Base de jurisprudence

Ariane Web: Conseil d'État 456162, lecture du 23 novembre 2022, ECLI:FR:CECHR:2022:456162.20221123
Decision n° 456162
Conseil d'État

N° 456162
ECLI:FR:CECHR:2022:456162.20221123
Inédit au recueil Lebon
10ème - 9ème chambres réunies
Mme Myriam Benlolo Carabot, rapporteur
Mme Esther de Moustier, rapporteur public


Lecture du mercredi 23 novembre 2022
REPUBLIQUE FRANCAISE

AU NOM DU PEUPLE FRANCAIS



Vu la procédure suivante :

Par une requête, un mémoire en réplique et deux nouveaux mémoires, enregistrés le 30 août 2021 et les 23 mai, 14 septembre et 15 septembre 2022 au secrétariat du contentieux du Conseil d'Etat, l'association InterHop demande au Conseil d'Etat :

1°) d'annuler pour excès de pouvoir le décret n° 2021-848 du 29 juin 2021 relatif au traitement de données à caractère personnel dénommé " Système national des données de santé " ;

2°) de mettre à la charge de l'Etat la somme de 4 000 euros au titre de l'article L. 761-1 du code de justice administrative.


Vu les autres pièces du dossier ;

Vu :
- le règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 ;
- le code des juridictions financières ;
- le code de la santé publique ;
- la loi n° 78-17 du 6 janvier 1978 ;
- la loi n° 2016-41 du 26 janvier 2016 ;
- la loi n° 2019-774 du 24 juillet 2019 ;
- le décret n° 2016-1871 du 26 décembre 2016 ;
- le décret n° 2021-848 du 29 juin 2021 ;
- le code de justice administrative ;


Après avoir entendu en séance publique :

- le rapport de Mme Myriam Benlolo Carabot, maître des requêtes en service extraordinaire,

- les conclusions de Mme Esther de Moustier, rapporteure publique ;


Considérant ce qui suit :

1. Il résulte de l'article L. 1461-1 du code de la santé publique, dans sa rédaction issue de la loi n° 2019-774 du 24 juillet 2019 relative à l'organisation et à la transformation du système de santé, que le système national des données de santé (SNDS) rassemble et met à disposition les ensembles de données énumérés au I de cet article, notamment les données des établissements de santé et ceux du système national d'information inter régimes de l'assurance maladie, afin, selon le III de cet article, de contribuer à l'information sur la santé ainsi que sur l'offre de soins, la prise en charge médico-sociale et leur qualité, à la définition, à la mise en oeuvre et à l'évaluation des politiques de santé et de protection sociale, à la connaissance des dépenses de santé, des dépenses d'assurance maladie et des dépenses médico-sociales, à l'information des professionnels, des structures et des établissements de santé ou médico-sociaux sur leur activité, à la surveillance, à la veille et à la sécurité sanitaires ainsi qu'à la recherche, aux études, à l'évaluation et à l'innovation dans les domaines de la santé et de la prise en charge médico-sociale. Selon l'article L. 1462-1 de ce code, le groupement d'intérêt public dénommé " Plateforme des données de santé " est notamment chargé de réunir, organiser et mettre à disposition les données du SNDS. L'article L. 1461-7 du même code renvoie à un décret en Conseil d'Etat, pris après avis de la Commission nationale de l'informatique et des libertés (CNIL), le soin de fixer les modalités d'application des dispositions législatives relatives au SNDS. Tel est l'objet du décret n° 2021-848 du 29 juin 2021 relatif au traitement de données à caractère personnel dénommé " Système national des données de santé ", dont l'association InterHop demande l'annulation pour excès de pouvoir.

Sur la légalité externe du décret attaqué :

2. L'organisme dont une disposition législative ou réglementaire prévoit la consultation avant l'intervention d'un texte doit être mis à même d'exprimer son avis sur l'ensemble des questions soulevées par ce texte. Dans le cas où, après avoir recueilli son avis, l'autorité compétente pour prendre ce texte envisage d'apporter à son projet des modifications qui posent des questions nouvelles, elle doit le consulter à nouveau.

