La Cnil est chargée par la Conseil de l’Etat de demander des garanties supplémentaires de protection des données à Microsoft dans le cadre de l’hébergement des données de santé des Français. Cela passera par la signature d’un avenant au contrat indique la Cnil.
Limiter le risque de transfert de données vers les États-Unis
Des garanties supplémentaires doivent limiter le risque de transfert de données vers les États-Unis. « Le juge des référés [NDLR : du Conseil d’Etat] estime qu’on ne peut exclure un risque de transfert des données de santé hébergées dans la plateforme du Health Data Hub aux services de renseignements américains » souligne la Cnil.
La Cnil indique qu’il lui appartient de veiller, pour les demandes d’autorisation des projets de recherche sur le Health Data Hub dans le cadre de la crise sanitaire, à ce que le recours à la plateforme soit techniquement nécessaire, et que c’est à elle de conseiller les autorités publiques sur les garanties appropriées. La Cnil pointe que la plateforme de Microsoft n’est qu’une solution temporaire et que les précautions devront être prises dans l’attente d’une solution pérenne qui permettra d’éliminer tout risque d’accès aux données personnelles par les autorités américaines.
La Cnil opposé au choix d’un prestataire américain
Dans un mémoire remis au Conseil d’Etat, la Cnil avait manifesté son opposition au choix d’un hébergeur de données américain. Elle estime que le choix d’un hébergeur soumis au droit américain semble incompatible avec les exigences de la Cour de Justice de l’Union Européenne en matière de protection de la vie privée. La Cnil a invité le juge à vérifier que les engagements de Microsoft à supprimer les transferts de données personnelles hors de l’Union Européenne couvraient bien l’ensemble du Health Data Hub. Il est vrai qu’un document présenté par les plaignants devant le Conseil d’Etat montrait que dans le cadre de services techniques et de maintenance des données pouvaient être transférées aux Etats-Unis par Microsoft.
La Cnil a estimé que l’hébergement de la plateforme de données de santé par une société de droit états-unien, pouvant être amenée à répondre à des demandes de communication de données, même pseudonymisées était en soi problématique et devait conduire à changer d’opérateur ou à apporter des garanties spécifiques. Elle a recommandé l’aménagement d’une période de transition pour réaliser cette migration. La Cnil se félicite que Cédric O, secrétaire d’État au numérique ait indiqué, le 8 octobre devant le Sénat, la volonté du Gouvernement de transférer le Health Data Hub sur des plateformes françaises ou européennes.