Французский регулятор данных CNIL выпустил несколько рекомендаций для французских служб, которые обрабатывают данные о здоровье, как впервые сообщила Mediapart. Этим сервисам следует вообще избегать использования американских компаний, предоставляющих облачный хостинг, таких как Microsoft Лазурь Amazon Веб-сервисы и Google Cloud.
Эти рекомендации последовали за знаменательным решением Верховного суда Европы в июле. Постановление, получившее название Schrems II, отменило программу защиты конфиденциальности данных между ЕС и США. В рамках программы Privacy Shield компании могут передать обработку данных из ЕС в США оптом. Из-за опасений по поводу законов США о слежке этот механизм больше не разрешен.
CNIL делает еще один шаг, заявляя, что службы и компании, которые обрабатывают данные о состоянии здоровья, также должны избегать ведения бизнеса с американскими компаниями — речь идет не только об обработке европейских данных в Европе. Еще раз, все это делается для того, чтобы не подпадать под действие законов и постановлений США.
Регулятор направил эти рекомендации в один из высших судов Франции (Государственный совет). Группа организаций и союзов SantéNathon первоначально уведомила CNIL о своих опасениях по поводу французского центра медицинских данных.
Франция в настоящее время создает платформу для хранения данных о состоянии здоровья на национальном уровне. Идея состоит в том, чтобы создать хаб, который упростит изучение редких заболеваний и использование искусственного интеллекта для улучшения диагностики. Предполагается, что он объединяет данные из разных источников и позволяет делиться некоторыми данными с государственными и частными учреждениями для этих конкретных случаев.
Технический выбор был спорным, поскольку французское правительство первоначально решило сотрудничать с Microsoft и его облачная платформа Microsoft Лазурный.
Microsoft, как и многие другие компании, полагается на Стандартные договорные положения при передаче данных между ЕС и США. Но Суд ЕС ясно дал понять, что регулирующие органы ЕС должны вмешиваться, если данные передаются в небезопасную страну, когда речь идет о конфиденциальности и слежке.
CNIL считает, что американская компания может обрабатывать данные в Европе, но они все равно подпадают под действие FISA702 и других законов о слежке. Данные по-прежнему останутся в руках американских властей. Другими словами, на данный момент он проявляет особую осторожность с данными о здоровье, пока Schrems II все еще развивается.
«Мы работаем с министром здравоохранения Оливье Вераном над переносом Health Data Hub на французские или европейские платформы после разорвавшейся бомбы Privacy Shield», — сказал Public Sénat министр цифровых технологий Франции Седрик О.
Французское правительство сейчас рассматривает другие решения для Health Data Hub. В ближайшем будущем, если верховный суд Франции подтвердит рекомендации CNIL, это также может иметь определенные последствия для французских компаний, которые обрабатывают данные о здоровье, таких как Doctolib и Alan.