Health Data Hub : le Conseil d’Etat demande à Microsoft des garanties supplémentaires

Publié le : 15 octobre 2020

Le Health Data Hub restera finalement chez l’américain Microsoft, statue le Conseil d’Etat. Dans une ordonnance très attendue, datée du 13 octobre 2020, le juge des référés du Conseil d’Etat a évalué une demande de suppression en urgence de la plateforme de données de santé Health Data Hub. Celui-ci « reconnaît le risque que les services de renseignement américains demandent l’accès aux données personnelles de la plateforme » mais demande de « continuer, sous le contrôle de la CNIL, à travailler avec Microsoft pour renforcer la protection des droits des personnes concernées sur leurs données personnelles ». Ces précautions devront être prises « dans l’attente d’une solution qui permettra d’éliminer tout risque d’accès aux données personnelles par les autorités américaines ».

Or la Cnil a estimé que « le choix d’un hébergeur soumis au droit américain semblait incompatible avec les exigences de la Cour de justice de l’Union Européenne en matière de protection de la vie privée » (cf. Protection des données : la justice européenne invalide le transfert de données vers les États-Unis). Cela signifie que le Conseil d’Etat demande à Microsoft « de s’engager de manière contractuelle à offrir une solution d’hébergement qui ne soit pas soumise au Cloud Act américain ». Une demande qui risque de relever du « casse-tête diplomatique ».

Pourquoi laisser le Health Data Hub chez Microsoft ? Le juge des référés estime que « le traitement de données par Microsoft sur le territoire de l’Union européenne n’est pas en lui-même une illégalité grave et manifeste et ne justifie donc pas une suspension de la plateforme ». Même s’il reconnait que le risque d’accès aux données par les autorités américaines est avéré. « Le Conseil d’Etat estime qu’il n’y a pas de violation directe du RGPD mais seulement le risque de violation « dans l’hypothèse où Microsoft ne serait pas en mesure de s’opposer à une demande d’accéder à certaines données formulée par une agence américaine » » explique Sabine Marcellin, avocate spécialisée dans le droit du numérique et protection des données. « La plateforme doit négocier dans les quinze jours un avenant au contrat passé avec Microsoft, ajoute-t-elle, pour préciser que le droit de l’Union européenne s’applique ».

L’appel d’offre annoncé par Cédric O, le secrétaire d’Etat au Numérique, pour trouver un hébergeur français ou européen va être maintenu (cf. Health Data Hub : bientôt un appel d’offre pour un hébergement français ?), « pour des raisons de souveraineté et de sécurité ». Peut-être Gaia X, franco-allemand, ou le français Outscale, filiale de Dassault Systèmes. Ou une solution hybride, avec un stockage de données européen, comme OVH, Orange ou Capgemini, travaillant avec un prestataire de service américain tel que Microsoft ou Google, non détenteur des précieuses données.

 

Sources : Le Figaro, Elsa Bembaron (14/10/2020) – Le Monde du Droit, Arnaud Dumourier (14/10/2020) – Numerama, Julie Lausson (14/10/2020)

Partager cet article

Synthèse de presse

Chronique audio

Textes officiels

ressources

Fiches pratiques

Bibliographies

S'abonner aux lettres