C’est avec ce genre d’affaires que vous allez comprendre que la CNIL ne sert strictement à rien en France puisque Olivier Véran va s’essuyer les pieds sur cet avis. Rappelons qu’il est totalement absurde et inacceptable de nous faire croire que la Sécurité sociale avec ses 200 milliards d’euros de budget annuel est incapable de créer et de mettre en place des serveurs pour stocker en toute sécurité les données de santé des Français.
La Cnil prend enfin position sur le sort du Health Data Hub après l’invalidation du Privacy Shield par le juge européen. Elle demande à l’Etat de repenser l’hébergement de cette base de données de santé estimant que Microsoft doit immédiatement être évincé. Une option déjà envisagée par le gouvernement qui appelle les entreprises françaises et européennes à se positionner.
La Commission nationale de l’informatique et des libertés (Cnil) demande à l’ensemble des acteurs français de la santé d’arrêter de confier leur hébergement de données à l’entreprise américaine Microsoft ou toute autre société soumise « au droit étasunien », révèle Médiapart dans un article publié le 9 octobre.
Ces injonctions ont été inscrites dans un mémoire transmis au Conseil d’Etat dans le cadre d’une procédure visant à faire annuler le décret du 21 avril 2020 qui a accéléré la mise en place du Health Data Hub, cette base compilant les données de santé des Français actuellement hébergées par Microsoft.
LA JUSTICE DOIT TRANCHER SUR LE FOND
Ce recours a été déposé devant le juge administratif par un collectif de 18 personnalités et organisations, dont le Conseil National du Logiciel Libre, le Syndicat National des Journalistes et l’association Française des Hémophile, le 17 septembre 2020. Quelques jours plus tard, le Conseil d’Etat a rejeté leur référé, procédure qui permet de demander de suspendre une décision prise par l’administration. Mais le fond de l’affaire n’est toujours pas tranché. C’est dans ce cadre que la Cnil a été appelée à formuler des recommandations.
Dans son mémoire, la Commission réitère ses inquiétudes sur les transferts de données outre-Atlantique alors que le juge européen a invalidé le Privacy Shield, accord qui facilitait le transfert de données entre l’UE et les Etats-Unis. Elle pointe également une faille concernant les clés de chiffrement qui sont stockées dans un dispositif appelé « Customer Lockbox ». Le contrat liant l’Etat à Microsoft prévoit une exception « dans le cadre de scénarios inattendus ou imprévisibles correspondant à des catastrophes ou en cas d’accès fortuit aux données par un ingénieur de Microsoft ».
Par ailleurs, l’autorité protectrice de la vie privée relève l’existence d’un avenant qui « limite fortement les transferts à l’initiative de Microsoft » mais qui les autorise « si la loi l’exige ». Or, en vertu l’invalidation du Privacy Shield, ces demandes « devraient être considérées comme des divulgations non autorisées par le droit de l’Union » notamment au Règlement général sur la protection des données (RGDP).
LES DONNÉES NE PEUVENT PLUS ÊTRE CONFIÉES PAR UNE ENTREPRISE AMÉRICAINE
La Cnil est donc très claire : les données des citoyens européens ne peuvent plus être confiées à une entreprise américaine, même si celle-ci dispose d’un siège et de serveurs dans l’Union européenne. « Cette situation doit conduire à modifier les conditions d’hébergement de la PDS (plateforme de données de santé, ndlr), ainsi que celles des autres entrepôts de données de santé qui sont hébergés par des sociétés soumises au droit étatsunien ». Et ce changement d’hébergement « devrait intervenir dans un délai aussi bref que possible ».
Mais la situation dépasse désormais largement le cadre du Health Data Hub. De nombreux acteurs de la santé utilisent des solutions Microsoft. Ils vont donc devoir modifier les conditions d’hébergement au risque de se voir refuser, par la Cnil, leurs « autorisations de traitement de ces données, notamment dans le cadre de recherches scientifiques »…
