Suite à la suspension de transferts de données de santé vers Microsoft, un second appel d’offres pour l’hébergement du Health Data Hub a été lancé afin de permettre à des hébergeurs européens, voire français de se positionner dans ce projet.
Des associations et syndicats ont demandé au juge des référés du Conseil d’État de suspendre toutes les activités de la plateforme Health Data Hub (HDH), par crainte que Microsoft effectue des transferts de données personnelles vers les États-Unis, ainsi qu’en raison de l’arrêt de l’invalidation du Privacy Shield de la Cour de Justice de l’Union Européenne (CJUE) juillet dernier.
Il a déjà été convenu que les données personnelles actuellement hébergées aux Pays-Bas dans le cadre du contrat avec Microsoft ne peuvent pas être légalement transférées en dehors de l’Union Européenne. Il n’est toutefois pas totalement impossible que les services de renseignement américains demandent l’accès à ces données. Néanmoins, cela ne justifie pas une éventuelle suspension temporaire de la Plateforme des Données de Santé (PDS) mais implique tout de même de prendre des précautions, recommande la CNIL.
Le Health Data Hub épargné par le juge des référés du Conseil d’État
De ce fait, le juge des référés du Conseil d’État a émis la décision à court terme suivante : la plateforme Health Data Hub ne sera pas suspendue malgré ce contentieux entre le géant américain et la CNIL. Cela implique que des mesures doivent être mises en place jusqu’à ce que le Health Data Hub soit hébergé par une entreprise européenne. Ainsi, en attendant que l’appel d’offres soit concluant pour la plateforme, le juge préconise de ne pas conclure ou signer un quelconque accord avec l’entreprise Microsoft.
Afin de prévenir et éviter tout incident, le juge des référés demande au HDH de conserver Microsoft en tant qu’hébergeur, sous le contrôle de la CNIL afin d’assurer une protection optimale des données personnelles traitées. Ces précautions devront être prises en l’attente de la garantie d’un sous-traitant européen ou français, ou tout autre recours qui permettra d’éliminer tout risque d’accès ou de diffusion des données personnelles par les États-Unis.
Le juge des référés a précisé que dans le contexte sanitaire actuel, il est non pas nécessaire mais primordial qu’une plateforme comme le Health Data Hub établisse un accès et un traitement constant et régulier des données de santé, c’est pourquoi elle ne doit pas être ajournée, même de manière provisoire.
Pour en savoir plus, vous pouvez lire la déclaration de la CNIL en cliquant ici.