Après un premier échec en mars, le Conseil d’État vient opposer une nouvelle fin de non recevoir aux opposants au projet EMC2.
Il s’agit d’un entrepôt de données de santé mis en place par le Health Data Hub pour centraliser les données de plusieurs établissements de santé à des fins de recherche.
Guérilla en droit administratif
Parmi les opposants à ce projet, on retrouve la société Clever Cloud, l’association Internet Society France mais aussi d’autres organisations venues soutenir la plainte initiale, parmi lesquelles le Conseil National du Logiciel Libre ou encore les Licornes célestes, nouvelle association créée par Benjamin Bayart, ancien dirigeant de FFDN et fondateur de la Quadrature du Net.
Les requérants attaquaient une décision de la CNIL datée de décembre 2023. La Commission autorisait alors le Health Data Hub à mettre en place son entrepôt de données de santé EMC2.
Les plaignants reprochaient plusieurs aspects de cette décision devant le conseil d’État, notamment liées au fait que l’hébergeur de cet entrepôt de données était la société américaine Microsoft, une société ne disposant pas de la qualification SecNumCloud de l’Anssi et ouvrant potentiellement la voie à un transfert des données aux États Unis, du fait des lois extraterritoriales américaines.
Le Conseil d’État estime les garanties suffisantes
Face à cet argument, le Conseil d’État rappelle que les données de santé hébergées au sein de l’entrepôt « font l’objet de pseudonymisations multiples, par la Caisse nationale d’assurance maladie ainsi que par le GIP PDS, avant toute mise à disposition au sein de l’entrepôt » EMC2 « . En outre, le Conseil d’État estime que la décision de la CNIL n’autorise pas le transfert de données personnelles de santé vers un État tiers, mais simplement d’autoriser la création d’un entrepôt de données basé en France.
Le Conseil d’État rappelle que si Microsoft ne dispose pas de qualification SecNumCloud, il bénéficie d’une certification HDS pour l’hébergement des données de santé. Et la décision estime ainsi que les seules données susceptibles d’être transférées vers les États Unis sont des données techniques d’administration de la plateforme.
En conclusion, le Conseil d’État rejette donc les requêtes des plaignants, sans espoir de recours étant donné que le Conseil d’État est la plus haute autorité en matière de droit administratif.
Pas le seul entrepôt de données de santé
Le collectif d’associations et d’organisations à l’origine de la procédure avait déjà essuyé un premier échec au mois de mars 2024 devant le juge des référés du Conseil d’État, celui-ci ayant estimé que l’atteinte au droits des citoyens ne présentait pas la condition d’urgence nécessaire à une décision du juge des référés.
La CNIL avait donné en fin d’année 2023 son feu vert pour ce projet d’entrepôt de données de santé pour une période de trois ans. Mais si l’entrepôt EMC2 concentre les critiques, ce n’est pas le seul projet de ce type à avoir vu le jour sur le territoire français : la Commission a publié mercredi une cartographie des entrepôts de données de santé installés en France. Celle-ci compte en 2024 une centaine d’installations de ce type, opérées par des acteurs publics ou privés et obéissant à des réglementations différentes selon leur mode de fonctionnement.
Guide d’achat
Voici les meilleurs modèles d’IA libres et gratuits pour le texte, les images et l’audio, classés par type, par application et par licence.
Guide d’achat
J’ai testé le nouvel outil gratuit d’analyse de données de Claude. Malheureusement, il se plante même sur de petits dataset. Et la version payante n’est guère meilleure.
Guide d’achat
Outre sa sonorité exceptionnelle, ce casque, équipé de capteurs d’ondes cérébrales, mesure l’attention et la concentration. Voici le résultat après l’avoir utilisé pendant deux semaines au travail.
Guide d’achat
Le portable / tablette de Microsoft, équipé du Snapdragon X Elite, démarre sa carrière sur les chapeaux de roue. C’est un outil de travail fantastique, dotée d’un écran bon OLED, et de performances élevées.