Un arrêté interdit au Health Data Hub tout transfert de données personnelles en dehors de l’UE

Un arrêté paru au Journal officiel le 10 octobre 2020 stipule à l’intention du Health Data Hub et de la Caisse nationale d’assurance maladie (Cnam) qu'”aucun transfert de données à caractère personnel ne peut être réalisé en dehors de l’Union européenne”. Il s’applique dans le cadre de l’autorisation exceptionnelle accordée à ces deux institutions, dans le cadre de l’état d’urgence et jusqu’au 30 octobre, de collecter dix catégories de données personnelles en vue “de suivre et d’anticiper les évolutions de l’épidémie (de COVID-19, ndlr), de prévenir, de diagnostiquer et de traiter au mieux la pathologie et d’adapter l’organisation de notre système de santé”. L’arrêté précise qu’il fait suite à l’arrêt de la Cour de justice de l’Union européenne (CJUE) qui a invalidé cet été le Privacy shield, ce régime qui permettait le transfert de données entre l’Union européenne (UE) et les États-Unis.

L’arrêté s’ajoute à une nouvelle requête auprès du Conseil d’État

La CJUE a estimé que les exigences du droit américain n’étaient pas équivalentes à celles requises par le droit de l’UE, donc par le règlement général sur la protection des données (RGPD). Et la Commission nationale de l’informatique et des libertés (CNIL), dans son analyse des conséquences d’une telle décision, a rappelé que le “transfert des données” s’applique également à des fins de stockage ou de maintenance. Or, les données traitées par le Health Data Hub sont hébergées chez Microsoft, certes certifié Privacy shield mais, toujours selon la CNIL, cette formalité ne suffit plus. Cet arrêté intervient en outre après un mémoire de la CNIL remis au Conseil d’État le 8 octobre dernier, dans lequel elle “estime que le changement de la solution d’hébergement du Health Data Hub et des autres entrepôts de santé hébergés par les sociétés soumises au droit étasunien devrait intervenir dans un délai aussi bref que possible”. À son sens, “même dans le cas où l’absence de transfert de données personnelles en dehors de l’UE (…) serait confirmée (le Health Data Hub s’est engagé contractuellement à le prévenir, ndlr), la société Microsoft peut être soumise (…) à des injonctions des services de renseignement l’obligeant à leur transférer des données stockées et traitées sur le territoire de l’UE”.