Nouveau round judiciaire pour le Health Data Hub, la plateforme de données de santé des Français : le Conseil d’Etat, la plus haute juridiction administrative, a rejeté un recours en référé qui visait à annuler deux délibérations de la CNIL, le gendarme français qui protège notre vie privée. En jeu : le fait que nos données de santé soient hébergées par la société américaine Microsoft, soumise aux lois extraterritoriales américaines.
Nos données de santé restent pour l’instant chez Microsoft. Dans une décision publiée mardi 29 avril, et initialement annoncée par l’Informé, le Conseil d’État, la plus haute juridiction administrative, a écarté un recours qui visait à annuler, en filigrane, la validation par la CNIL de Microsoft comme hébergeur du « Health Data Hub », la plateforme des données de santé des Français.
À lire aussi : Health Data Hub : tout comprendre à la polémique sur la plateforme de données de santé des Français
Plusieurs organisations, dont la société Clever Cloud et les associations Conseil national du logiciel libre et Open Internet Project, avaient formé un recours en référé et un recours au fond contre les deux délibérations de la CNIL, publiées en mars dernier. Dans ces décisions, le gendarme de nos données personnelles autorisait l’agence européenne du médicament (EMA) à mettre en œuvre des traitements informatiques, pendant trois ans, sur des données de santé de 10 millions de Français – notamment via le « Health Data Hub » qui stocke ces data sensibles sur le cloud de la société américaine Microsoft.
À lire aussi : Nos données de santé toujours chez Microsoft : le gouvernement sommé de trouver « rapidement » un autre hébergeur
L’objectif : mener des études sur l’utilisation de médicaments chez les Français
Mais la CNIL sommait le gouvernement de trouver rapidement un autre hébergeur que le géant américain. Depuis un rapport gouvernemental de janvier 2024 qui préconise de changer de clouder au profit d’une société européenne, aucun appel d’offres n’a été publié. L’autorité indépendante avait profité de ses deux délibérations pour « réitérer ses regrets que la plateforme des données de santé ne dispose toujours pas à ce jour d’un prestataire susceptible de répondre à ses besoins tout en protégeant les données du SNDS (système national des données de santé) contre les accès des autorités publiques d’État tiers » – ici, les autorités américaines.
Concrètement, les deux délibérations de la CNIL publiées en mars dernier donnaient leur feu vert à l’agence du médicament européenne. Cette dernière souhaitait sous-traiter au « Health Data Hub » (HDH) le fait d’extraire « des données pertinentes du système national des données de santé (SNDS), leur pseudonymisation, leur mise au format ” OMOP-CDM ” et leur stockage ». L’objectif de l’opération visait à conduire « des études portant sur l’estimation d’incidence et de prévalence des pathologies et de l’utilisation des médicaments dans la population générale en France », rappelle le Conseil d’État.
Pas d’urgence à agir
Pour que le recours en référé contre ces deux délibérations soit accepté, les organisations devaient prouver une « urgence » à agir. Pour ce faire, ces dernières ont souligné que Microsoft Ireland était une entreprise soumise au droit américain. De quoi constituer un préjudice grave et immédiat en raison du « risque d’accès (aux données) de santé, NDLR), qui concernent dix millions de (Français), par des autorités des États-Unis, dans un contexte d’instabilité juridique qui s’est accentué dans ce pays depuis 2024 », plaidaient ces organisations.
L’argument n’a pas convaincu les juges administratifs. Pour le Conseil d’État, la condition d’urgence n’est pas remplie. Si la plus haute juridiction administrative reconnait que les données des Français puissent « faire l’objet de demandes d’accès par les autorités des États-Unis, par l’intermédiaire de la société mère de l’hébergeur, et que celui-ci ne puisse s’y opposer, ce risque demeure hypothétique en l’état de l’instruction ». D’autre part, Microsoft Ireland dispose bien de la certification française « hébergeur de données de santé », notent les juges. Or ce label implique un « référentiel de sécurité et un audit régulier par un organisme accrédité, des garanties et mesures de sécurité » ainsi que des données « pseudonymisées à plusieurs reprises et non directement identifiantes », relève également le Conseil d’État. Le recours en référé est donc rejeté, mais la procédure au fond suit, elle, son cours – elle sera jugée dans les prochains mois.
Le Conseil d’État a toujours rejeté les recours contre le HDH
Ce n’est pas la première fois que le Conseil d’État se penche sur le « Heatlh Data Hub » et sur le sujet de son hébergeur américain, Microsoft. L’année dernière, un premier recours, qui visait à suspendre en urgence la décision de la CNIL de validation de Microsoft prise en décembre 2023, avait été rejeté en mars 2024. Le second recours, au fond, avait subi le même sort quelques mois plus tard. En 2020, lors de la mise en place du Health Data Hub, les juges administratifs avaient aussi rejeté une procédure similaire.
À lire aussi : Données de santé : le Conseil d’Etat valide Microsoft comme hébergeur de données de santé des Français, même si…
Mais depuis, le contexte international a changé, et le revirement géopolitique américain a remis au goût du jour les velléités de souveraineté numérique du Vieux continent : ces deux éléments pourraient changer les choses, veulent croire les organisations, qui ont saisi le juge administratif en mars dernier. La prochaine décision au fond du Conseil d’État sera donc suivie de très près.
Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.