En juillet 2020, la Cour de justice européenne avait annulé l’accord “Privacy Shield” (bouclier de protection des données) qui autorisait les entreprises du numérique de transférer légalement les données personnelles de citoyens européens aux Etats-Unis. Le hub des données de santé françaises va donc quitter le serveur de Microsoft sur lequel elles ont été stockées.
L’accord Privacy Shield est le dispositif qu’utilisent la majorité des grands groupes américains pour traiter les données relevant de l’identité, du comportement en ligne et de la géolocalisation de leurs utilisateurs. Or, selon la Cour de justice européenne, celui-ci n’est pas conforme aux règles imposées par l’UE. La plateforme centralisant les données de santé des Français, le Health Data Hub, était hébergée par Microsoft. Un accord qui s’appuyait sur le “Privacy Shield” et qui a donc pris fin durant l’été 2020. Ainsi, Cédric O, Secrétaire d’Etat au numérique, a déclaré en octobre dernier que le Ministère de la Santé travaillait au transfert du Health Data Hub sur des plate-formes françaises ou européennes.
Le Cloud Act, une loi fédérale incompatible avec la juridiction européenne
Le Health Data hub a pour objectif de faciliter l’accès, pour les scientifiques, aux données de santé des Français sous forme anonymisée. En effet, au préalable, ces données étaient hébergées chez différents organismes et pour y accéder les chercheurs devaient multiplier les démarches. Lors du lancement de la plate-forme en 2019 par la France, seul Microsoft possédait une technologie de Cloud assez avancée pour répondre aux besoins de la plate-forme française. Seul bémol ? Le Cloud Act auquel était soumis Microsoft. Une loi fédérale adoptée par les Etats-Unis en 2018 et qui permettait aux juridictions américaines d’exiger aux entreprises américaines de fournir les données de leurs utilisateurs, européens également, en cas de mandat.
Le lundi 17 mai, le gouvernement français a déclaré que le Health Data Hub allait quitter définitivement Microsoft pour se déplacer vers un prestataire européen. Une opération qui pourra être entamée dans douze mois lorsque les plateformes cloud européennes seront labellisées “Cloud de Confiance”. Pour s’assurer de la conformité des systèmes de cloud, le label répond à la certification SecNumCloud délivrée par l’Agence nationale de la sécurité des systèmes d’information. Il s’agit de la dimension technique des plateformes, quant à la dimension juridique, il faudra répondre à l’arrêté de la Cour de Justice qui interdit le transfert de données de santé hors de l’UE. Bien entendu, le Health Data Hub n’est pas la seule plate-forme concernée, et l’ensemble des administrations devront à terme migrer vers des serveurs européens.