Faits

Créé par arrêté le 29 novembre 2019, le Health Data Hub (ou Plateforme des données de santé) est un groupement d’intérêt public, rassemblant des données de santé issues de diverses sources[1]. Ces données de santé proviennent notamment de l’Assurance Maladie, l’Assistance Publique des Hôpitaux de Paris ou encore l’Institut national du cancer[2]. L’ambition de cette Plateforme est de centraliser les données de santé détenues par des entités françaises, dans une géante base de données commune, afin de faciliter la recherche.

Les projets de recherche menés sur cette Plateforme sont aujourd’hui encadrés par deux critères cumulatifs[3] 

1.        Ils doivent obtenir un avis favorable d’un Comité de Protection des Personnes (CPP) lorsque leurs recherches impliquent la personne humaine ; ou bien un avis favorable du Comité Ethique et Scientifique pour les Recherches, les Etudes et les Evaluations dans le domaine de la Santé (CESREES) lorsque leurs recherches n’impliquent pas la personne humaine ;

2.       Ils doivent être autorisés par la CNIL sauf s’ils peuvent faire l’objet d’une déclaration de conformité à une méthodologie de référence.

Le 15 avril 2020, en pleine crise sanitaire due à la COVID-19, la Plateforme a signé un contrat avec une filiale irlandaise de l’entreprise américaine Microsoft afin que cette dernière héberge lesdites données de santé et concède à la Plateforme les licences de logiciels nécessaires au traitement de ces données pour les finalités légalement autorisées.

Cette décision a été vivement critiquée.

Procédure

Le 28 septembre 2020, plusieurs associations, syndicats et requérants individuels se sont insurgés contre le risque que cet hébergement par Microsoft pouvait représenter au regard du droit au respect de la vie privée et à la protection des données personnelles. Ils ont donc saisi le juge référé-liberté du Conseil d’Etat[4].

Microsoft étant une entreprise américaine, les requérants considèrent qu’il existe un risque grave et manifeste de transferts de données de santé vers les Etats-Unis et qu’il faut donc suspendre immédiatement le transfert entre Microsoft et la Plateforme de données de santé. Les requérants attirent l’attention de la juridiction sur le risque potentiel d’accès aux données par les autorités américaines, à des fins de surveillance. Ils rappellent à cet égard la récente invalidation du mécanisme certificateur dénommé Privacy Shield par la Cour de justice de l’Union européenne (CJUE) qui encadrait jusqu’alors les transferts de données UE-Etats-Unis (retrouvez nos articles sur le sujet juste ici).

Réponse du Conseil d’Etat

Le Conseil d’Etat relève trois points principaux :

1) D’un point de vue technique d’abord : les données sont actuellement hébergées dans un centre de données aux Pays-Bas et pourraient prochainement être transférées dans un centre de données en France. D’un point de vue légal ensuite : la Plateforme de données de santé et Microsoft se sont contractuellement engagés à ne pas transférer de données hors de l’Union européenne. La Plateforme de données de santé s’est engagée sur ce point auprès de la CNIL également. De plus, un arrêté du 9 octobre 2020 interdit tout transfert de données de santé dans le cadre de ce contrat.

2) La CJUE n’a à ce jour pas jugé que le droit de l’Union interdisait le transfert de données, sur le territoire de l’Union, à des entreprises américaines. Un tel transfert ne viole donc pas la législation de l’Union en matière de protection des données.

3) Le Conseil d’Etat relève que les données de santé sont pseudonymisées avant leur hébergement et traitement par Microsoft et qu’il existe un intérêt public important de maintenir cette plateforme en l’état car elle dispose d’importants moyens techniques utiles à la lutte contre la pandémie de COVID-19.

Le Conseil d’Etat considère alors que l’hébergement du Health Data Hub par Microsoft ne présente pas une illégalité grave et manifeste nécessitant la suspension immédiate du transfert de données de santé entre ces deux entités.

Néanmoins, le Conseil d’Etat n’exclut pas l’existence d’un risque de transfert de données vers les Etats-Unis. Il enjoint donc au Health Data Hub de continuer à renforcer la protection des données de santé hébergées par Microsoft via la recherche de mesures techniques et organisationnelles appropriées.

Le Conseil d’Etat ordonne à la Plateforme de conclure un avenant à son contrat avec Microsoft dans un délai de 15 jours suivants la notification de sa décision. Cet avenant devra stipuler que seul le droit de l’Union ou le droit de l’Etat membre auquel est soumis la filiale Microsoft (l’Irlande en l’occurrence) est applicable à l’ensemble des services Microsoft souscrits par le Health Data Hub.

Le Conseil d’Etat a par ailleurs souligné que l’hébergement du Health Data Hub par Microsoft était potentiellement une solution temporaire, en attendant qu’un nouveau sous-traitant soit désigné par le Gouvernement.

Enfin, le Conseil d’Etat a rappelé le rôle de la CNIL dans le contrôle des finalités poursuivies par les projets en lien avec la Plateforme de données de santé.

La décision par ici.

