Health Data Hub est une plateforme permettant de regrouper les données de santé françaises pour favoriser la recherche médicale dont l’hébergement a été confié à Microsoft.
Plusieurs associations et professionnels s’inquiétant du potentiel transfert des données de santé par Microsoft vers les Etats-Unis à la suite de l’arrêt Schrems II ont saisi le Conseil d’Etat d’un recours demandant la suspension de la plateforme.
Pour rappel, dans son arrêt Schrems II du 16 juillet 2020, la Cour de justice de l’Union européenne a invalidé l’accord de « Privacy Shield » passé entre la Commission européenne et la Chambre du commerce américaine pour légaliser les transferts de données personnelles vers les Etats-Unis aux motifs que la législation américaine ne permet pas de garantir une protection des données personnelles équivalente à celle du RGPD.
La CNIL, invitée à produire ses observations, a regretté que l’hébergeur choisi soit soumis au droit américain et puisse donc être tenu de communiquer des données aux agences de renseignement gouvernementales américaines et a donc demandé le remplacement de Microsoft par un autre prestataire.
Dans son ordonnance du 13 octobre 2020, le Conseil d’État a reconnu l’existence d’un risque de transfert de données issues du Health Data Hub vers les États-Unis malgré les garanties importantes déjà apportées. Compte tenu de l’utilité de Health Data Hub pour la gestion de la crise sanitaire et de la volonté exprimée par le Gouvernement de la transférer sur des plateformes françaises ou européennes, il ne prononce pas l’interruption immédiate de la plateforme.
Toutefois, dans l’attente de ce changement de prestataire, le Conseil d’Etat :
- demande le renforcement des clauses du contrat avec Microsoft et la mise en place de mesures additionnelles de sécurité pour renforcer la protection des données hébergées sur le Health Data Hub ;
- désigne la CNIL pour
- instruire les demandes d’autorisation des projets de recherche sur le Health Data Hub dans le cadre de la crise sanitaire et veiller à ce que le recours à la plateforme soit techniquement nécessaire,
- conseiller les autorités publiques sur les garanties appropriées.
Plus d'informations ici.