Cette initiative est particulièrement remarquée à la suite du choix, contesté, du gouvernement français d’héberger les données de santé du « Health Data Hub », issues de la Plateforme des données de santé (PDS), sur les serveurs de Microsoft, au détriment de la société française OVH.

Consultée, sur ce projet innovant, la CNIL a pris acte de ce que des données pourront être transférées hors de l’Union Européenne dans le cadre de clauses contractuelles types, telles que prévues par le RGPD. Elle a, pour autant rappelé la nécessité, eu égard à la sensibilité des données concernées, d’assurer le plus haut niveau de protection technique, et juridique, et a formulé le souhait de leur hébergement par des entités relevant des juridictions de l’Union Européenne.

Au-delà de cette controverse, l’hébergement des données à l’étranger interroge sur les conséquences du caractère international du numérique et les risques des transferts de données vers des pays ne garantissant pas toujours un niveau de protection approprié.

En effet, un tel flux de données hors Union européenne et, plus spécifiquement vers les Etats-Unis, suscite de vives inquiétudes quant à leur confidentialité, notamment en raison de leur possible accès par les autorités nord-américaines à des fins de sécurité nationale (loi FISA et décret « Executive Order »), ou dans le cadre d’une enquête pénale, telle que prévu par le « Cloud Act ».

Le Conseil d’Etat saisi, dans le cadre d’un référé liberté, par une quinzaine d’organisations et de personnalités sur la suspension de l’exécution de l’arrêté du 21 avril 2020 complétant celui du 23 mars 2020 sur les mesures d’organisation et de fonctionnement du système de santé face à la crise sanitaire, s’est prononcé par une ordonnance du 19 juin 2020 [1].  Le lieu d’hébergement des données du « Health Data Hub », était notamment au cœur des débats.

La Haute juridiction administrative, soulignant le fait que les données de santé sont actuellement hébergées aux Pays-Bas et le seront prochainement dans des centres situés en France, dans le respect des certifications requises au regard de la sensibilité des données, prend acte du transfert hors de l’Union Européenne des seules données nécessaires aux opérations de maintenance. Ce transfert, en ce qu’il s’inscrit dans le cadre d’une décision d’adéquation de la Commission [2] et de l’adhésion de Microsoft au « bouclier de protection », dans le respect du contrat de sous-traitance requis, ne peut être regardé comme portant une atteinte grave et manifestement illégale aux libertés fondamentales que le RGPD a pour objet de protéger.

Vous travaillez sur un projet de traitement de données personnelles et souhaitez le mettre en conformité  ?

 

Le Cabinet ITLAW Avocats, fort de son expertise depuis plus de 25 ans en matière de nouvelles technologies et de protection des données est à votre disposition pour vous accompagner.

Pour nous contacter : cliquez ici

Odile Jami-Caston, directrice Data et GDPR compliance, et Pauline Vital, avocate en charge de l’activité e-santé, cabinet | ITLAW Avocats | contact@itlaw.fr

[1] https://www.conseil-etat.fr/fr/arianeweb/CE/decision/2020-06-19/440916

[2] Décision d’exécution (UE) 2016/1250 du 12 juillet 2016 conformément à la directive 95/46/CE du Parlement européen et du Conseil relative à l’adéquation de la protection assurée par le bouclier de protection des données États-Unis.

Nous contacter