logo-impression
  • Posté le 15 octobre 2020 / 30 visites

Le Conseil d’Etat reconnait que le gouvernement americain peut accéder sans contrôle aux données de santé des Français

Selon la jurisprudence européenne, le droit européen et le Règlement Général de Protection des Données (RGPD), tout traitement de données personnelles de citoyens européens aux Etats-Unis doit aujourd’hui être considéré comme illégal sans délai. D’où le combat contre le transfert illégal fait actuellement des données de santé des français.

Un collectif comprenant de 18 requérants issus du milieu du logiciel libre, d’associations de patients, de syndicats de médecins et techniciens et du milieu du journalisme, et l’Union Générale des Ingénieurs, Cadres et Techniciens (UGICT-CGT), a demandé au Conseil d’Etat de suspendre le traitement et la centralisation des données de santé de plus de 67 millions de personnes au sein du Health Data Hub, hébergées chez Microsoft Azure, le cloud du géant américain.

Ce collectif dénonçait le choix de Microsoft essentiellement à cause de l’absence d’appel d’offre et des effets de l’extraterritorialité du droit américain. En effet, la Cour de Justice de l’Union Européenne (“CJUE”) a récemment révélé que les renseignements américains (via le FISA et l’Executive Order 12 233) n’ont aucune limitation quant à l’utilisation des données des Européen.ne.s.

A la suite d’un important mémoire de la CNIL, et malgré un arrêté pris en urgence par le gouvernement le lendemain même de l’audience, le Conseil d’Etat a pris une décision par laquelle il reconnaît que le Health Data Hub hébergé chez Microsoft ne protège pas les données de santé des français contre les intrusions du gouvernement américain, et ce contrairement à tout ce qui était affirmé depuis des mois par le Ministère de la Santé.

Preuve de la gravité des infractions constatées, ce refus de suspendre n’est cependant qu’une décision prise « à très court terme », notamment pour éviter d’interrompre brusquement les quelques projets en cours sur le Health Data Hub.

En revanche, le Conseil d’Etat demande au Health Data Hub et à Microsoft de conclure encore de nouveaux avenants à leurs contrats, et de prendre encore des précautions supplémentaires, sous le contrôle de la CNIL.

Surtout, au-delà du « très court terme », le Conseil d’Etat indique être dans l’attente d’une solution qui permettra d’éliminer tout risque d’accès aux données personnelles par les autorités américaines, renvoyant notamment à un appel d’offre d’un prestataire français ou européen comme annoncé par le Secrétaire d’Etat au numérique, et comme évoqué par la CNIL dans ses observations au Conseil.

Autrement dit, le Health Data Hub, tel qu’il existe aujourd’hui, ne devrait pas pouvoir être utilisé en l’état au-delà des quelques projets existants, faute pour les nouveaux de risquer de se mettre en infraction.

Et comme le réclamait la CNIL dans son mémoire en observation, les données de santé des français ne devraient pas pouvoir être hébergées chez la société Microsoft pour le futur, et devraient se tourner vers l’une des nombreuses alternatives existantes.

Avec l’arrêté pris en urgence par le gouvernement ainsi que les importantes observations remises par la CNIL, c’est donc une victoire dont se félicitent le collectif SanteNathon et ses membres.

Mais face à l’absence de suspension effective, et face à la mauvaise foi continuelle du Gouvernement et du Ministère de la Santé dans ce dossier, le combat doit continuer.

C’est pourquoi, face à l’urgence d’empêcher que les données de santé ne soient transférées aux Etats-Unis de façon irréversible, le collectif souhaite désormais saisir le Conseil d’Etat sur le fond afin de prendre des mesures qui puissent dépasser le « très court terme », ainsi que la CNIL au regard des infractions en cours et passées.

D’autres actions sont également à l’étude, notamment sur le plan européen.