Données de santé nationales hébergées par l’américain Microsoft en Irlande : le Conseil d’Etat refuse de suspendre la plateforme Health Data Hub

ArticlesJurisprudence
Écrit par Team Labruyère
giphy (1).gif

Faits

Créé par arrêté le 29 novembre 2019, le Health Data Hub (ou Plateforme des données de santé) est un groupement d’intérêt public, rassemblant des données de santé issues de diverses sources[1]. Ces données de santé proviennent notamment de l’Assurance Maladie, l’Assistance Publique des Hôpitaux de Paris ou encore l’Institut national du cancer[2]. L’ambition de cette Plateforme est de centraliser les données de santé détenues par des entités françaises, dans une géante base de données commune, afin de faciliter la recherche.

Les projets de recherche menés sur cette Plateforme sont aujourd’hui encadrés par deux critères cumulatifs[3] 

1.        Ils doivent obtenir un avis favorable d’un Comité de Protection des Personnes (CPP) lorsque leurs recherches impliquent la personne humaine ; ou bien un avis favorable du Comité Ethique et Scientifique pour les Recherches, les Etudes et les Evaluations dans le domaine de la Santé (CESREES) lorsque leurs recherches n’impliquent pas la personne humaine ;

2.       Ils doivent être autorisés par la CNIL sauf s’ils peuvent faire l’objet d’une déclaration de conformité à une méthodologie de référence.

Le 15 avril 2020, en pleine crise sanitaire due à la COVID-19, la Plateforme a signé un contrat avec une filiale irlandaise de l’entreprise américaine Microsoft afin que cette dernière héberge lesdites données de santé et concède à la Plateforme les licences de logiciels nécessaires au traitement de ces données pour les finalités légalement autorisées.

Cette décision a été vivement critiquée.

Procédure

Le 28 septembre 2020, plusieurs associations, syndicats et requérants individuels se sont insurgés contre le risque que cet hébergement par Microsoft pouvait représenter au regard du droit au respect de la vie privée et à la protection des données personnelles. Ils ont donc saisi le juge référé-liberté du Conseil d’Etat[4].

Microsoft étant une entreprise américaine, les requérants considèrent qu’il existe un risque grave et manifeste de transferts de données de santé vers les Etats-Unis et qu’il faut donc suspendre immédiatement le transfert entre Microsoft et la Plateforme de données de santé. Les requérants attirent l’attention de la juridiction sur le risque potentiel d’accès aux données par les autorités américaines, à des fins de surveillance. Ils rappellent à cet égard la récente invalidation du mécanisme certificateur dénommé Privacy Shield par la Cour de justice de l’Union européenne (CJUE) qui encadrait jusqu’alors les transferts de données UE-Etats-Unis (retrouvez nos articles sur le sujet juste ici).

Réponse du Conseil d’Etat

Le Conseil d’Etat relève trois points principaux :

1) D’un point de vue technique d’abord : les données sont actuellement hébergées dans un centre de données aux Pays-Bas et pourraient prochainement être transférées dans un centre de données en France. D’un point de vue légal ensuite : la Plateforme de données de santé et Microsoft se sont contractuellement engagés à ne pas transférer de données hors de l’Union européenne. La Plateforme de données de santé s’est engagée sur ce point auprès de la CNIL également. De plus, un arrêté du 9 octobre 2020 interdit tout transfert de données de santé dans le cadre de ce contrat.

2) La CJUE n’a à ce jour pas jugé que le droit de l’Union interdisait le transfert de données, sur le territoire de l’Union, à des entreprises américaines. Un tel transfert ne viole donc pas la législation de l’Union en matière de protection des données.

3) Le Conseil d’Etat relève que les données de santé sont pseudonymisées avant leur hébergement et traitement par Microsoft et qu’il existe un intérêt public important de maintenir cette plateforme en l’état car elle dispose d’importants moyens techniques utiles à la lutte contre la pandémie de COVID-19.

Le Conseil d’Etat considère alors que l’hébergement du Health Data Hub par Microsoft ne présente pas une illégalité grave et manifeste nécessitant la suspension immédiate du transfert de données de santé entre ces deux entités.

Néanmoins, le Conseil d’Etat n’exclut pas l’existence d’un risque de transfert de données vers les Etats-Unis. Il enjoint donc au Health Data Hub de continuer à renforcer la protection des données de santé hébergées par Microsoft via la recherche de mesures techniques et organisationnelles appropriées.

Le Conseil d’Etat ordonne à la Plateforme de conclure un avenant à son contrat avec Microsoft dans un délai de 15 jours suivants la notification de sa décision. Cet avenant devra stipuler que seul le droit de l’Union ou le droit de l’Etat membre auquel est soumis la filiale Microsoft (l’Irlande en l’occurrence) est applicable à l’ensemble des services Microsoft souscrits par le Health Data Hub.

Le Conseil d’Etat a par ailleurs souligné que l’hébergement du Health Data Hub par Microsoft était potentiellement une solution temporaire, en attendant qu’un nouveau sous-traitant soit désigné par le Gouvernement.

Enfin, le Conseil d’Etat a rappelé le rôle de la CNIL dans le contrôle des finalités poursuivies par les projets en lien avec la Plateforme de données de santé.

La décision par ici.


[1] Arrêté du 29 novembre 2019 https://www.legifrance.gouv.fr/jorf/id/JORFTEXT000039433105/

[2] Site officiel de la Plateforme de données de santé https://www.health-data-hub.fr/

[3] CNIL, plateforme des données de santé : https://www.cnil.fr/fr/la-plateforme-des-donnees-de-sante-health-data-hub

[4] Conseil d’Etat, référé-liberté, 14 octobre 2020 https://www.conseil-etat.fr/actualites/actualites/health-data-hub-et-protection-de-donnees-personnelles-des-precautions-doivent-etre-prises-dans-l-attente-d-une-solution-perenne

Team Labruyère
Précédent

« TousAntiCovid » : Nouvel essai pour l’application du Gouvernement

Suivant

Données de connexions et surveillance de masse de la population : le juge de l’Union européenne dit STOP !