La Cnil vient de transmettre un mémoire fracassant au Conseil d’Etat à propos de l’hébergement des données de santé par Microsoft. Alors que de nombreuses voix se sont élevées contre le choix de la société américaine pour héberger toutes les données de santé de la Plateforme des données de santé (fameux Health Data Hub qui rassemble notamment toutes les données de soins de ville et de soins hospitaliers des français), le mémoire de la Cnil pourrait donner une indication sur la prochaine décision que la juridiction administrative rendra.
Comme le signale le Conseil national du logiciel libre (CNLL), la Cnil demande à ce que toutes les solutions d’hébergement de données de santé actuellement contractualisées auprès de “sociétés soumises au droit étasunien” changent “dans un délai aussi bref que possible”. En d’autres termes, plutôt que de passer par Microsoft, Amazon, Google ect… les acteurs récoltant et traitant les données de santé devront passer par des sociétés de droit européen.
La Cnil demande l’arrêt du stockage de nos données de santé par Microsoft via @Mediaparthttps://t.co/4l4MBBkL8a
Pour les non-abonnés, quelques extraits du mémoire de la CNIL: pic.twitter.com/RJbkxRHYQW
— CNLL (@cnll_fr) October 9, 2020
Cette demande découle de la possibilité pour les services de renseignements américains d’enjoindre à Microsoft (dans le cadre de la Plateforme des données de santé), mais aussi à n’importe quelle autre entreprise de droit étasunien, de lui transférer des données de santé que l’entreprise stocke et traite sur le territoire de l’Union européenne. Il s’agirait alors d’une violation caractérisée du RGPD (notamment son article 48). La Cnil en déduit qu’il est nécessaire de modifier les conditions d’hébergement de toutes les données de santé tout en permettant la création d’une période transitoire.
Une autre chose est à retenir de ce mémoire. La Cnil va examiner l’impact de cette incompatibilité entre le droit américain et le droit européen sur les autres traitements de données à caractère personnel. En effet, le mémoire qui vient d’être délivré ne concerne que les données de santé, mais d’autres données, moins sensibles, pourraient être concernés.
Le timing est assez intéressant car le secrétaire d’Etat au numérique, Cédric O, annonçait hier qu’il souhaitait rapatrier les données de santé liées à la Plateforme des données de santé en France. Un appel d’offres pourrait prochainement être lancé.
