Le 16 juillet, la Cour de justice de l’Union européenne (CJUE) a rendu « un arrêt “majeur” qui invalide le régime de transferts de données entre l’Union européenne et les États-Unis ». A la suite de cette décision, la Commission nationale informatique et libertés (CNIL) est « en train de l’analyser pour “en tirer les conséquences dans les meilleurs délais” » (cf. La Cnil donne son feu vert à un projet du Health Data Hub). « Concrètement, la CJUE invalide la décision d’adéquation de 2016 qui permettait le transfert de données entre l’Europe et les opérateurs américains adhérant aux principes de protection des données “sans autre formalité” », explique la CNIL.
Dans son arrêt, la Cour « estime en effet que les limitations de la protection des données à caractère personnel qui découlent de la réglementation interne des États-Unis sur l’accès et l’utilisation de ces données transférées depuis l’UE “ne sont pas encadrées d’une manière à répondre à des exigences substantiellement équivalentes à celles requises en droit de l’UE par le principe de proportionnalité” ». En effet, « les programmes de surveillance fondés sur cette réglementation “ne sont pas limités au strict nécessaire” ». Par contre, « la CJUE a validé les clauses contractuelles types permettant le transfert de données depuis l’UE vers des importateurs établis hors de l’Europe ». Une décision qui instaure « une obligation pour l’exportateur des données et le destinataire du transfert de vérifier au préalable que le niveau de protection “est respecté dans le pays tiers concerné” ».
Des parlementaires avaient « interpellé le Gouvernement sur l’hébergement du Health data hub chez Microsoft », qui « peut transférer des données vers les États-Unis ». Le 16 juillet, le ministre des Solidarités et de la Santé, Olivier Véran, a affirmé au Sénat « qu’un appel d’offres sera lancé pour identifier “un grand acteur européen, voire, pourquoi pas, français, pour assurer dans la durée la gestion, le stockage et le partage de ces données” ». Dans le cadre de la commission d’enquête « dédiée au Covid-19 », « une partie des auditions sera dédiée en septembre-octobre au Health data hub et à son hébergement et plus largement au traitement des données de santé » indique la sénatrice Sylvie Vermeillet.
Pour aller plus loin :
Données de santé Covid-19 livrées au Health Data Hub : un recours déposé auprès du Conseil d’Etat
Etats-Unis : Conflit autour des règles de partage des données de santé
Rapport de la CNIL : des plaintes toujours plus nombreuses dans le domaine de la santé
Hospimedia, Géraldine Tribault (21/07/2020)
