La CNIL a annoncé la suspension de transferts de données de santé vers Microsoft ou toute autre société soumise « au droit étasunien ». Suite à cette décision, un second appel d’offres sur l’hébergement du Health Data Hub a été lancé afin de permettre à des prestataires européens, voire français de proposer leurs services.
Le Health Data Hub (HDH), aussi appelé Plateforme des Données de Santé (PDS) a été mis en place par le gouvernement français afin de faciliter l’accès aux chercheurs à des volumes conséquents de données de santé.
En juillet, la CJUE (Cour de Justice de l’Union Européenne) a invalidé la décision d’adéquation Privacy Shield, dans l’arrêt dit “Schrems II”, qui permettait le transfert de données entre l’Union Européenne et les opérateurs américains adhérant à ses principes de protection des données sans autre formalité. Ainsi, il était inévitable que certaines oppositions se feraient à l’idée que Microsoft, entreprise américaine, constitue l’hébergeur du Health Data Hub, plateforme française.
L’hébergeur américain Microsoft controversé
Le 8 octobre, la CNIL a communiqué sa décision dans un mémoire transmis au Conseil d’État. Dans celui-ci, elle demande à tous les acteurs agissant dans le stockage des données de santé de suspendre tout transfert de données et donc hébergement de ces data, à Microsoft ou toute autre entreprise ne répondant pas aux exigences européennes.
En effet, dès les prémices du projet, la CNIL a attiré l’attention sur les problématiques liées aux droits des personnes concernant l’usage de leurs données privées. L’autorité administrative prévoirait ainsi une période dédiée au remaniement de l’hébergement afin de privilégier des prestataires conformément aux exigences.
Un nouvel hébergeur européen pour le Health Data Hub ?
Ainsi, un appel d’offres a été émis dans le but de redéfinir un hébergeur européen ou français conforme à la législation européenne de vigueur. Néanmoins, le gouvernement français avait déjà choisi Microsoft en tant qu’hébergeur du Health Data Hub en 2019. Le géant américain avait également été agréé la même année en tant qu’Hébergeur des Données de Santé (HDS) par l’ASIP Santé (Agence du numérique en santé), comme Google et Amazon. Ainsi, il ne sera peut-être pas évident et possible de prohiber les GAFAM agréés de participer à cet appel d’offres.
Pour en savoir plus sur l’invalidation du Privacy Shield par la CJUE, vous pouvez consulter notre article en cliquant ici.