Health Data Hub : pas de suspension, mais des précautions à prendre

Health Data Hub : pas de suspension, mais des précautions à prendre

Le Conseil d’État ne prononce pas la suspension de la plateforme Health Data Hub, hébergée par Microsoft aux Pays-Bas. Il demande cependant de renforcer les mesures de protection des données dans l’attente d’une solution éliminant tout risque.

La plateforme des données de santé des Français peut continuer de fonctionner. Saisi dans le cadre d’un référé-liberté, le Conseil d’Etat rejette la demande de suspension du traitement de données par le Health Data Hub.

Pour rappel, la plateforme s’appuie sur les technologies Cloud de Microsoft et un hébergement aux Pays-Bas. Pour le magistrat, le « traitement de données par Microsoft sur le territoire de l’Union européenne n’est pas en lui-même une illégalité grave et manifeste. »

Interdiction des transferts hors de l’UE

Pour les plaignants, le recours à Microsoft devait être remis en cause en raison de l’invalidation du Privacy Shield et de l’avis de la CUJE. En cause donc, les risques de transferts de données personnelles vers les Etats-Unis.

L’urgence ne s’impose pas cependant pour le Conseil d’Etat. D’abord, le contrat entre Microsoft et le Health Data Hub s’oppose à tout transfert hors de l’UE. Un arrêté du ministère de la Santé du 9 octobre renforce encore cette interdiction.

La plus haute juridiction administrative reconnaît cependant qu’un accès aux données par les autorités américaines « ne peut être totalement exclu ». Pour autant, l’arrêt de la CUJE n’interdit pas de confier des traitement à un acteur américain en Europe.

De plus, estime le juge des référés, la violation du RGPD qui résulterait d’un transfert vers les US « demeure dans un tel cas hypothétique ». Il souligne en outre que les données de santé font l’objet d’un processus de « pseudonymisation » avant leur hébergement et leur traitement.

Pas d’urgence, mais des précautions à court terme

Enfin, le magistrat retient l’intérêt public « important » de la poursuite de l’utilisation des données par le Health Data Hub dans la lutte contre le covid-19. Il rejette par conséquent la demande de suspension immédiate.

Le Conseil d’Etat n’ignore pas néanmoins les arguments de la Cnil et des plaignants. Sous le contrôle de l’autorité, il demande à la plateforme de renforcer la protection des droits des personnes concernées sur leurs données personnelle.

Ces mesures, de nature provisoire, devront être prises dans l’attente d’une solution éliminant tout risque d’accès par les Etats-Unis. Le secrétaire d’Etat au numérique annonçait ainsi vouloir transférer la plateforme auprès d’un acteur français ou européen. Cela pourrait être permis notamment par un accord de licence, comme le suggère la Cnil.

Le régulateur rappelle, lui, que l’hébergement « par une société de droit états-unien », même si les données sont pseudonymisées, est « en soi problématique ». Il préconise de changer d’opérateur ou d’apporter des garanties spécifiques. La Cnil recommande « l’aménagement d’une période de transition pour atteindre cet objectif. »

A lire également sur MyData

Privacy Shield : le Health Data Hub pourrait échapper à Microsoft

Privacy Shield : le Health Data Hub pourrait échapper à Microsoft

Le ministère de la Santé échappe aux sanctions. La Cnil lève sa mise en demeure visant l’application de contact tracing StopCovid. L’Etat a corrigé les irrégularités responsables de manquements au RGPD.

A propos de Christophe Auffray 349 Articles
De formation initiale en marketing Web et en économie, je me suis spécialisé par la suite dans la presse B2B consacrée à l'économie numérique et dispose dans ce secteur de 15 ans d'expérience. Spécialiste de la transformation numérique, de l'innovation et des nouveaux business models des entreprises, j'ai développé des compétences dans les domaines du marketing éditorial, de la stratégie éditoriale, de la production de contenus premium et la gestion de sites d'information et d'équipe dans l'univers des médias en ligne et du marketing des solutions innovantes.