Le Conseil d’Etat a validé le choix du Gouvernement de confier l’hébergement des données de santé liées à la Covid-19 à Microsoft, rejetant les préoccupations sur la souveraineté numérique française. L’arrêté du 21 avril 2020, qui autorise la collecte et le traitement de ces données, ne constitue pas une atteinte illégale à la vie privée. Bien que Microsoft soit soumis au droit américain, les données seront hébergées en Europe, avec des garanties de sécurité et de pseudonymisation. Le Conseil a écarté les risques de transfert de données vers les États-Unis, considérant que les protections en place sont adéquates.. Consulter la source documentaire.

Pourquoi le Conseil d’Etat a-t-il validé l’hébergement des données de santé par Microsoft ?

Le Conseil d’Etat a validé le choix du Gouvernement de confier l’hébergement des données de santé « Covid 19 » à Microsoft, en considérant que cette décision ne portait pas atteinte au droit au respect de la vie privée ni à la protection des données personnelles.

Cette décision s’appuie sur l’arrêté du 21 avril 2020, qui a été pris pour faire face à l’épidémie de covid-19. Le Conseil a jugé que les conditions d’hébergement, bien que Microsoft soit une entreprise américaine, ne constituaient pas une atteinte grave aux libertés fondamentales.

Il a également été noté que les données seraient hébergées dans des centres de données situés en Europe, ce qui renforce la protection des données personnelles conformément aux exigences du RGPD.

Quels sont les risques associés au transfert de données vers les États-Unis ?

Le transfert de données vers les États-Unis a suscité des préoccupations, notamment en raison des lois américaines comme le « Foreign Intelligence Surveillance Act » et le « Cloud Act », qui permettent aux autorités d’accéder à des données pour des enquêtes criminelles.

Cependant, le Conseil d’Etat a écarté ces risques en se basant sur la décision d’exécution (UE) 2016/1250, qui a établi que les États-Unis offrent un niveau adéquat de protection des données personnelles. Microsoft est également adhérente au « bouclier de protection des données », ce qui renforce la sécurité des données transférées.

De plus, les données de santé, lorsqu’elles sont pseudonymisées, ne sont pas considérées comme susceptibles d’être demandées par les autorités américaines, ce qui limite les risques d’accès non autorisé.

Quelles données sont collectées par la Plateforme des données de santé ?

L’arrêté du 21 avril 2020 autorise la Plateforme des données de santé à collecter diverses catégories de données personnelles, notamment celles issues du système national des données de santé, des données de pharmacie, et des résultats d’examens biologiques.

Ces données incluent également des informations sur les diagnostics, les symptômes déclarés via des applications de santé, et des données relatives aux urgences.

La collecte est strictement encadrée et ne peut se faire que pour des finalités d’intérêt public liées à la gestion de l’urgence sanitaire et à l’amélioration des connaissances sur la covid-19.

Les données collectées ne peuvent pas contenir d’informations permettant d’identifier directement les individus, garantissant ainsi un certain niveau de protection de la vie privée.

Comment la sécurité des données est-elle assurée ?

La sécurité technique des données mises à disposition de la plateforme est assurée par la mise en œuvre de mesures spécifiques prévues dans le plan d’action d’homologation de la plateforme technologique.

La CNIL a souligné que ces mesures doivent être régulièrement réévaluées pour s’adapter aux évolutions de la plateforme et aux risques associés.

Cela inclut des protocoles de sécurité pour protéger les données contre les accès non autorisés et garantir leur intégrité.

La responsabilité de la sécurité des données incombe à la Plateforme des données de santé et à la Caisse nationale de l’assurance maladie, qui doivent s’assurer que toutes les mesures de sécurité sont en place et respectées.

Quelles sont les garanties de pseudonymisation des données ?

Le RGPD impose des garanties appropriées pour le traitement des données à des fins de recherche, notamment la pseudonymisation.

L’arrêté du 21 avril 2020 stipule que les données de santé collectées ne doivent pas contenir d’informations identifiables telles que les noms ou adresses des personnes.

La pseudonymisation est réalisée par une opération cryptographique irréversible, ce qui signifie que les identifiants initiaux sont transformés en pseudonymes qui ne permettent pas d’identifier directement les individus concernés.

La convention entre la Plateforme des données de santé et la Caisse nationale de l’assurance maladie garantit que toutes les données transférées sont pseudonymisées, renforçant ainsi la protection des données personnelles tout en permettant leur utilisation pour des projets de recherche.

Comment le droit au respect de la vie privée est-il protégé ?

Le droit au respect de la vie privée est protégé par des garanties appropriées, qui peuvent inclure la pseudonymisation des données.

Le règlement général sur la protection des données ne requiert pas systématiquement l’anonymisation des données sensibles avant leur traitement, mais impose que des mesures soient mises en place pour protéger les droits des individus.

Dans le cas présent, l’anonymisation des données aurait pu nuire à la pertinence des recherches, ce qui a conduit à la décision de recourir à la pseudonymisation.

Ainsi, la Plateforme des données de santé a mis en place des mesures de pseudonymisation successives, jugées appropriées pour respecter les exigences du RGPD tout en permettant la poursuite des travaux de recherche nécessaires.