La Cnil s’oppose à l’hébergement des données de santé du HDH par Microsoft

Article Article

À l'occasion d'une nouvelle procédure en référé contre le Health data hub (HDH) le 8 octobre, la Cnil a émis un avis extrêmement défavorable à l'hébergement des données de santé par Microsoft. 

La Cnil s’oppose à l’hébergement des données de santé du HDH par Microsoft

Est-ce le début de la fin de ce beau deal qu’avait conclu le Health data hub avec Microsoft pour l’hébergement des données de santé ? Il semblerait. En juin dernier, un collectif d’associations et de syndicats (dont Interhop) a été en partie débouté de leur demande d’abrogation du décret du 21 avril, lequel rendait opérationnel et de manière précipitée le health data hub. Depuis, une nouvelle procédure a été lancée contre le HDH (par le conseil national du logiciel libre), ou plus précisément contre l’hébergement des données de santé du HDH par Microsoft. Car depuis, à l’échelle européenne, l’accord censé protéger les données européennes hébergées aux États-Unis baptisé Privacy shield, a été dénoncée par la Cour de justice européenne en juillet dernier. Dans un avis de la Cnil transmis au Conseil d’Etat ce 8 octobre, et que WUD a pu consulter, il est en effet stipulé que la CJUE a relevé que « les exigences de la section 702 du FISA et de l’executive order 123333 du droit étatsunien, qui instituent des programmes permettant l’accès des autorités publiques étatsuniennes à des fins de sécurité nationale aux données personnelles transférées de l’UE vers les États-Unis […] entrainent des limitations de la protection des données personnelles […] D’autre part cette  législation n’accorde pas aux personnes concernées des droits de recours devant les juridictions contre les autorités étatsuniennes ». La Cour de justice de l’Union européenne a donc déclaré invalide la décision du Privacy shield. 

Lire aussi : 
Le Health data hub dans la tourmente
Pourquoi le conseil d'État a été saisi ?
Le HDH va devoir repasser devant la Cnil

Interhop lance une pétition contre le Health data hub

Cette décision, historique, remet donc en cause le jugement, plutôt bienveillant jusqu’alors, de la Cnil pour le HDH. Se pose désormais la question « des transferts opérés par Microsoft à la demande des renseignements des États-Unis ». En conclusion, édicte la Cnil, « la société microsoft peut être soumise sur le fondement du FISA,, voire peut-être de l’EO 123333, à des injonctions des services de renseignement l’obligeant à leur transférer des données stockées et traitées sur le territoire de l’Union européenne ». De ce fait, cette situation « doit conduire à modifier les conditions d’hébergement de la PDS, ainsi que celles des autres entrepôts de données de santé qui sont hébergées par des sociétés soumises au droit étatsunien. La solution la plus effective consiste à confier l’hébergement de ces données à des sociétés non soumises au droit étatsunien ». La Cnil considère que l’arrêt de l’hébergement des données de santé par Microsoft doit se faire sans tarder, quitte à mettre en place une période transitoire. Ce nouveau référé a été examiné par le Conseil d’État ce 8 octobre. Qui devrait rendre sa décision en début de semaine prochaine, selon Mediapart, qui a assisté à l’audience

 

Les gros dossiers

+ De gros dossiers