[1] Arrêté du 29 novembre 2019 https://www.legifrance.gouv.fr/jorf/id/JORFTEXT000039433105/

[2] Site officiel de la Plateforme de données de santé https://www.health-data-hub.fr/

[3] CNIL, plateforme des données de santé : https://www.cnil.fr/fr/la-plateforme-des-donnees-de-sante-health-data-hub

[4] Conseil d’Etat, référé-liberté, 14 octobre 2020 https://www.conseil-etat.fr/actualites/actualites/health-data-hub-et-protection-de-donnees-personnelles-des-precautions-doivent-etre-prises-dans-l-attente-d-une-solution-perenne

Il y a moins d’une semaine, nous vous briefions sur la position récente de la CJUE sur les cookies. A peine cette brève publiée que le Conseil d’Etat dévoile sa décision sur le sujet, en complète opposition avec la Cour de Justice.

Rappel du contexte

Pour rappel, le Règlement Général sur la Protection des Données (RGPD) est entré en vigueur le 25 mai 2018. Ce texte exige des éditeurs de sites internet qu’ils s’assurent que l’internaute consente explicitement à l’installation de cookies et autres traceurs dans son appareil à des fins de publicité ciblée.

Plus d’un an après, bien des entreprises ne se sont pas mises en conformité. La CNIL a choisi de leur accorder un délai supplémentaire d’un an pour se mettre en conformité concernant l’installation de cookies, une faveur que la Quadrature du Net avait attaquée en justice.

La décision

Dans cette décision, le juge administratif se montre plus réservé, surtout par rapport au juge européen. Alors que ce dernier militait en faveur de la vie privée, le Conseil d’Etat se retranche derrière le « large pouvoir d’appréciation » de la CNIL.

Le Conseil d’Etat estime que les tolérances accordées aux entreprises leur permettent de s’approprier les nouvelles règles issues du RGPD et de les respecter d’ici l’été 2020. Ainsi, les pratiques de ces entreprises ne sont ni illégales, ni une violation de la vie privée des personnes physiques. Il serait possible d’y voir un délai de mise en conformité accordé jusqu’en mai 2020.

Toutefois, la décision n’empêchera pas la CNIL de contrôler et de sanctionner les manquements les plus graves, une opportunité des poursuites qu’elle pratique déjà. Mais comment justifiera-t-elle auprès des entreprises sanctionnées le choix des poursuites ?  

De leur côté, les associations, dont la Quadrature du Net, pourront tout de même poursuivre les éditeurs fautifs au civil et au pénal : les lignes directrices de la CNIL n’ont aucun pouvoir contraignant sur ces juridictions.

Entre conformité actuelle et conformité future, que choisir ?

La décision du Conseil d’Etat est compliquée à mettre en œuvre à plusieurs égards.

1 - Elle entre en contradiction directe avec la décision de la CJUE dans l’arrêt « Planet49 ». 

Celle-ci affirme sans ambiguïté que les simples bandeaux d’information sont inacceptables. Un geste positif de consentement de la part de l’internaute est indispensable. Si la décision a pour fondement la Directive ePrivacy de 2002 et non pas le RGPD, les deux textes sont étroitement liés. En effet, ils ont vocation à former le « Package européen Vie Privée » une fois la directive révisée. La solution a vocation à s’appliquer tout autant sur la base de RGPD. 

2 - Le Conseil d’Etat ne respecte pas la hiérarchie des normes.

L’arrêt « Planet49 », rendu au titre d’une demande préjudicielle, donne l’interprétation officielle de la CJUE sur les textes concernés. Cette interprétation est, légalement, immédiatement applicable dans tous les Etats membres. En effet, les décisions de la CJUE forment un ordre juridique propre depuis les arrêts Van Gend en Loos du 5 février 1963 et Costa contre ENEL du 15 juillet 1964.

La tolérance accordée par la CNIL et la volonté de contradiction affichée par le juge administratif sont d’autant plus surprenantes que les autres autorités de contrôle européennes n’hésitent pas à sanctionner l’installation de cookies sans véritable consentement.

A titre d’exemple, l’autorité de contrôle espagnole (AEPD) a récemment sanctionné la compagnie aérienne Vueling en raison de la gestion non conforme des cookies sur son site internet. Vueling a accepté sa faute et a payé rapidement ; sa sanction a donc été réduite de 30 000€ à 18 000 €. Ces sommes n’approchent manifestement pas les plafonds de 20 Millions d’euros et 4% du Chiffre d’Affaires mondial annuel, mais la pratique a tout de même été sanctionnée.

3 - Elle crée un important facteur de risque pour les entreprises.

Ces dernières ont maintenant deux choix. Premièrement, elles peuvent suivre la position de la CJUE et se mettre en conformité maintenant. Deuxièmement, elles peuvent compter sur cette « période de tolérance » pour ne pas se mettre en conformité. Dans ce cas, elles ne sont tout de même pas à l’abri :

• D’une sanction de la CNIL, celle-ci se réservant toujours le droit de sanctionner les atteintes qu’elle estime « particulièrement graves ».

• De plaintes des particuliers et/ou associations, qui aura toutes les chances d’aboutir, la tolérance de la CNIL ne valant que pour elle.

En conclusion, cette décision crée plus de questions qu’elle n’en résout. Surtout, prendre la CNIL au mot crée un véritable risque pour les entreprises. En cas de doute, il nous semble plus sûr de suivre la position européenne.

Source

Pour lire la décision, c’est par ici !