3. Il ressort des pièces du dossier que si la version finale du décret diffère de la version sur laquelle la CNIL s'est prononcée dans sa délibération en date du 29 octobre 2020, elle ne soulevait cependant aucune question nouvelle. Par suite, l'association requérante n'est pas fondée à soutenir que la CNIL aurait dû être consultée de nouveau et que le décret attaqué serait irrégulier en l'absence d'une nouvelle consultation.

Sur la légalité interne du décret attaqué :

4. En vertu du b) du paragraphe 1 de l'article 5 du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (dit RGPD), les données à caractère personnel doivent être collectées pour des finalités déterminées, explicites et légitimes et ne pas être traitées ultérieurement d'une manière incompatible avec ces finalités. Elles doivent en outre, en vertu du principe dit de " minimisation des données " mentionné au c) du même paragraphe, être adéquates, pertinentes et limitées à ce qui est nécessaire au regard des finalités pour lesquelles elles sont traitées. Elles doivent également, selon le f) du même paragraphe, être traitées de façon à garantir une sécurité appropriée des données à caractère personnel.

En ce qui concerne le transfert de données en-dehors de l'Union européenne :

5. En premier lieu, le décret n'a ni pour objet, ni pour effet de confier à un prestataire déterminé, notamment à une société du groupe américain Microsoft, la réalisation de prestations nécessaires au fonctionnement du SNDS. Par suite, l'association requérante ne peut utilement soutenir que le décret serait contraire au RGPD et à la loi du 6 janvier 1978, d'une part, en raison du choix de l'administration de recourir à la société de droit irlandais Microsoft Ireland Operations Limited, filiale de la société américaine Microsoft Corporation, afin d'assurer l'hébergement des données du SNDS et de fournir des logiciels nécessaires au traitement de ces données pour les finalités légalement autorisées, eu égard aux demandes d'accès à certaines données de santé dont la société pourrait faire l'objet par les autorités américaines et, d'autre part, en raison de l'insuffisance alléguée des garanties juridiques et techniques prévues dans les contrats liant la Plateforme des données de santé avec Microsoft Ireland Operations Limited.

6. En second lieu, il résulte des termes des articles 44 à 49 du RGPD qu'un transfert vers un pays tiers à l'Union européenne de données à caractère personnel faisant ou destinées à faire l'objet d'un traitement après ce transfert ne peut en principe avoir lieu qu'au bénéfice d'une décision dite d'adéquation de la Commission européenne, constatant que le pays tiers ou une partie de celui-ci assure un niveau de protection adéquat des données à caractère personnel, ou, en l'absence d'une telle décision, si le responsable du traitement ou son sous-traitant a prévu des garanties appropriées et que les personnes concernées disposent de droits opposables et de voies de droit effectives, conformément à l'article 46 du règlement. A défaut, un transfert ou un ensemble de transferts de données à caractère personnel vers un pays tiers peut intervenir, à titre dérogatoire, dans l'une des " situations particulières " prévues à l'article 49 du RGPD, notamment si le transfert est " nécessaire pour des motifs importants d'intérêt public ". Enfin, lorsqu'aucune dérogation pour situations particulières n'est applicable, le dernier alinéa du paragraphe 1 de l'article 49 du RGPD autorise un transfert non répétitif, ne touchant qu'un nombre limité de personnes concernées, nécessaire aux fins des intérêts légitimes impérieux poursuivis par le responsable du traitement sur lesquels ne prévalent pas les intérêts ou les droits et libertés de la personne concernée, et sous réserve que le responsable du traitement ait évalué toutes les circonstances entourant le transfert de données et ait offert, sur la base de cette évaluation, des garanties appropriées en ce qui concerne la protection des données à caractère personnel.

