Si le risque ne peut être totalement exclu que les services de renseignement américains demandent l’accès aux données de santé hébergées sur Health Data Hub, il ne justifie pas à ce jour la suspension de la plateforme mais impose d'amender le contrat conclu avec Microsoft.La plateforme de données de santé Health Data Hub, créée en novembre 2019 pour faciliter le partage des données de santé afin de favoriser la recherche, a signé en avril 2020 un contrat avec une filiale irlandaise de Microsoft pour l’hébergement des données et l’utilisation de logiciels nécessaires à leur traitement.
Le juge du référé-liberté du Conseil d’Etat a été saisi d'une requête visant à suspendre le traitement sur cette plateforme des données liées à l’épidémie de Covid-19 en raison des risques que cette situation comporte au regard du droit au respect de la vie privée, compte tenu de possibles transferts de données vers les Etats-Unis.
Cette demande s’inscrit dans la suite de l’arrêt rendu le 16 juillet 2020 par la Cour de justice de l'Union européenne (affaire C-311/18) qui avait jugé que la protection des données transférées vers les Etats-Unis par le "bouclier de protection des données" (Privacy Shield) était insuffisante au regard du droit de l'Union européenne.
Dans son ordonnance rendue le 13 octobre 2020 (requête n° 444937), le juge des référés du Conseil d’Etat relève que, dans leur contrat, Health Data Hub et Microsoft se sont engagés à refuser tout transfert de données de santé en dehors de l'UE. Un arrêté du 9 octobre 2020 interdit, en outre, tout transfert de données à caractère personnel dans le cadre de ce contrat.
Le juge des référés considère qu’il ne peut être totalement exclu que les autorités américaines, dans le cadre de programmes de surveillance et de renseignement, demandent à Microsoft et à sa filiale irlandaise l’accès à certaines données.
Cependant, le droit européen d'interdit pas à ce jour de confier le traitement de données, sur le territoire de l’UE, à une société américaine.
En outre, une violation du règlement général sur la protection des données (Règlement n° 2016/679 - RGPD) demeure dans un tel cas hypothétique, car elle supposerait que Microsoft ne soit pas en mesure de s’opposer à une éventuelle demande des autorités américaines.
En conséquence, le juge des référés du Conseil d’Etat ne relève pas d’illégalité grave et manifeste qui justifierait la suspension immédiate du traitement des données par cette plateforme.
Toutefois, face à l’existence d’un risque, le juge des référés demande au Health Data Hub de conclure, dans un délai de quinze jours, un nouvel avenant aux documents contractuels l’unissant à la société Microsoft pour préciser que la loi applicable est celle du droit de l’Union ou du droit de l’Etat membre auquel la société est soumise.
SUR LE MEME SUJET :
CJUE : invalidation du Privacy shield - Legalnews, 17 juillet 2020