Dans un article publié le 9 octobre dernier, notre confrère Mediapart révélait une demande transmise par la CNIL au Conseil d’État, dans laquelle le régulateur demandait aux acteurs français de la santé de cesser de confier leur hébergement à Microsoft ou toute société soumise « au droit étatsunien ». Cette plateforme de données de santé, plus connue sous le nome de Health Data Hub, a été créée en en 2019 pour faciliter le stockage et le partage de données de santé et faciliter la recherche. Le contrat a été ensuite signé avec Microsoft pour héberger les données et les logiciels nécessaires à son traitement.
C’est justement le fait que ces données aient été confiées à Microsoft, filiale irlandaise de l’entreprise mère de droit étatsunien qui provoque la levée de boucliers de la CNIL, et aussi de plusieurs associations, syndicats et requérants individuels, qui ont, eux aussi, demandé au juge du référé-liberté du Conseil d’État, statuant en urgence, de « suspendre le traitement des données liées à l’épidémie de covid-19 sur la Plateforme des données de santé en raison des risques que cette situation comporte au regard du droit au respect de la vie privée, compte tenu de possibles transferts de données vers les États-Unis ».
Plus de Privacy Shield donc pas de transferts possibles
Le Conseil d’État a publié sa réponse à ces requêtes en suspension et le moins qu’on puisse dire c’est que la réponse ne devrait pas satisfaire les requérants. En effet, le juge des référés estime que du fait que la Cour de justice européenne a annulé le Privacy Shield (l’accord en vertu duquel le transfert de données vers les États-Unis était possible et annulé par la Cour de justice de l’UE), rend impossible à Microsoft de transférer ses données vers son pays d’origine.
« Le juge observe que les données personnelles hébergées aux Pays-Bas dans le cadre d’un contrat avec Microsoft ne peuvent légalement être transférées en dehors de l’Union européenne ». Mais même si la filiale irlandaise ne peut pas, en vertu de l’annulation du Privacy Shield, transférer les données, le juge estime toutefois que « Si le risque ne peut être totalement exclu que les services de renseignement américains demandent l’accès à ces données, il ne justifie pas, à très court terme, la suspension de la Plateforme, mais impose de prendre des précautions particulières, sous le contrôle de la CNIL ».
D’ailleurs, rappelle le juge, Microsoft s’est engagé par contrat à refuser tout transfert de données en dehors de l’UE. Et il repasse la patate chaude à la CNIL, qui doit, selon lui, s’assurer que les données résident bien aux Pays-Bas et nulle part ailleurs. En somme, le juge estime qu’en vertu des accords passés et de l’annulation Privacy Shielkd, Microsoft est tenu de respecter ses engagements, même si on ne peut jurer de rien.