7. Par son arrêt du 16 juillet 2020, Data Protection Commissioner contre Facebook Ireland Ltd et Maximillian Schrems (C-311/18), la Cour de justice de l'Union européenne a, d'une part, dit pour droit que l'article 46 du RGPD devait être interprété en ce sens que les garanties appropriées, les droits opposables et les voies de droit effectives requis par ces dispositions doivent assurer que les droits des personnes dont les données à caractère personnel sont transférées vers un pays tiers sur le fondement de clauses types de protection des données bénéficient d'un niveau de protection substantiellement équivalent à celui garanti au sein de l'Union européenne par ce règlement, lu à la lumière de la charte des droits fondamentaux de l'Union européenne et, d'autre part, jugé qu'il n'y avait pas lieu, à la suite de l'invalidation de la décision d'adéquation de la Commission européenne pour le transfert de données à caractère personnel entre l'Union européenne et les Etats-Unis, de maintenir les effets de cette décision afin d'éviter la création d'un vide juridique, compte tenu des dérogations pour situations particulières prévues à l'article 49 du RGPD. Il en résulte ainsi que, en l'absence, d'une part, de décision d'adéquation de la Commission européenne prise sur le fondement de l'article 45 du RGPD et, d'autre part, de garanties appropriées, de droits opposables et de voies de droit effectives satisfaisant aux exigences de l'article 46 du même règlement, un transfert de données à caractère personnel reste possible dans les situations particulières mentionnées à l'article 49, notamment pour des motifs importants d'intérêt public.

8. Aux termes du dernier alinéa de l'article R. 1461-1 du code de santé publique, dans sa rédaction issue du décret attaqué : " Les données du SNDS sont hébergées au sein de l'Union européenne. Aucun transfert de données à caractère personnel ne peut être réalisé en dehors de l'Union européenne, sauf dans le cas d'accès ponctuels aux données par des personnes situées en dehors de l'Union européenne, pour une finalité relevant du 1° du I de l'article L. 1461-3 ". Le 1° du I de l'article L. 1461-3 prévoit qu'un accès aux données à caractère personnel du SNDS peut être autorisé pour permettre des traitements contribuant à l'une des finalités mentionnées au III de l'article L. 1461-1 et répondant à un motif d'intérêt public.

9. L'article R. 1461-1 du code de la santé publique n'a pas pour objet, et ne pourrait avoir légalement pour effet, d'autoriser des transferts de données qui dérogeraient aux conditions encadrant le transfert de données à caractère personnel du SNDS vers un pays tiers, fixées par le RGPD. En particulier, dès lors que, ainsi qu'il a été dit au point 6, l'article 49 de ce règlement autorise, à défaut de décision d'adéquation et d'application de l'article 46, le transfert dérogatoire de données à caractère personnel pour des motifs importants d'intérêt public, un accès ponctuel aux données du SNDS par des personnes situées dans un pays n'offrant pas un niveau de protection substantiellement équivalent à celui garanti au sein de l'Union européenne par le RGPD, pour une finalité relevant du 1° du I de l'article L. 1461-3 du code de la santé publique, est légalement possible, sous réserve que le motif d'intérêt public le justifiant soit important. Dans ces conditions, le moyen tiré de ce que le dernier alinéa de l'article R. 1461-1 du code de la santé publique autoriserait des transferts de données à caractère personnel en méconnaissance du RGPD, notamment vers les Etats-Unis, ne peut qu'être écarté.

En ce qui concerne les opérations de pseudonymisation :

10. Selon le 5 de l'article 4 du RGPD, la pseudonymisation consiste à traiter les données à caractère personnel de telle sorte qu'elles ne puissent plus être attribuées à une personne concernée précise sans avoir recours à des informations supplémentaires, pour autant que ces informations supplémentaires soient conservées séparément et soumises à des mesures techniques et organisationnelles afin de garantir que ces données ne sont pas attribuées à une personne physique identifiée ou identifiable.

