Health Data Hub : la Cnil s’inquiète de possibles transferts de données hors de l’Union européenne

La Commission nationale de l’informatique et des libertés (Cnil) a estimé que « des données [du Health Data Hub] pourront être transférées hors de l’Union européenne dans le cadre du fonctionnement courant de la solution technique, notamment pour gérer et assurer le bon fonctionnement du système informatique », dans une publication consacrée à la plateforme mise en ligne le 11 juin.

Le Hub a choisi la solution cloud Azure de Microsoft comme prestataire d’hébergement afin « d’aller vite » dans le développement de la plateforme, avait expliqué en décembre 2019 sa directrice, Stéphanie Combes. Ce choix a été vivement critiqué, notamment par l’ancien président de l’Institut des données de santé, Christian Babusiaux, dans une tribune publiée dans Le Monde le 4 juin, note-t-on.

La Cnil a détaillé ses inquiétudes dans un avis du 20 avril. Elle « relève que les contrats qui lui ont été fournis ne prévoient eux-mêmes ni la localisation des données ni l’ensemble des garanties relatives aux modalités d’accès aux données par les administrateurs de l’hébergeur [Microsoft] ».

La commission « prend acte de ce que le ministère [des solidarités et de la santé] s’est engagé à ce que la Plateforme des données de santé exige de son hébergeur que les données “au repos” soient hébergées au sein de l’Union européenne », et « souligne toutefois que cette localisation ne s’applique qu’aux données “au repos” ». [En savoir plus]