Envoi à la Commission Nationale de l’Informatique et des Libertés CNIL d’un courrier faisant suite à l’annulation de l’accord sur le transfert de données personnelles entre l’Europe et les États-Unis ou “Privacy Shield”.

Objet

Demande d’explication concernant les implications sur la “Plateforme des Données de Santé” de l’annulation du “bouclier de protection des données” ou “Privacy Shield”.

Contenu de la lettre

Madame La Présidente,

Le déploiement d’une “Plateforme des Données de Santé” par la création d’un Groupement d’Intérêt Public, a été proclamé par la loi n° 2019-774 du 24 juillet 2019 relative à l’organisation et à la transformation du système de santé1. Actuellement ces données sont stockées chez Microsoft Azure2, cloud public du géant américain Microsoft.

L’avis n° 2020-044 du 20 avril 2020 de votre Commision3 évoque les risques de transferts de données vers des pays tiers et les divulgations non autorisées par le droit de l’Union [Européenne] dans le cadre du contrat de sous-traitance de la solution technique de la “plateforme” à Microsoft Azure. Suivant cet avis, le 19 juin 2020, le Conseil d’État a enjoint la “Plateforme des Données de Santé” d’informer les citoyens du “possible transfert de données hors de l’Union Européenne, compte tenu du contrat passé avec son sous-traitant”4. Nous attirons l’attention sur la distinction entre les données “de repos” et les données “de transit”. Lors de l’audience au Conseil d’État le 11 juin, il a été évoqué que même si Microsoft pouvait garantir la localisation des données de repos (i.e. le stockage), ce n’était pas le cas pour les données de transit (i.e. d’analyse), qui une fois copiées sur les processeurs circulent dans le monde entier. Nous ne parlons ici pas des données de maintenance qui ne sont pas des données de santé.

Le 16 juillet, la Cour de Justice de l’Union Européenne déclare donc que “les limitations de la protection des données à caractère personnel qui découlent de la réglementation interne des États-Unis portant sur l’accès et l’utilisation, par les autorités publiques américaines, de telles données transférées depuis l’Union [Européenne] vers ce pays tiers ne sont pas encadrées d’une manière à répondre à des exigences équivalentes à celles requises, en droit de l’Union [Européenne], par le principe de proportionnalité, en ce que les programmes de surveillance fondés sur cette réglementation ne sont pas limités au strict nécessaire”5.

Suite à cet arrêt, le Régulateur Allemand souligne que “les données ne devraient pas être transférées aux États-Unis tant que ce cadre juridique n’aura pas été réformé”6.

Nous sollicitons votre expertise pour connaître les conséquences de l’ensemble des données de santé de plus de 67 millions de personnes chez Microsoft Azure au sein de la “Plateforme des Données de Santé”. Plus particulièrement, nous souhaitons connaître les conséquences de la suppression du “Privacy Shield” sur le fonctionnement de la “Plateforme des Données de Santé”, surtout qu’au moment de la saisine du Conseil d’État en reféré liberté, et jusqu’à son Ordonnance, le texte sus-cité était toujours en vigueur.

Nous avons décidé de rendre publique ce courrier. Cette publicité contribue à l’objectif de transparence défendu par votre Commission7.

Dans cette attente, nous vous prions de croire, Madame la Présidente, en l’expression de notre très haute considération.

Association interhop.org