En matière de risque de transferts de données personnelles vers un pays n’assurant plus une protection adéquate (États-Unis), le Conseil d’État n’a pas appliqué de principe de précaution. En l’état de l’instruction, il n’apparaît pas que des données à caractère personnel du système de santé français puissent à ce jour faire l’objet de transferts en dehors de l’Union européenne en application du contrat conclu entre la Plateforme des données de santé Health Data Hub et Microsoft.

En revanche, sensible aux observations de la CNIL, le Conseil d’Etat a fait injonction à la Plateforme des données de santé de conclure, dans un délai de quinze jours, un nouvel avenant aux documents contractuels l’unissant à la société Microsoft Ireland Operations Limited pour préciser que la loi applicable dont il est fait mention dans l’avenant du 3 septembre 2020 est celle du droit de l’Union ou du droit de l’Etat membre auquel la société est soumise et que les modifications que cet avenant apporte à l’addendum sur la protection des données pour les services en ligne Microsoft s’appliquent à l’ensemble des services fournis par Microsoft susceptibles d’être utilisés pour le traitement de données à caractère personnel du système de santé.