Décision contentieuse

Health Data Hub et protection de données personnelles : des précautions doivent être prises dans l’attente d’une solution pérenne

Par crainte de possibles transferts de données personnelles vers les États-Unis, des associations et syndicats ont demandé au juge des référés du Conseil d’État de suspendre en urgence la plateforme Health Data Hub. Le juge observe que les données personnelles hébergées aux Pays-Bas dans le cadre d’un contrat avec Microsoft ne peuvent légalement être transférées en dehors de l’Union européenne. Si le risque ne peut être totalement exclu que les services de renseignement américains demandent l’accès à ces données, il ne justifie pas, à très court terme, la suspension de la Plateforme, mais impose de prendre des précautions particulières, sous le contrôle de la CNIL.

La Plateforme des données de santé, organisme public également appelé « Health Data Hub », a été créée fin novembre 2019, pour faciliter le partage des données de santé afin de favoriser la recherche. Certaines de ces données sont notamment utilisées pour les besoins de la gestion de l’urgence sanitaire et de l’amélioration des connaissances sur le virus covid-19. La Plateforme a signé, le 15 avril 2020, un contrat avec une filiale irlandaise de la société américaine Microsoft pour l’hébergement des données et l’utilisation de logiciels nécessaires à leur traitement.

Plusieurs associations, syndicats et requérants individuels ont demandé au juge du référé-liberté du Conseil d’Etat, statuant en urgence, de suspendre le traitement des données liées à l’épidémie de covid-19 sur la Plateforme des données de santé en raison des risques que cette situation comporte au regard du droit au respect de la vie privée, compte tenu de possibles transferts de données vers les Etats-Unis.

Aucune donnée personnelle ne peut être transférée en dehors de l’Union européenne dans le cadre du contrat conclu avec Microsoft

Cette demande s’inscrit dans la suite de l’arrêt « Schrems II » de la Cour de justice de l’Union européenne (CJUE)1, qui a jugé que la protection des données transférées vers les Etats-Unis par le « Privacy Shield » (ou « bouclier de protection des données ») était insuffisante au regard du droit européen.

Le juge des référés du Conseil d’Etat relève que la Plateforme des données de santé et Microsoft se sont engagés, par contrat, à refuser tout transfert de données de santé en dehors de l’Union européenne. Un arrêté ministériel pris le 9 octobre 2020 interdit, en outre, tout transfert de données à caractère personnel dans le cadre de ce contrat.

Le traitement de données par Microsoft sur le territoire de l’Union européenne n’est pas en lui-même une illégalité grave et manifeste

Le juge des référés relève qu’il ne peut être totalement exclu que les autorités américaines, dans le cadre de programmes de surveillance et de renseignement, demandent à Microsoft et à sa filiale irlandaise l’accès à certaines données.

Mais, tout d’abord, la CJUE n’a pas, à ce jour, jugé que le droit européen de la protection des données interdirait de confier le traitement de données, sur le territoire de l’Union européenne, à une société américaine. En outre, une violation du règlement général sur la protection des données (RGPD) demeure dans un tel cas hypothétique, car elle supposerait que Microsoft ne soit pas en mesure de s’opposer à une éventuelle demande des autorités américaines. Les données de santé sont, par ailleurs, pseudonymisées avant leur hébergement et leur traitement par la Plateforme. Enfin, il existe un intérêt public important à permettre la poursuite de l’utilisation des données de santé pour les besoins de l’épidémie de covid-19 grâce aux moyens techniques dont dispose la Plateforme.

En conséquence, le juge des référés du Conseil d’Etat ne relève pas d’illégalité grave et manifeste qui justifierait la suspension immédiate du traitement des données par cette plateforme.

En revanche, face à l’existence d’un risque, et compte tenu du fait que le juge des référés ne peut prononcer que des mesures de très court terme, il demande au Health Data Hub de continuer, sous le contrôle de la CNIL, à travailler avec Microsoft pour renforcer la protection des droits des personnes concernées sur leurs données personnelles. Ces précautions devront être prises dans l’attente d’une solution qui permettra d’éliminer tout risque d’accès aux données personnelles par les autorités américaines, comme annoncé par le secrétaire d’Etat au numérique le jour même de l’audience au Conseil d’État (choix potentiel d’un nouveau sous-traitant, recours à un accord de licence suggéré par la CNIL…). Il rappelle également que les projets recourant au Health Data Hub sont ceux pour lesquels il n’existe pas d’autre solution technique satisfaisante compte tenu de l’urgence de la situation.

1 CJUE, 16 juillet 2020, Data Protection Commissioner c/ Facebook Ireland Ltd, Maximillian Schrems, affaire C‑311/18 (communiqué de presse n° 91/20).




> Lire la décision en référé