Dans son arrêt du 16 juillet 2020, la Cour de justice de l’Union européenne (CJUE) a invalidé le dispositif d’autorégulation dit « Privacy Shield ».
Cet accord permettait aux acteurs situés dans l’Union européenne d’exporter des données personnelles aux États-Unis sous réserve que le partenaire américain adhère aux règles du Privacy Shield, qui comprenait des règles considérées comme de niveau équivalent au Règlement Général sur la Protection des Données personnelles (RGPD). Les transferts de données personnelles réalisés vers des entreprises américaines en application de ce dispositif sont à présent considérées comme non conformes au RGPD.
Cette décision a été reprise par le Conseil d’Etat, dans une ordonnance du 13 octobre 2020 concernant le Health Data Hub, nouvelle plateforme hébergée par Microsoft Azure et destinée à accueillir, à terme, l’ensemble des données de santé des personnes soignées en France. Le Conseil d’Etat reconnaît l’existence d’un risque de transfert de données issues du Health Data Hub vers les États-Unis et demande des garanties supplémentaires.
Ces décisions remettent en question l’ensemble des transferts de données personnelles vers des entreprises américaines, avec une attention particulière s’agissant des données de santé.
Ces transferts, lorsqu’ils sont basés sur le Privacy Shield, ne sont plus conformes au RGPD et doivent donc être encadrés par d’autres dispositifs juridiques/techniques.