9 novembre 2020
Dans une ordonnance rendue le 13 octobre 2020, le Conseil d’État, la plus haute juridiction administrative française a exigé de la plateforme des données de santé (Health Data Hub) qu’elle apporte des garanties supplémentaires afin de limiter le risque de transfert des données personnelles vers les États-Unis.
Le Health Data Hub est une Plateforme qui centralise l’ensemble des données de santé de toute la population soignée en France. Ce système de regroupement d’information créé en fin novembre 2019 a été souhaité par le législateur français, afin notamment d’optimiser les opérations de recherche médicale.
Le 15 avril 2020, un contrat d’hébergement a été signé entre la plateforme et une filiale irlandaise de la société américaine Microsoft pour l’hébergement des données et l’utilisation de logiciels nécessaires à leur traitement. À la survenance de la crise sanitaire, sa mise en service a été précipitée en fin avril 2020, mais les opérations ne couvraient qu’un périmètre bien déterminé.
Microsoft en tant qu’entreprise américaine avait adhéré au Privacy Shield, un mécanisme visant à encadrer les transferts des données personnelles vers les Etats-Unis. Or le 16 juillet 2020, la Cour de Justice de l’Union Européenne (CJUE), considérant que ce dispositif ne présentait pas, pour les droits et libertés des personnes, des garanties équivalentes à celles en place sur l’Espace Economique Européen, a invalidé le Privacy Shield. En effet, la CJUE a estimé que la surveillance exercée par les services de renseignements américains sur les données personnelles des citoyens européens était excessive, insuffisamment encadrée et sans réelle possibilité de recours.
C’est dans ce contexte que Plusieurs associations, syndicats et requérants individuels ont formé un recours devant le juge du référé-liberté du Conseil d’État pour demander la suspension du Health Data Hub.
Dans le cadre de la procédure, le Conseil d’Etat a sollicité l’avis de la Commission Nationale de l’Informatique et des Libertés (CNIL) en lui demandant de présenter ses observations sur le recours.
Le mémoire produit par cette dernière fait état de ce que le choix d’un hébergeur soumis au droit américain était incompatible avec les exigences de la CJUE en matière de protection de la vie privée.
La CNIL a invité le juge à vérifier que les engagements de l’hébergeur à supprimer les transferts de données personnelles hors UE couvraient bien l’ensemble du Health Data Hub. Aussi, le juge du référé-liberté a demandé que soient apportées des garanties supplémentaires de nature à minimiser ce risque, comme la conclusion d’un nouvel avenant contractuel avec Microsoft. Tout en demandant des clarifications sur le contrat, il relève que ces derniers se sont engagés, à refuser tout transfert de données de santé en dehors de l’Union européenne. D’ailleurs, un arrêté ministériel pris le 9 octobre 2020 interdit que soient effectués des transferts de données à caractère personnel dans le cadre de ce contrat.
La CNIL a relevé que parce que toute société soumise au droit américain pouvait être contrainte par le gouvernement américain à communiquer des données, même pseudonymisées, il était nécessaire de changer d’opérateur, ou tout au moins de demander à l’opérateur à apporter des garanties spécifiques. C’est également l’avis exprimé par le Conseil d’Etat lorsqu’il relève qu’il ne peut être totalement exclu que les autorités américaines, dans le cadre de programmes de surveillance et de renseignement, demandent à Microsoft et à sa filiale irlandaise l’accès à certaines données.
D’ailleurs le juge du référé-liberté a pris acte de la volonté exprimée par le Gouvernement de transférer le Health Data Hub sur des plateformes françaises ou européennes.
Même si dans son ordonnance, le juge a souligné l’existence de garanties importantes déjà apportées par le Health Data Hub, il reconnait que des précautions supplémentaires doivent être prises dans l’attente d’une solution pérenne.
Le juge a par ailleurs confié à la CNIL la mission d’instruire les demandes d’autorisation des projets de recherche utilisant le Health Data Hub en vérifiant d’une part l’intérêt du projet compte tenu de l’urgence sanitaire actuelle, pour justifier le risque encouru et d’autre part la nécessité du recours à la plateforme.
Afin de permettre la réalisation de cet objectif, la CNIL a recommandé l’aménagement d’une période de transition. En effet, compte tenu de l’importance du Health Data Hub notamment pour la gestion de la crise sanitaire, l’interruption immédiate de la plateforme ne serait pas sans conséquences sur la gestion de la crise.
La CNIL va analyser avec attention la position du juge des référés pour l’instruction des demandes d’autorisations de projets de recherche utilisant le Health Data Hub ainsi que pour conseiller les autorités publiques sur la mise en place de garanties pérennes appropriées.
À ce titre, la CNIL accueille favorablement les déclarations du secrétaire d’État au numérique qui a indiqué, le 8 octobre dernier devant le Sénat, la volonté du Gouvernement de transférer le Health Data Hub sur des plateformes françaises ou européennes.