Le Health Data Hub de nouveau attaqué devant le Conseil d’Etat

Spread the love
  • Yum

Le Health Data Hub de nouveau attaqué devant le Conseil d'Etat

Le Conseil d’Etat n’en a pas fini avec Health Data Hub. Ce mercredi 16 septembre 2020, un collectif de 18 organisations mené par le Conseil national du logiciel libre (CNLL) a de nouveau saisi la plus haute juridiction administrative pour dénoncer le transfert de données personnelles vers le prestataire américain Microsoft.

Ce recours fait suite à une premier action initiée en mai dernier qui dénonçait un passage en force du projet dans le contexte de crise d’urgence sanitaire. A l’issue de ce premier recours en référé au Conseil d’Etat, la juridiction avait ordonné à la plateforme de données santé de fournir à la Cnil les éléments relatifs aux procédés de pseudonymisation – éléments par ailleurs toujours en cours d’instruction.

Le Conseil d’Etat avait estimé que le projet Health Data Hub n’avait pas lieu de porter atteinte au respect de la vie privée et la protection des données. Après examen du contrat de sous-traitance passé entre Microsoft et la plateforme, le Conseil avait aussi reconnu que le prestataire prévoit bel et bien la soumission aux exigences de la réglementation française en matière d’hébergement de données de santé.

Mais cette décision avait été prise avant l’invalidation du Privacy Shield par la CJUE, ce qui peut potentiellement changer la donne en matière de transfert de données privées vers les Etats-Unis. « Certaines données sont transférées aux Etats-Unis alors que la Cour de Justice de l’Union européenne a invalidé, le 16 juillet 2020, le “bouclier de protection des données entre l’Europe et les Etats-Unis” au motif d’une protection inadéquate sur le sol américain », justifie le collectif.

publicité

Demande de suspension du traitement des données sur la plateforme

Les requérants demandent au Conseil d’Etat de « suspendre le traitement et la centralisation des données au sein du Health Data Hub et, ce faisant, de s’aligner sur la toute récente jurisprudence européenne. » Ils font également valoir que « les engagements contractuels conclus entre la société Microsoft et le Health Data Hub sont insuffisants. »

La question de souveraineté numérique est bien entendu soulevée. La CNLL estime que « pour que les discours sur la souveraineté numérique ne restent pas des paroles en l’air, les projets stratégiques a plan économique et sensibles au plan des libertés personnelles ne doivent pas être confiés à des opérateurs soumis à des juridictions incompatibles avec ces principes, mais aux acteurs européens qui présentent des garanties sérieuses avec ces sujets, notamment par l’utilisateur de technologies ouvertes et transparentes. »

Pour l’association Interhop, « l’annulation du Privacy Shield sonne la fin de la naïveté numérique européenne. » Mais ils soulignent que « des rapports de force se mettent en place entre les Etats-Unis et l’Union européenne concernant le transfert des données personnelles en dehors de notre espace juridique. »

La Cnil avait rendu un avis en urgence le 20 avril 2020 autorisant le déploiement accéléré du projet porté par le gouvernement. La Commission avait toutefois attiré l’attention du gouvernement sur le recours par la plateforme à des prestataires d’hébergement basés hors de l’Union européenne. La plateforme avait alors transmis à la Cnil un avenant conclu avec Microsoft qui apporte des garanties sur le stockage et le traitement des données. Ces garanties sont toujours en cours d’examen, précisait cette semaine la Cnil au détour de son avis trimestriel sur les conditions de mise en oeuvre de StopCovid.

Leave a Reply

Your email address will not be published. Required fields are marked *