9 octobre 2020

Tout s'explique

L’hébergement des données de santé par Microsoft

Qu’a annoncé Cédric O sur la plateforme de données de santé Health Data Hub ?

Le secrétaire d’État au Numérique, Cédric O, a affirmé hier au Sénat travailler au « transfert du Health Data Hub », une plateforme centralisant des données de santé des Français, « sur des plateformes françaises ou européennes ». Le Health Data Hub est actuellement hébergé par l’entreprise américaine Microsoft, sur des serveurs aux Pays-Bas. La Cnil, l’autorité de contrôle en matière de protection des données personnelles, a transmis hier au Conseil d’État, la plus haute juridiction administrative, un mémoire dans lequel elle appelle à cesser de confier l’hébergement de ces données à Microsoft, comme le montre un document publié par Mediapart. Selon la Cnil, des dispositions de la législation américaine permettent aux services de renseignement de contraindre des hébergeurs américains à « leur transférer des données stockées et traitées » dans l’UE. Le Conseil d’État examine en ce moment une requête déposée par plusieurs organisations qui demandent la suspension du Health Data Hub.

Pourquoi le gouvernement avait-il choisi Microsoft ?

Créé fin 2019, le Health Data Hub a été mis en œuvre par un décret d’avril pendant l’état d’urgence sanitaire. Cette plateforme rassemble des données de santé associées à un remboursement de l’Assurance maladie, collectées lors d’une prise en charge à l’hôpital ou d’une visite chez le médecin. Son objectif est de rendre accessibles ces données anonymisées pour des projets de recherche scientifique. Le gouvernement a choisi de confier son hébergement à Microsoft alors qu’une société française, OVHcloud, était candidate. Cédric O a fait valoir en mai devant le Sénat que cette solution française ne permettait pas de mener les projets scientifiques souhaités et a déploré des « retards européens dans le cloud », le stockage en ligne des données. Cédric O a ensuite estimé fin juin qu’il « serait normal » de « lancer un appel d’offres » dans les mois à venir pour avoir « un choix plus large » de candidats à l’hébergement de la plateforme.

Quels reproches l’UE fait-elle à la gestion des données personnelles par les entreprises américaines ?

La Cour de justice de l’Union européenne (CJUE), chargée de garantir le respect de la législation européenne, a invalidé en juillet l’accord « Privacy Shield », adopté par la Commission européenne en 2016 et qui encadre le transfert de données personnelles entre l’UE et les États-Unis. La CJUE a estimé que les lois américaines ne garantissaient pas une protection des données personnelles équivalente à celle en vigueur dans l’UE. Cette décision de la CJUE interdit le transfert de données personnelles des citoyens européens vers des serveurs situés aux États-Unis. En octobre 2015, la CJUE avait invalidé le « Safe Harbor », un cadre juridique précédent qui couvrait le transfert de données entre l’UE et les États-Unis, en estimant que celui-ci ne protégeait pas suffisamment les données personnelles des citoyens européens.

POUR ALLER PLUS LOIN

Notre article de mars sur la protection des données de santé.