Le Conseil d’Etat a été conduit à statuer sur l’hébergement de la nouvelle plateforme nationale des données de santé, le Health Data Hub, par Microsoft. Cette affaire a pris des proportions importantes et à de nombreuses ramifications car elle prend place dans le contexte de l’arrêt de la CJUE du 16 juillet 2020, dit « Schrems II » et des incertitudes sur la licéité des transferts de données personnelles, en particulier vers les Etats-Unis. Le Conseil d’Etat a refusé de suivre la CNIL, consultée pour avis, qui sollicitait la suspension de l’hébergement de ces données publiques de santé par Microsoft.La CNIL a par ailleurs, par la suite, été consultée sur le projet de décret encadrant le Health Data Hub, dont les nombreuses critiques émises ont fuité dans la presse le 3 novembre 2020.Dans l’attente de la publication des nouvelles lignes directrices du Comité européen de protection des données (CEPD) et clauses contractuelles types de la Commission européenne, l’analyse de cette affaire permet de comprendre la position de la CNIL sur les transferts de données vers les Etats-Unis et les conditions pour pouvoir opérer de tels transferts.
Par Patrice Navarro, associé,et François Zannotti, avocat, Hogan Lovells Paris
Qu’est-ce que le Health Data Hub ?
Le Health Data Hub est une « nouvelle » plateforme, complétant et remplaçant le Système national de données de santé (SNDS) visant à améliorer l’agglomération des bases de données de santé publique disponibles afin de faciliter leur utilisation, pour des projets de recherche, par des entités privées et publiques, pour créer de nouvelles opportunités comme en ce qui concerne l’intelligence artificielle. Cette plateforme permet à des utilisateurs autorisés d’accéder à ces données et de les exploiter sur la base d’accès permanents ou temporaires confiés par exemple à des organismes publics ou des centres de recherche. Au terme d’un appel d’offres, la solution Microsoft Azure a été sélectionnée pour héberger le Health Data Hub fin 2019.
Contexte
Le Conseil d’Etat avait été saisi de ce sujet, une première fois, à la suite d’une plainte du CNLL et d’autres acteurs issus du monde du logiciel libre. Dans sa décision du 19 juin 2020, il avait validé le recours à Microsoft pour l’hébergement de la plateforme, notamment au regard de l’adhésion de Microsoft au Privacy Shield.
A la suite de l’arrêt Schrems II, les transferts de données personnelles entre l’UE et les Etats-Unis ne peuvent plus être effectués en vertu du Privacy Shield, et les clauses contractuelles types ne peuvent être utilisées que s’il existe des garanties appropriées pour les droits des personnes concernées.
Une nouvelle plainte faisant suite à cette invalidation du Privacy Shield a conduit à une nouvelle action en référé devant...
