونغرس الأمريكي، ويتيح Clarifying Lawful Overseas Use of Data Act (CLOUD Act) للسلطات القضائية الأمريكية مطالبة أي شركة خاضعة للقانون الأمريكي بتسليم البيانات التي تحتفظ بها، بصرف النظر عن المكان الذي تُخزَّن فيه هذه البيانات جسدياً.
مثال عملي: إذا كانت بيانات صحتك مودَعة لدى AWS Paris (AWS Europe SARL)، فبإمكان مدعٍ عام فيدرالي أمريكي إلزام Amazon Web Services Inc. بتسليمها له. حتى لو كانت مشفّرة في حالة السكون، فإن احتفاظ AWS بالمفتاح يعني وجوب تسليمه. والشركة الفرنسية AWS Europe، بوصفها فرعاً لأمازون، تخضع لهذا الأمر القضائي بطريق غير مباشر.
لماذا يُشكّل ذلك مشكلة في مجال الصحة
تُصنَّف البيانات الصحية ضمن «البيانات الحساسة» بموجب المادة 9 من RGPD. ولا يجوز نقلها خارج الاتحاد الأوروبي إلا وفق شروط صارمة. ويُفضي Cloud Act إلى تعارض في القوانين: يجد مزود الخدمة الأمريكي نفسه بين التزام أمريكي (التسليم) وحظر أوروبي (عدم النقل).
أبطلت محكمة العدل الأوروبية درع الخصوصية Privacy Shield عام 2020 (حكم Schrems II)، تحديداً لأن قوانين المراقبة الأمريكية (ومنها Cloud Act) تُعدّ غير متوافقة مع مستوى الحماية الأوروبي.
النتيجة العملية. يظل استخدام AWS أو Azure لاستضافة بيانات صحية فرنسية، حتى في منطقة أوروبية، هشاً من الناحية القانونية. المنصات التي تفعل ذلك تدرك الأمر. كثيرون يقبلونه مراهنةً على أن لا مدعٍ عام أمريكي سيهتم بسجلات طبية فرنسية مجهولة الهوية.
SecNumCloud، الترياق الفرنسي
SecNumCloud مؤهَّل تمنحه ANSSI (الوكالة الوطنية لأمن أنظمة المعلومات) لمزودي الخدمات السحابية الذين يستوفون معايير صارمة:
- ولاية قضائية فرنسية أو أوروبية — الشركة المشغِّلة للسحابة غير خاضعة لـ Cloud Act
- رأس مال أغلبيته أوروبية — لا سيطرة من كيان خاضع للقانون خارج الاتحاد الأوروبي
- بنية تحتية مادية في فرنسا أو الاتحاد الأوروبي — لا تخزين ولا معالجة خارج الاتحاد الأوروبي
- موظفون مرخَّصون — الأشخاص الذين يملكون صلاحية الوصول التقني للبيانات أوروبيون ومرخَّصون
- متطلبات أمان رفيعة — مستندة إلى معايير ISO 27001، إذ يُعدّ SecNumCloud أشد صرامة
في فرنسا، لا يعمل سوى عدد محدود من مزودي الخدمة المؤهَّلين بـ SecNumCloud حتى الآن: أبرزهم OVHcloud وOutscale (مجموعة Dassault) وScaleway.
SecNumCloud ليس «مجرد» مزوّد استضافة فرنسي
كثير من المنصات الصحية الفرنسية تستضيف لدى مزوّد فرنسي يعيد بيع خدمة AWS: محلياً في فرنسا من الناحية التقنية، لكن خاضع للقانون الأمريكي قانونياً عبر علاقة التعاقد من الباطن. يحظر SecNumCloud هذه التهيئة صراحةً.
يشترط المؤهَّل أيضاً أن يرفض المزوّد أي أمر قضائي أجنبي، ويوثّق جميع الطلبات القضائية الواردة، ويخضع لعمليات تدقيق منتظمة من ANSSI.
الجدول المقارن
- AWS / Azure / Google Cloud Europe: خاضعة لـ Cloud Act، يمكن للمدعي العام الأمريكي الإلزام
- مزوّد فرنسي يعيد بيع AWS/Azure: نفس الإلزام بطريق غير مباشر
- مزوّد HDS الكلاسيكي: استضافة في فرنسا، لكن ليس بالضرورة SecNumCloud (قد تكون له تبعيات أمريكية)
- مزوّد SecNumCloud: حصانة ضد Cloud Act مضمونة من ANSSI
أين يقف الفاعلون الفرنسيون في الصحة الرقمية؟
الوضع غير متجانس:
- Mon Espace Santé / DMP: مستضاف لدى Atos (Eviden حالياً)، بنية تحتية سيادية
- Doctolib: استضافة في فرنسا لكن جزئياً على AWS — نقطة توتر أثناء جلسة الاستماع في مجلس الشيوخ عام 2021
- WEDA, Maiia، بعض برامج الإدارة: استضافة متفاوتة، غالباً لدى مزودين فرنسيين
- شركات ناشئة كثيرة في مجال الصحة: AWS أو Azure بشكل افتراضي، لأسباب تتعلق بسرعة الطرح في السوق
كيف تتحقق من مكان استضافة بياناتك الصحية
لك الحق في معرفة ذلك. إليك كيفية ممارسة هذا الحق:
- اطّلع على الملاحظات القانونية للتطبيق أو الموقع — يجب ذكر هوية المضيف بصورة إلزامية
- راسل مسؤول حماية البيانات DPO عبر البريد الإلكتروني — يجب أن تصل الإجابة خلال شهر واحد (المادة 15 من RGPD)
- تحقق من شهادة HDS — إلزامية لأي بيانات صحية، ويمكن التحقق منها على موقع ANS
- ابحث عن ذكر SecNumCloud — إذا غاب، اسأل صراحةً عن الامتثال لـ Cloud Act
التزام MDMC
اختارت My Data My Care الاستضافة لدى مزوّد فرنسي معتمد بـ HDS، مع شهادة SecNumCloud قيد الاستحصال. تضيف بنيتنا zero-knowledge طبقة إضافية: حتى في حال صدور أمر قضائي، لا نحتفظ بمفاتيح فكّ التشفير. بياناتك غير قابلة للقراءة دون موافقتك التشفيرية.
ذلك مكتوب في الشروط العامة للبيع، وقابل للتحقق في بنيتنا التقنية، ويُعدّ من التزاماتنا في بياننا.
ما يجب تذكّره
اختيار الاستضافة ليس تفصيلاً تقنياً. إنه يحدد مَن في العالم يمكنه قانونياً الوصول إلى بياناتك الصحية. SecNumCloud + تشفير zero-knowledge هو أعلى مستوى من السيادة الرقمية في أوروبا اليوم. تنطوي الخيارات الأخرى، بدرجات متفاوتة، على تنازلات تمسّ خصوصيتك الطبية.