Le Conseil d’État a rejeté la demande de suspension de la plateforme « Health Data Hub « , dont l’hébergement a été confié à Microsoft. Dans son ordonnance du 13 octobre, le Conseil d’État affirme cependant qu’aucune donnée de santé ne peut être transférée en dehors de l’Union européenne dans le cadre du contrat conclu avec Microsoft et demande des garanties supplémentaires.


 

Actée par la loi Santé du 24 juillet 2019 pour remplacer l’actuel Système national des données de santé (SNDS), la création du Health Data Hub a été entérinée en avril dernier pour répondre aux besoins de la crise sanitaire.

La Plateforme de centralisation des données de santé, organisme public également appelé « Health Data Hub », a été créée fin novembre 2019 afin de faciliter le partage des données de santé pour la recherche. Au nom de l’état d’urgence, le gouvernement français a accéléré sa mise en place. Nous pouvons citer des mesures comme l’arrêté du 21 avril qui autorise le « Health Data Hub« , ainsi que la Caisse nationale de l’assurance-maladie (Cnam), à collecter, « aux seules fins de faciliter l’utilisation des données de santé pour les besoins de la gestion de l’urgence sanitaire et de l’amélioration des connaissances sur le virus Covid-19 », un nombre considérable de données.

L’hébergement ayant été confié au géant américain Microsoft, plusieurs organisations et associations, inquiètes de voir ces données sensibles placées entre les mains d’intérêts privés et soumises aux lois américaines (telles que le Cloud Act1), ont saisi le Conseil d’État pour demander la suspension du « Health Data Hub« . Pour justifier la procédure, elles se sont appuyées sur l’arrêt de la Cour de justice de l’Union européenne (CJUE) du 16 juillet 2020, dit « Schrems II », qui déduit que les transferts de données personnelles depuis l’Union européenne vers les États-Unis sont contraires au règlement général sur la protection des données (RGPD) et à la Charte des droits fondamentaux de l’Union européenne.

Dans un jugement rendu le 13 octobre, le juge des référés a cependant refusé de suspendre la plateforme, estimant que le « Health Data Hub » est utile à la gestion de la crise sanitaire. Si la plateforme et Microsoft se sont engagés à refuser tout transfert de données de santé en dehors de l’Union européenne, le juge des référés estime qu’on ne peut totalement exclure que les autorités et renseignements américains demandent à Microsoft et à sa filiale irlandaise l’accès à certaines données.

D’autres solutions que Microsoft sont-elles possibles ?

Le Conseil d’État a donc demandé au « Health Data Hub » « de continuer, sous le contrôle de la Cnil, à travailler avec Microsoft pour renforcer la protection des droits des personnes concernées sur leurs données personnelles ». De son côté, la Cnil estime que « le choix d’un hébergeur soumis au droit américain semble incompatible avec les exigences de la Cour de justice de l’Union européenne en matière de protection de la vie privée ».

Dans une tribune publiée dans Le Monde du 10 décembre 2019, un collectif de chercheurs, médecins hospitaliers et ingénieurs alertaient sur les dangers de confier des données aussi sensibles à un opérateur privé et proposaient des alternatives : « L’Organisation européenne pour la recherche nucléaire (CERN) a récemment lancé le projet Malt, pour Microsoft Alternatives, visant à remplacer un maximum de logiciels commerciaux par des logiciels libres. Nous pourrions suivre cet exemple et promouvoir des “clouds” autogérés. » Cette proposition favorable à la démocratie n’a pas été retenue par le gouvernement français

L’autre objet de crispation concerne l’attribution du marché. Le ministère de la Santé n’a pas procédé à un appel d’offres classique, au niveau européen, pour passer le marché avec Microsoft. Un nouvel appel d’offres devrait être lancé prochainement.

Notes:

  1. Le Clarifying Lawful Overseas Use of Data Act ou CLOUD Act est une loi fédérale des États-Unis adoptée en 2018 sur l’accès aux données de communication, notamment opérées dans le Cloud.