« Aucun transfert de données à caractère personnel ne peut être réalisé en dehors de l'Union européenne ». Au Journal officiel du 10 octobre, le gouvernement a publié un arrêté interdisant à la plateforme des données de santé la réalisation de transferts hors UE de ses données.
La mesure s’inscrit dans le sillage de l’arrêt Schrems II, qui a invalidé le Privacy Shield, accord de la Commission européenne qui permettrait ce genre de traitement vers les États-Unis. L’arrêté a été publié par ailleurs alors qu’une décision au Conseil d’État est attendue pour écarter Microsoft de ce « Hub Data Health ». Dans cette procédure, la CNIL a adressé ses observations.
Elle a considéré que les transferts vers les États-Unis étaient effectivement illégaux au regard de la jurisprudence européenne. Elle a surtout souligné qu’une interdiction comme celle publiée au Journal officiel samedi ne changerait rien au regard de l’appétit des programmes de surveillance de l’Oncle Sam.
En effet, dès lors que des fournisseurs américains détiennent des renseignements relatifs à des personnes situées en dehors des États-Unis, ils y ont accès. Peu importe la législation protectrice locale.
Pour l’autorité, la seule solution serait donc de retirer la plateforme des mains de Microsoft, ou bien de ne confier à Redmond qu’un rôle d’expertise, tout en plaçant le hub dans le giron d’une société européenne.
