Health Data Hub : pas de risque zéro en matière de transfert des données outre-Atlantique, selon le Conseil d’Etat

Spread the love
Health Data Hub : pas de risque zéro en matière de transfert des données outre-Atlantique, selon le Conseil d'Etat

Le Conseil d’Etat reconnait, dan une ordonnance du 13 octobre, l’existence d’un risque de voir les données santé exploitées sur la plateforme Health Data Hub être transférées sur le sol américain si les autorités américaines en faisaient la demande à Microsoft.

Cette décision marque une légère évolution dans l’argumentaire du Conseil d’Etat, qui avait rejeté fin septembre un recours contre le transfert des données outre-Atlantique. La plus haute juridiction administrative estimait alors que les mesures sollicitées par les requérants excédaient celles que le juge des référés pourrait adopter.

Soutenant que certaines données sont transférées aux Etats-Unis, les requérants avaient demandé au Conseil d’Etat de « suspendre le traitement et la centralisation des données au sein du Health Data Hub et, ce faisant, de s’aligner sur la toute récente jurisprudence européenne » qui invalide le Privacy Shield. Ils font également valoir que « les engagements contractuels conclus entre la société Microsoft et le Health Data Hub sont insuffisants ».

publicité

Le transfert des données aux Etats-Unis écarté par le Conseil d’Etat

Par crainte de possibles transferts de données personnelles vers les Etats-Unis, des associations et syndicats ont de nouveau saisi le juge des référés du Conseil d’Etat pour demander de suspendre en urgence la plateforme Health Data Hub. Dans la mesure où cette plateforme concentre des données privées très sensibles, le Conseil d’Etat va dans le sens des requérants et affirme qu’« aucune donnée personnelle ne peut être transférée en dehors de l’Union européenne dans le cadre du contrat conclu avec Microsoft ».

Ceci étant dit, le Conseil d’Etat rappelle qu’à ce jour, la CJUE « n’a pas jugé que le droit européen de la protection des données interdirait de confier le traitement de données, sur le territoire de l’Union européenne, à une société américaine ». En outre, l’incompatibilité d’un contrat passé avec Microsoft avec le RGPD « demeure hypothétique », dit le Conseil d’Etat, puisqu’il supposerait que « Microsoft ne soit pas en mesure de s’opposer à une éventuelle demande des autorités américaines », justifie-t-il.

Le même Microsoft qui, il y a quelques années, s’était farouchement opposé à l’accès de la justice US à des données stockées en Irlande dans le cadre d’une enquête criminelle au nom de la confidentialité numérique, avant que l’adoption par le Congrès du Cloud Act (Clarifying Lawful Overseas Use of Data), soutenue par ailleurs par la firme, ne vienne changer les règles du jeu.

La suspension de la plateforme n’est pas justifiée à court terme

Le Conseil d’Etat indique que si « le risque ne peut être totalement exclu que les services de renseignements américains demandent l’accès à ces données », il ne justifie pas, à très court terme, la « suspension de la plateforme ». Sans trancher la question, le Conseil d’Etat considère que des « précautions doivent être prises dans l’attente d’une solution pérenne », et renvoie le dossier à la CNIL.

Le juge des référés ne relève pas « d’illégalité grave et manifeste » qui justifierait la suspension immédiate de la plateforme. Selon le Conseil d’Etat, le contexte sanitaire pèse dans la poursuite de l’exploitation de la plateforme Health Data Hub. « Il existe un intérêt public important à permettre la poursuite de l’utilisation des données de santé pour les besoins de l’épidémie de covid-19 grâce aux moyens techniques dont dispose la Plateforme ».

Il demande donc au Health Data Hub de « continuer, sous le contrôle de la CNIL, à travailler avec Microsoft pour renforcer la protection des droits et des personnes concernées sur leurs données personnelles ». Ces précautions sont pour le Conseil d’Etat une étape intermédiaire dans l’attente d’une solution pérenne.

Cédric O a annoncé récemment qu’un appel d’offres serait relancé pour rouvrir la compétition aux fournisseurs français et européens. Le vœu du secrétaire d’Etat au numérique est de transférer les données santé sur des clouds souverains, à la suite de l’invalidation par la CJUE du Privacy Shield en juillet dernier. La CNIL a de son côté recommandé de rapatrier l’hébergement des données de la plateforme de santé, tout en considérant qu’une période de transition était nécessaire pour éviter les risques de perte de données ou de technologie.

Leave a Reply