Alors que l’hébergement du Health data hub (HDH) par Microsoft fait polémique, la Commission nationale de l’informatique et des libertés (Cnil) se déclare en faveur d’une solution européenne. Elle « souhaiterait, eu égard à la sensibilité des données en cause, que son hébergement et les services liés à sa gestion puissent être réservés à des entités relevant exclusivement des juridictions de l’Union européenne (UE) ». Dans un communiqué publié jeudi 11 juin, la Cnil en profite pour réitérer ses recommandations au sujet de cette la plate-forme regroupant toutes les données de santé des Français, créée en novembre 2019 et dont le déploiement a été accéléré avec l’état d’urgence sanitaire déclaré en mars dernier. La Cnil, elle-même avait été prise de court.
La nécessité d’un nouveau texte de loi
L’autorité prévient que la constitution de cet « entrepôt de données de santé » ne pourra « être encadré par l’arrêté » entré en vigueur, le 23 avril 2020, durant la crise sanitaire. La fin de l’état d’urgence sanitaire étant fixée au 10 juillet, au-delà de cette date, le HDH ne « disposerait plus de base légale ». En passant, elle rappelle que la centralisation des données de santé au sein du « catalogue » du HDH devra « être soumise à [son] autorisation préalable ».
Concernant la sécurité des données, la Cnil recommande également « une vigilance particulière afin de garantir l’anonymat effectif des exports », faisant directement référence à son avis du 20 avril 2020. Elle exige aussi une attention particulière par rapport « aux conditions de conservation et aux modalités d’accès aux données » en raison de leur sensibilité et leur volume.
Le bouclier européen
Pour les transferts de données hors UE, elle rappelle ses « inquiétudes soulevées à plusieurs reprises par le Comité européen de la protection des données (CEPD) concernant l’accès par les autorités nord-américaines aux données transférées aux États-Unis », faisant allusion au choix de Microsoft comme hébergeur de la plate-forme. S’appuyant sur l’avis de la « Cnil des Cnil » et le RGPD, l’institution insiste :
« Les dispositions du RGPD interdisent toute demande d’accès d’une juridiction ou d’une autorité administrative d’un pays tiers, adressée à des entreprises dont les traitements sont soumis au RGPD. »
En clair, dans l’idéal, la Cnil veut un hébergeur européen pour stocker les données de santé des Français. Mais dans le cas où la France choisit une entreprise américaine (l’option qui a pour l’instant été choisie) le RGPD rendrait illégal tout transfert extra-européen.
La position pro-européenne et très prudente de la Cnil intervient dans un contexte de défiance à l’égard du dispositif dont la mise en place a surpris par sa célérité. Selon Mediapart, un recours au Conseil d’État vient d’être déposé, mardi 9 juin, par « une quinzaine de personnalités et d’organisations ». Il est actuellement en examen.
Source : Cnil