Corinne Thiérache (Cabinet Alerion) : “Il est recommandé de se montrer vigilant quant aux garanties proposées par les HDS américains”

À la suite de son ordonnance en référé du 13 octobre 2020 sur le Health Data Hub et Microsoft, le Conseil d’État explique qu’”une violation du règlement général sur la protection des données (RGPD) demeure (…) hypothétique, car elle supposerait que Microsoft ne soit pas en mesure de s’opposer à une éventuelle demande des autorités américaines”. Dans quels cas Microsoft pourrait-il s’y opposer ?

Le Cloud Act, à y regarder de plus près, contient des garde-fous. Ce texte américain concerne les enquêtes sur les activités criminelles majeures supposées incluant le terrorisme. Les fournisseurs présents aux États-Unis peuvent s’opposer à une demande de divulgation des données par les États-Unis dès lors que la personne dont les données font l’objet de la demande n’est pas américaine ou ne réside pas sur le territoire américain et que la transmission des données crée un risque significatif de contravention à une ou plusieurs lois étrangères locales. En 2014, avant même l’application du Cloud Act, Microsoft avait d’ailleurs initié un bras de fer avec les autorités américaines qui s’est prolongé devant la Cour suprême en 2017, en s’opposant à communiquer au département américain de la Justice des données hébergées sur des serveurs en Irlande : il avait déjà été invoqué les règles de protection des données personnelles en Europe,…

À lire

Hébergement des données de santé : que révèle l’analyse des entreprises certifiées ?

Droit Devant

Comment appliquer l’invalidation du Privacy shield

La CNIL estime que les données de santé ne peuvent plus être hébergées par des acteurs américains

Un arrêté interdit au Health Data Hub tout transfert de données personnelles en dehors de l'UE

Le Conseil d'État enjoint le Health Data Hub à prendre des précautions "en attendant une solution pérenne"