Le Health Data Hub, hébergé par Microsoft, se penche sur les effets de l'invalidation du Privacy Shield
Quels enseignements tirés de l'invalidation du Privacy Shield par le juge européen ? C'est cette question que se pose le Health Data Hub, cette base de données qui stocke les informations de santé des Français, et ayant choisi Microsoft comme provider de cloud. Le cabinet parisien DLA Piper a été missionné pour éclairer la structure publique.
Le Health Data Hub, cette structure publique chargée de rendre facilement accessible un catalogue de données de santé des Français, a mandaté le cabinet d'avocats parisien DLA Piper pour comprendre les conséquences de la décision Schrems II prise par le juge européen en juillet dernier.
Cette mission, inscrite dans l'onglet "marchés publics" du site du Health Data Hub repéré par Next INpact, a été conclue le 11 janvier 2021 pour une valeur de 40 000 euros hors taxes.
Le choix de Microsoft remis en cause
Pour rappel, les données stockées au sein du Health Data Hub sont hébergées par Microsoft Azure. Un choix remis en cause par l'invalidation du Privacy Shield, une convention signée entre l'Union européenne et les Etats-Unis qui facilitait le transfert de données personnelles en reconnaissant que la législation américaine offrait les mêmes garanties que le droit européen.
En effet, les providers de cloud américains ne permettent pas en principe de respecter les attentes de la législation européenne sur la protection de données. Car en vertu du Cloud Act, les services de renseignements américains peuvent obtenir des opérateurs de télécoms et des fournisseurs de service de cloud computing des informations stockées sur leurs serveurs qu'ils soient situés aux Etats-Unis ou en dehors.
Un délai de 18 mois pour changer de provider
Face à ce bouleversement, le gouvernement avait décidé d'évincer Microsoft du Health Data Hub. Mais ce changement n'est pas si simple, d'après le ministre des Solidarités et de la Santé Olivier Véran. "Il n'existe pas, à court terme, de solution optimale d'un point de vue technique", expliquait-il dans une lettre adressée en novembre dernier à la Commission nationale de l'informatique et des libertés (Cnil).
On peut donc supposer que l'expertise de DLA Piper va servir à trouver un compromis durant ce délai "compris autant que possible entre 12 et 18 mois", selon Olivier Véran. A ce sujet, le Comité européen de la protection des données (CEPD), qui chapeaute le travail des autorités de protection nationale, a fixé les conditions dans lesquelles un transfert de données outre-Atlantique était légal.
L'objectif de cette série de règles est d'apporter des garanties supplémentaires pour s'assurer que les services de renseignements ne mettront pas la main sur les données européennes. Le CEPD préconise par exemple de chiffrer ou de pseudonymiser les données.
Sélectionné pour vous
SUR LE MÊME SUJET
Le Health Data Hub, hébergé par Microsoft, se penche sur les effets de l'invalidation du Privacy Shield
Tous les champs sont obligatoires
0Commentaire
Réagir
