C’est mieux que rien. En substance, c’est le message envoyé par le Conseil d’État qui estime que l’hébergement de nos données de santé sur le Health Data Hub (HDH) par Microsoft ne représente pas un danger immédiat, ni une violation du droit européen. Sa suspension n’est donc, selon les juges, pas nécessaire. « Les données personnelles hébergées aux Pays-Bas dans le cadre d’un contrat avec Microsoft ne peuvent légalement être transférées en dehors de l’Union européenne (UE) », peut-on dans l’ordonnance publiée le 13 octobre 2020 [PDF].
Health Data Hub et protection de données personnelles : des précautions particulières doivent être prises sous contrôle de la @CNIL, dans l’attente d’une solution pérenne
👉 La décision du juge des référés : https://t.co/6hB1Zf4Nfb pic.twitter.com/xmoYir2UsJ— Conseil d'État (@Conseil_Etat) October 14, 2020
Saisi fin septembre dernier par une vingtaine de personnalités et d’organisations, dont le Conseil national du logiciel libre et le collectif d’hôpitaux Interhop, le Conseil d’État a auditionné le secrétaire d’État au Numérique Cédric O. Ce dernier a ainsi déclaré que l’État, accusé d’avoir passé en force la plate-forme, travaillait « au transfert du HDH sur des plates-formes françaises ou européennes […] après le coup de tonnerre de l’annulation du Privacy Shield ». Mais « compte tenu de l’urgence de la situation », le juge des référés rappelle, par sa décision, que « les projets recourant au HDH sont ceux pour lesquels il n’existe pas d’autre solution technique satisfaisante ». Schématiquement : la légalité du contrat est sans appel, l’intention politique entérinée, mais la technique pêche. Conséquence : le statu quo.
Le Conseil d’État relève en outre que le HDH et l’entreprise américaine « se sont engagés à refuser tout transfert de données de santé en dehors de l’UE ». Enfin, un arrêté ministériel pris le 9 octobre 2020 réaffirme cet engagement, interdisant « tout transfert de données à caractère personnel dans le cadre de ce contrat ».
À la recherche d’une « solution pérenne »
Néanmoins, il rappelle que « le risque ne [pouvant] être totalement exclu que les services de renseignement américains demandent l’accès à ces données, il […] impose de prendre des précautions particulières ». Le HDH doit ainsi « continuer sous le contrôle de la Commission nationale de l’informatique et des libertés (Cnil), à travailler avec Microsoft pour renforcer la protection des droits des personnes concernées sur leurs données personnelles », explique le communiqué dans l’attente « d’une solution qui permettra d’éliminer tout risque d’accès aux données personnelles par les autorités américaines ». Wait and see.
Source : Conseil d’État
🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.
