Health Data Hub : la Cnil récuse le choix de Microsoft Azure

Big DataData & StockageJuridiqueMachine LearningRégulations

La Cnil réaffirme son opposition au choix de Microsoft Azure pour héberger la plateforme Health Data Hub qui doit centraliser les principaux de fichiers de santé des français. Le gouvernement semble avoir déjà entériné ce refus.

Changement de cap dans le dossier Heath Data Hub.  Dans un mémoire transmis au Conseil d’État le 8 octobre, la Cnil demande à l’ensemble des acteurs stockant des données de santé de cesser « dans un délai aussi bref que possible » de confier leur hébergement à Microsoft ou toute autre société soumise « au droit étatsunien » détaille Mediapart , qui rend accessible le document à ses abonnés.

La Cnil envisage une « période de transition » dont la durée sera « limitée au strict nécessaire », et « recommande aux autorités publiques d’évaluer en urgence l’existence de fournisseurs alternatifs ».

En juin dernier, le choix de Microsoft avait soulevé de nombreuses protestations provenant de plusieurs acteurs du secteur IT et des défenseurs de la vie privée. Une coalition emmenée par la Conseil national du logiciel libre avait fini par saisir le Conseil d’État en référé-liberté. Avec une requête : suspendre l’arrêté du 21 avril, au nom du droit à la protection de la vie privée.

Mais le Conseil d’Etat avait donné raison au Health Data Hub. 

L’annulation du Privacy Shield change la donne

Cedric O a déjà entériné la demande de la Cnil. « Nous travaillons avec Olivier Véran, après le coup de tonnerre de l’annulation du Privacy Shield, au transfert du Health Data Hub sur des plateformes françaises ou européennes », a affirmé le secrétaire d’Etat en charge du numérique lors de son audition devant le Sénat, ce 8 octobre.

« Nous aurons sur ce sujet des discussions avec nos partenaires allemands », a-t-il ajouté sans donner de calendrier pour cette opération.

La Cour de justice de l’Union européenne (CJUE) a invalidé en juillet le Privacy Shield qui, depuis l’été 2016, encadre les échanges transatlantiques de données à caractère personnel à des fins commerciales.  Ce système dérogatoire permettait à des milliers entreprises certifiées, dont les GAFAM, de traiter des données transférées de l’Union vers les États-Unis.

Contacté par l’AFP, Microsoft a déclaré qu’il « ne commentait pas les décisions stratégiques du gouvernement français et restait dans l’attente de l’arrêt du Conseil d’Etat », attendu la semaine prochaine.

Créé par la loi santé du 24 juillet 2019, le HDH doit remplacer l’actuel Système national des données de santé (SNDS) qui centralise déjà les principaux fichiers de santé, dont celui de l’assurance-maladie, tout en élargissant considérablement sa portée. À terme, toute donnée collectée dans le cadre d’un acte remboursé par l’assurance-maladie sera centralisée dans le HDH, des données des hôpitaux à celles du dossier médical partagé ou celles des logiciels professionnels utilisés par les médecins et les pharmaciens.

Lire aussi :

Avis d'experts de l'IT