C’est une décision découlant de l’annulation en juillet dernier du Privacy Shield (texte encadrant les transferts de données entre l’Union européenne et les Etats-Unis) par la Cour de Justice européenne. La Cnil demande que l’on retire à Microsoft le droit d’héberger le Health Data Hub qui permet aux chercheurs d’accéder aux données de santé française (anonymisées). Elle estime que dans le cadre du Cloud Act américain, Microsoft peut être soumis « à des injonctions des services de renseignement l’obligeant à leur transférer des données stockées et traitées sur le territoire de l’Union européenne », ceci en totale contradiction avec le RGPD.

Cet hébergement devra selon elle cesser « dans un délai aussi bref que possible ». Elle demande donc d’annuler un décret publié le 21 avril dernier au nom de l’état d’urgence sanitaire. Le Conseil d’Etat doit se prononcer cette semaine sur cette annulation.

Consciente qu’un basculement rapide n’est pas possible, la Cnil estime toutefois « qu’une période de transition est nécessaire afin d’assurer ces changements sans pertes de données ou de technologie et sans compromettre les usages qui sont aujourd’hui faits de ces données ». Selon elle, on peut envisager « un dispositif contractuel par lequel la société américaine met en place un accord de licence avec une société européenne qui a seule la possibilité d’agir sur les données déchiffrées, et qui bénéficie des services et de l’expertise de la société américaine, sans que celle-ci n’ait jamais un accès aux données. »

Le veto de la Cnil rejoint la volonté de Cédric O qui souhaite rapatrier les données du hub sur des plateformes françaises ou européennes. « Nous travaillons avec Olivier Véran, après le coup de tonnerre de l’annulation du Privacy Shield, au transfert du Health Data Hub sur des plates-formes françaises ou européennes », avait-il indiqué vendredi dernier, ajoutant que des discussions étaient prévues avec l’Allemagne.

L’Allemagne est en effet avec la France à l’initiative du projet de cloud européen Gaia-X officiellement créé à Bruxelles le 15 septembre dernier avec 22 acteurs issus principalement de l’Hexagone et d’outre-Rhin. On trouve parmi eux 3DS Outscale, OVHcloud, Deutsche Telekom, Atos, Orange, Scaleway, Docaposte, Safran, Siemens, BMW Group, SAP ou encore l’Institut Mines-Télécom. Parmi eux 3DS Outscale s’est semble-t-il déjà positionné. Une réunion de Gaia-X est prévue le mois prochain.