Comment ça ?

Pourquoi est-ce un problème de stocker des données de santé sans le consentement des personnes à une entreprise soumise au CLOUD Act et à d’autres lois des États-Unis, qui est connue pour ne pas respecter la vie privée des utilisateurs, réputée pour son incompétence, et connue pour ses pratiques anticoncurrentielles ?

Selon la délibération 2023-146 du 21 décembre 2023:

Lorsque l’information individuelle est impossible ou disproportionnée, l’information devra être diffusée de façon collective. Les différents cas d’information individuelle ou collective sont détaillés ci-après. […] Pour des raisons tenant à la sécurité de l’architecture technique de la plateforme, il ne sera fait suite aux demandes d’effacement des données de manière généralisée qu’une fois par an.

la CNIL a toujours demandé […] de s’assurer que l’hébergeur des données n’est pas soumis à une législation extra-européenne […] À la suite des interrogations de la CNIL et de son souhait que tout soit fait pour permettre que cet entrepôt, apparié au SNDS, soit protégé de tout risque de communication des données à des États étrangers […] les pouvoirs publics ont mis en place une mission d’expertise […] aux fins de déterminer si le projet […] pouvait […] être mis en œuvre via un prestataire soumis uniquement aux lois de l’Union européenne. La CNIL salue le travail mené par cette mission, dans un délai très contraint.

En gros, non respect du droit à l’information et du droit à l’oubli, et soumissions à des lois non européennes contrairement à ce qui doit être fait normalement mais la CNIL félicite le travail réalisé.

CNIL, IGPN, même nombre de lettres, même laxisme. La seule différence c’est que l’une n’a pas l’excuse d’être sous le contrôle du ministère de l’intérieur.

On notera le manque de transparence lié au fait que la publication de la délibération a pris plus d’un mois.

Après c’est peut être moi qui ai tout compris de travers.