Un collectif de 18 organisations mené par le Conseil national du logiciel libre (CNLL) a saisi le Conseil d’Etat le 16 septembre 2020 pour dénoncer le transfert de données personnelles vers le prestataire américain Microsoft.

« Ce recours fait suite à une première action initiée en mai dernier qui dénonçait un passage en force du projet dans le contexte de crise d’urgence sanitaire. A l’issue de ce premier recours en référé au Conseil d’Etat, la juridiction avait ordonné à la plateforme de données santé de fournir à la CNIL les éléments relatifs aux procédés de pseudonymisation – éléments par ailleurs toujours en cours d’instruction.

Le Conseil d’Etat avait estimé que le projet Health Data Hub n’avait pas lieu de porter atteinte au respect de la vie privée et à la protection des données. Après examen du contrat de sous-traitance passé entre Microsoft et la plateforme, le Conseil avait aussi reconnu que le prestataire prévoit bel et bien la soumission aux exigences de la réglementation française en matière d’hébergement de données de santé. »

Le Conseil d’Etat a pris cette décision avant l’invalidation du Privacy Shield par la CJUE le 16 juillet dernier.

L’invalidation du Privacy Shield a t-elle des conséquences sur les conclusions du Conseil d’Etat ?

Le collectif demande au Conseil d’Etat de « suspendre le traitement et la centralisation des données au sein du Health Data Hub »  au motif d’une protection inadéquate sur le sol américain.

« Ils font également valoir que « les engagements contractuels conclus entre la société Microsoft et le Health Data Hub sont insuffisants ». »

La question de souveraineté numérique est bien entendu soulevée. Le CNLL estime que « pour que les discours sur la souveraineté numérique ne restent pas des paroles en l’air, les projets stratégiques à plan économique et sensibles au plan des libertés personnelles ne doivent pas être confiés à des opérateurs soumis à des juridictions incompatibles avec ces principes, mais aux acteurs européens qui présentent des garanties sérieuses avec ces sujets, notamment par l’utilisateur de technologies ouvertes et transparentes ».

« Pour l’association Interhop, « l’annulation du Privacy Shield sonne la fin de la naïveté numérique européenne ». »

« La CNIL avait rendu un avis en urgence le 20 avril 2020, autorisant le déploiement accéléré du projet porté par le gouvernement. La Commission avait toutefois attiré l’attention du gouvernement sur le recours par la plateforme à des prestataires d’hébergement basés hors de l’Union européenne. La plateforme avait alors transmis à la CNIL un avenant conclu avec Microsoft qui apporte des garanties sur le stockage et le traitement des données. Ces garanties sont toujours en cours d’examen, précisait cette semaine la CNIL »

 

Article à lire =>  https://www-zdnet-fr.cdn.ampproject.org/c/s/www.zdnet.fr/amp/actualites/le-health-data-hub-de-nouveau-attaque-devant-le-conseil-d-etat-39909723.htm

 

Claudia Weber, avocat fondateur  | ITLAW Avocats 

Vous vous interroger sur les actions à mettre en place suite à l’invalidation du Privacy Shield ?

Le Cabinet ITLAW Avocats, fort de son expertise depuis plus de 25 ans en matière de nouvelles technologies et de protection des données  est à votre disposition pour vous accompagnerNous contacter

Nous contacter