Le Conseil d’Etat a validé l’hébergement des données de santé « Covid-19 » par Microsoft, rejetant les préoccupations sur la souveraineté numérique française. L’arrêté du 21 avril 2020, qui autorise la collecte et le traitement de ces données via la Plateforme Health Data Hub, respecte le droit à la vie privée. Bien que Microsoft soit soumis au droit américain, les transferts de données vers les États-Unis ne constituent pas une atteinte grave aux libertés fondamentales. Les données, pseudonymisées, sont protégées par des mesures de sécurité et ne peuvent être extraites sans autorisation, garantissant ainsi leur confidentialité.. Consulter la source documentaire.

Pourquoi le Conseil d’Etat a-t-il validé l’hébergement des données de santé par Microsoft ?

Le Conseil d’Etat a validé le choix du Gouvernement de confier l’hébergement des données de santé « Covid 19 » à Microsoft, en considérant que cette décision ne portait pas atteinte au droit au respect de la vie privée ni à la protection des données personnelles.

L’arrêté du 21 avril 2020, qui a permis cette décision, a été pris dans le cadre de la gestion de l’épidémie de covid-19. Le Conseil a jugé que les conditions d’hébergement, bien que Microsoft soit soumis au droit américain, ne constituaient pas une atteinte grave aux libertés fondamentales.

Cela signifie que, malgré les préoccupations concernant la souveraineté numérique, le cadre légal et les garanties mises en place ont été jugés suffisants pour protéger les données personnelles des citoyens.

Quelles sont les garanties concernant le transfert de données vers les États-Unis ?

Le transfert de données vers les États-Unis est encadré par plusieurs garanties. Tout d’abord, Microsoft a été certifiée comme « hébergeur de données de santé » en conformité avec le code de la santé publique, ce qui implique qu’elle doit respecter les exigences de la réglementation française.

Les données de santé sont actuellement hébergées dans des centres de données situés aux Pays-Bas et seront bientôt hébergées en France. Bien que certaines opérations d’administration puissent nécessiter des transferts de données hors de l’Union européenne, ces transferts ne concernent que des données non sensibles, comme celles nécessaires à la maintenance.

De plus, le Conseil d’Etat a écarté les risques liés à l’accès des autorités américaines aux données, en se basant sur la décision de la Commission européenne qui considère que les États-Unis assurent un niveau adéquat de protection des données personnelles.

Quel est le rôle de la Plateforme des données de santé ?

La Plateforme des données de santé a été créée pour faciliter l’utilisation des données de santé dans le cadre de la gestion de l’urgence sanitaire liée à la covid-19. Elle est autorisée à collecter diverses catégories de données personnelles, notamment celles issues du système national des données de santé, des données de pharmacie, et des résultats d’examens biologiques.

Cette plateforme est responsable du stockage et de la mise à disposition des données, tout en garantissant que seules les données nécessaires à des finalités d’intérêt public peuvent être traitées. La Caisse nationale de l’assurance maladie joue également un rôle clé en s’occupant de la pseudonymisation des données.

Les données collectées ne peuvent pas être extraites de la plateforme, et des mesures strictes sont mises en place pour protéger l’identité des personnes concernées.

Comment la sécurité des données est-elle assurée ?

La sécurité technique des données mises à disposition de la plateforme est assurée par la mise en œuvre de mesures spécifiques, conformément au plan d’action défini lors de l’homologation de la plateforme technologique.

La Commission nationale de l’informatique et des libertés (CNIL) a souligné l’importance de réévaluer régulièrement ces mesures pour s’adapter aux évolutions de la plateforme et aux risques associés. Cela inclut des protocoles de sécurité pour protéger les données contre les accès non autorisés.

En outre, la pseudonymisation des données est une mesure clé pour garantir la sécurité, car elle permet de traiter les données sans révéler l’identité des personnes concernées.

Quelles sont les implications de la pseudonymisation des données ?

La pseudonymisation est une technique qui permet de traiter des données tout en protégeant l’identité des personnes concernées. Selon le RGPD, cette méthode doit être accompagnée de garanties appropriées pour respecter les droits et libertés des individus.

L’arrêté du 21 avril 2020 stipule que les données de santé collectées ne doivent pas contenir d’informations identifiantes telles que les noms ou adresses. Les identifiants individuels doivent être transformés en pseudonymes, ce qui rend impossible l’identification directe des personnes.

Cette approche permet de poursuivre des travaux de recherche tout en respectant les exigences de protection des données. En prévoyant plusieurs niveaux de pseudonymisation, la Plateforme des données de santé et la Caisse nationale de l’assurance maladie s’assurent que les données restent sécurisées tout en étant exploitables pour des projets d’intérêt public.

Comment le droit au respect de la vie privée est-il protégé dans ce contexte ?

Le droit au respect de la vie privée est protégé par des garanties appropriées, comme le prévoit le RGPD. Cela signifie que les données de santé, bien que sensibles, ne nécessitent pas systématiquement une anonymisation avant d’être traitées à des fins de recherche.

Les dispositions du RGPD permettent la pseudonymisation, qui est une alternative à l’anonymisation lorsque cette dernière compromettrait la qualité des données pour la recherche.

Dans ce cas, le choix de la pseudonymisation par la Plateforme des données de santé a été jugé approprié, car il permet de maintenir la pertinence des données tout en respectant les exigences de protection des données. Cela montre un équilibre entre la nécessité de recherche et la protection des droits individuels.