Le Conseil d’État a rendu, le 14 octobre 2020, une décision concernant les transferts de données personnelles vers les Etats-Unis par le Health Data Hub.
La plateforme des données de santé, hébergée par Microsoft et créée en novembre 2019 facilite le partage de données de santé et favorise la recherche.
Le Conseil d’Etat reconnaît un risque potentiel et exige la mise en place d’une protection renforcée des données personnelles. En outre, il invite à envisager des solutions alternatives plus protectrices des données à caractère personnel.
Cette décision a été rendue après que 18 requérants ont saisi la haute juridique afin de déterminer si la plateforme Health Data Hub devait être suspendu du fait du risque qu’elle représente. Le juge des référés n’a pas estimé que le risque potentiel d’un transfert potentiel des données de santé vers les Etats-Unis ne représentait pas une illégalité suffisamment grave et manifeste pour suspendre les activités de la plateforme.
Le Conseil d’Etat a rappelé que des dispositions avaient été prévues pour empêcher de tels transferts de données. En effet, Health Data Hub et Microsoft se sont entendues pour interdire tout transfert des données de santé en dehors de l’Union européenne.
Néanmoins, le juge administratif ne nie pas l’existence d’un risque. Toutefois ce risque est à relativiser car le Règlement Général sur la Protection des Données (RGPD) impose un certain nombre d’obligations en matière de données personnelles pour les entreprises dont le traitement des données s’effectue sur le territoire européen, ce qui est le cas du Health Data Hub.
De plus, le RGPD n’interdit pas que les données à caractères personnel soient traitées en dehors de l’Union européenne, en particulier si ces données sont anonymisées avant leur traitement ou leur hébergement.
Il semblerait que le Conseil d’Etat ne souhaite pas suspendre le fonctionnement de la plateforme en raison de son utilité dans la gestion de la crise sanitaire actuelle. Cet aspect correspond à un intérêt public qu’il est important de prendre en compte dans l’appréciation du risque de fuite des données personnelles vers les Etats-Unis.
En tout état de cause, le Conseil d’Etat rappelle la nécessité pour Microsoft de renforcer la protection des données à caractère personnel afin “d’éliminer tout risque d’accès aux données personnelles par les autorités américaines”. Un tel renforcement pourra se faire avec l’aide de la CNIL. Il lui appartiendra de veiller à ce que les recours au Health Data Hub soient techniquement nécessaires et de suggérer des garanties appropriées aux autorités publiques.
Cette solution est temporaire et le Conseil d’Etat ne perd pas de vue l’objectif final consistant en la suppression de tout risque d’accès aux données par les autorités américaines.
Article écrit en collaboration avec Noor ZAIM
