Le 4 juin 2020 marque la date du lancement du projet franco-allemand de cloud européen, Gaia-X.

Les onze entreprises françaises et onze entreprises allemandes, initiatrices du projet, ambitionnent la mise en place d’une infrastructure de données performante, fiable et respectueuse des standards de sécurité européens, alternative aux fournisseurs de cloud américains et chinois.

Cette initiative est particulièrement remarquée à la suite du choix, contesté, du gouvernement français d’héberger les données de santé du « Health Data Hub », issues de la Plateforme des données de santé (PDS), sur les serveurs de Microsoft, au détriment de la société française OVH.

Consultée, sur ce projet innovant, la CNIL a pris acte de ce que des données pourront être transférées hors de l’Union Européenne dans le cadre de clauses contractuelles types, telles que prévues par le RGPD. Elle a, pour autant rappelé la nécessité, eu égard à la sensibilité des données concernées, d’assurer le plus haut niveau de protection technique, et juridique, et a formulé le souhait de leur hébergement par des entités relevant des juridictions de l’Union Européenne.

Au-delà de cette controverse, l’hébergement des données à l’étranger interroge sur les conséquences du caractère international du numérique et les risques des transferts de données vers des pays ne garantissant pas toujours un niveau de protection approprié.

En effet, un tel flux de données hors Union européenne et, plus spécifiquement vers les Etats-Unis, suscite de vives inquiétudes quant à leur confidentialité, notamment en raison de leur possible accès par les autorités nord-américaines à des fins de sécurité nationale (loi FISA et décret « Executive Order »), ou dans le cadre d’une enquête pénale, telle que prévu par le « Cloud Act ».

Le Conseil d’Etat saisi, dans le cadre d’un référé liberté, par une quinzaine d’organisations et de personnalités sur la suspension de l’exécution de l’arrêté du 21 avril 2020 complétant celui du 23 mars 2020 sur les mesures d’organisation et de fonctionnement du système de santé face à la crise sanitaire, s’est prononcé par une ordonnance du 19 juin 2020. Le lieu d’hébergement des données du « Health Data Hub », était notamment au cœur des débats.

La Haute juridiction administrative, soulignant le fait que les données de santé sont actuellement hébergées aux Pays-Bas et le seront prochainement dans des centres situés en France, dans le respect des certifications requises au regard de la sensibilité des données, prend acte du transfert hors de l’Union Européenne des seules données nécessaires aux opérations de maintenance.

Ce transfert, en ce qu’il s’inscrit dans le cadre d’une décision d’adéquation de la Commission [1] et de l’adhésion de Microsoft au « bouclier de protection », dans le respect du contrat de sous-traitance requis, ne peut être regardé comme portant une atteinte grave et manifestement illégale aux libertés fondamentales que le RGPD a pour objet de protéger.

Odile Jami-Caston, directrice Data et GDPR compliance; Pauline Vital, avocate en charge de l’activité e-santé et Claudia Weber - associé fondateur - ITLAW Avocats - www.itlaw.fr