Le Conseil d’État a décidé de ne pas appliquer le principe de précaution concernant les transferts de données personnelles vers les États-Unis, malgré les préoccupations soulevées par la CNIL. Actuellement, il n’existe pas de preuve que des données de santé françaises soient transférées hors de l’Union européenne dans le cadre du contrat entre le Health Data Hub et Microsoft. Toutefois, le Conseil a ordonné à la Plateforme de clarifier les conditions de traitement des données, en insistant sur l’application du droit de l’Union européenne et en garantissant que les modifications contractuelles s’appliquent à tous les services de Microsoft utilisés pour le traitement des données de santé.. Consulter la source documentaire.

Quel est le contexte de l’affaire concernant la Plateforme des données de santé ?

La Plateforme des données de santé a été créée pour gérer le stockage et la mise à disposition des données de santé en France. Elle a signé un contrat avec Microsoft Ireland Operations Limited le 15 avril 2020, lui permettant d’accéder à des services cloud, notamment Microsoft Azure, pour héberger et traiter ces données.

Ce contrat a suscité des inquiétudes parmi plusieurs associations, qui ont souligné les risques potentiels pour la vie privée, notamment en raison de la possibilité de transferts de données vers les États-Unis. Ces préoccupations sont liées à la législation américaine qui pourrait permettre aux autorités d’accéder à ces données, même sans consentement explicite de la Plateforme.

En réponse à ces préoccupations, le Conseil d’État a exigé que la Plateforme clarifie les conditions de traitement des données, notamment en ce qui concerne la loi applicable et les modifications apportées à la protection des données.

Quelles sont les implications du transfert de données personnelles vers les États-Unis ?

L’arrêt de la Cour de justice de l’Union européenne (CJUE) du 16 juillet 2020 a établi que les transferts de données personnelles vers les États-Unis ne peuvent plus être effectués sur la base de l’article 45 du règlement général sur la protection des données (RGPD). Cela signifie qu’aucun transfert n’est autorisé sans garanties appropriées.

Si un transfert est envisagé sur la base de l’article 46, il doit inclure des protections adéquates pour les droits des personnes concernées. Cependant, l’arrêt souligne que les personnes n’ont pas de recours effectif contre les autorités américaines, ce qui pose un problème majeur pour la conformité au RGPD.

Ainsi, tout transfert de données vers les États-Unis pourrait violer les articles 44 et suivants du RGPD, sauf si des dérogations spécifiques s’appliquent, comme celles prévues à l’article 49, qui ne sont pas courantes.

Quel est le statut des entreprises américaines en France concernant le traitement des données ?

Le Conseil d’État a noté que la CJUE ne s’est pas prononcée sur la manière dont les données peuvent être traitées par des entreprises américaines sur le territoire de l’Union européenne. Cela signifie que, bien que les transferts soient interdits, les entreprises américaines peuvent toujours traiter des données en Europe, tant qu’elles respectent le RGPD.

Les associations n’ont pas prouvé de violation directe du RGPD, mais ont exprimé des préoccupations concernant le risque potentiel de violations si Microsoft devait répondre à des demandes des autorités américaines. Cela est particulièrement pertinent dans le contexte de la surveillance et des programmes de renseignement.

Il existe également un intérêt public à utiliser les données de santé pour gérer l’urgence sanitaire liée à la COVID-19, ce qui complique davantage la situation. Les autorités doivent donc équilibrer la protection des données personnelles avec les besoins de santé publique.

Quel est le cadre juridique de la plateforme Health Data Hub ?

La Plateforme des données de santé, également connue sous le nom de Health Data Hub, est régie par des dispositions légales strictes. Les données sont hébergées dans des centres de données aux Pays-Bas et, prochainement, en France. Un avenant signé le 3 septembre 2020 stipule que Microsoft ne peut pas traiter les données en dehors de la zone géographique spécifiée sans autorisation.

La Plateforme s’est engagée à ne pas autoriser de transferts de données en dehors de l’Union européenne, sauf pour des données de télémétrie et de facturation, qui ne concernent pas les données de santé. Un arrêté du 9 octobre 2020 renforce cette interdiction, stipulant qu’aucun transfert de données personnelles ne peut être réalisé en dehors de l’UE.

Ces mesures visent à garantir que les données de santé restent protégées et ne soient pas transférées vers des pays où la protection des données n’est pas adéquate.

Comment la plateforme Health Data Hub traite-t-elle les données de santé liées à la COVID-19 ?

La collecte et le traitement des données de santé en lien avec la COVID-19 sont encadrés par des dispositions spécifiques du code de la santé publique. La Plateforme des données de santé est chargée de réunir et de mettre à disposition ces données, en collaboration avec divers acteurs du système de santé.

L’article L. 1462-1 du code de la santé publique établit que la Plateforme doit organiser les données du système national de santé et promouvoir l’innovation. En cas de menace sanitaire, le ministre de la santé peut prescrire des mesures d’urgence pour protéger la santé publique.

Les données collectées incluent des informations sur les diagnostics, les résultats d’examens, et d’autres données pertinentes pour la gestion de l’épidémie. Ces données doivent être traitées de manière à respecter la vie privée des individus, et seules les données nécessaires à l’intérêt public peuvent être collectées.

Quel risque a été dénoncé par la CNIL concernant le Health Data Hub ?

La CNIL a exprimé des préoccupations quant au risque de transfert de données vers les États-Unis, soulignant que ce risque ne peut être totalement écarté. Malgré les mesures de sécurité mises en place par Microsoft, il existe toujours une possibilité que l’entreprise soit contrainte de répondre à des demandes des autorités américaines.

Ces préoccupations sont renforcées par le fait que les mesures techniques, telles que le chiffrement, ne garantissent pas une protection absolue contre l’accès non autorisé. La CNIL a donc insisté sur la nécessité de garantir que les données restent sous le contrôle de la Plateforme des données de santé et ne soient pas transférées sans autorisation.

En résumé, la CNIL a mis en avant l’importance de respecter les articles 28 et 48 du RGPD, qui interdisent les transferts non autorisés de données personnelles vers des pays tiers, soulignant ainsi la nécessité d’une vigilance continue dans la gestion des données de santé.