11. En premier lieu, il résulte des dispositions de l'article L. 1461-4 du code de la santé publique que le SNDS ne contient ni les noms et prénoms des personnes, ni leur numéro d'inscription au répertoire national d'identification des personnes physiques, ni leur adresse. Afin d'assurer le respect de ces dispositions, le I de l'article R. 1461-7 du même code, dans sa rédaction issue du décret attaqué, prévoit que les données à caractère personnel présentes dans le SNDS et celles qui sont mises à disposition des tiers sont rattachées à chaque personne concernée par un pseudonyme. Le II du même article précise que ce pseudonyme est constitué d'un code non signifiant obtenu par un procédé cryptographique irréversible du numéro d'inscription au répertoire national d'identification des personnes physiques. Ce procédé est utilisé pour alimenter le SNDS et pour apparier les données extraites du système national des données de santé et des données relatives à des bénéficiaires de l'assurance maladie figurant dans d'autres systèmes, nul ne pouvant disposer simultanément de l'identité des personnes et du pseudonyme. En outre, l'article L. 1461-2 du même code prévoit que les données du SNDS qui font l'objet d'une mise à la disposition du public sont traitées pour prendre la forme de statistiques agrégées ou de données individuelles constituées de telle sorte que l'identification, directe ou indirecte, des personnes concernées y est impossible.

12. Selon l'article R. 1461-3 du même code, dans sa rédaction résultant du décret attaqué, la Plateforme des données de santé et la Caisse nationale de l'assurance maladie sont les responsables conjoints du SNDS. A ce titre, la seconde est notamment responsable des opérations de pseudonymisation dans le cadre, d'une part, de la constitution des bases composant le SNDS, d'autre part, de l'exercice des droits des personnes concernées, et, enfin, de l'appariement de bases de données avec le SNDS. La Plateforme des données de santé peut quant à elle contribuer à l'enrichissement de la base principale et à la constitution des bases de données du catalogue sans toutefois pouvoir à ce titre disposer de données directement identifiantes. Elle est en outre notamment chargée des opérations de pseudonymisation des données dont elle assure la mise à disposition.

13. Il résulte de l'ensemble des dispositions mentionnées aux points 11 et 12 que les données du SNDS font l'objet, au stade de la constitution des bases composant le système et de l'appariement entre jeux de données, d'une pseudonymisation, le cas échéant par la Caisse nationale de l'assurance maladie, de telle sorte que ce système ne comporte pas de données directement identifiantes, conformément aux exigences de l'article L. 1461-4 du code de la santé publique. En outre, lorsqu'elle met à la disposition de tiers des données individuelles du SNDS, la Plateforme des données de santé procède à une nouvelle pseudonymisation de données qui ont déjà fait l'objet de ce procédé par la Caisse nationale de l'assurance maladie, de telle sorte que l'identification, directe ou indirecte, des personnes concernées soit impossible, comme le prévoit l'article L. 1461-2 du même code. Par suite, contrairement à ce que soutient l'association requérante, le décret attaqué ne permet pas à la Plateforme des données de santé de disposer au sein du SNDS de données directement nominatives. Dans ces conditions, le moyen tiré de ce que, pour ce motif, ce décret méconnaîtrait le RPGD et la loi du 6 janvier 1978 ne peut qu'être écarté.

14. En second lieu, le décret litigieux n'a ni pour objet, ni pour effet de définir les modalités techniques des opérations de pseudonymisation et il n'avait pas, à peine d'illégalité, à procéder à une telle définition. L'association requérante ne peut utilement se prévaloir, à l'appui de son recours contre ce décret, de ce que les opérations de pseudonymisation des données du SNDS seraient, en pratique, effectuées à l'aide de techniques obsolètes.

En ce qui concerne la mise à la disposition de la Plateforme des données de santé d'une copie de la base principale :

15. L'article R. 1461-2 du code de la santé publique, dans sa rédaction issue du décret attaqué, prévoit que le SNDS comprend, d'une part, une base principale couvrant l'ensemble de la population et pouvant contenir les données énumérées aux 1° à 11° de l'article L. 1461-1 du code de la santé publique, dont la consistance est précisée par un arrêté du ministre chargé de la santé, après avis de la CNIL, et, d'autre part, un ensemble de bases de données ne couvrant pas l'ensemble de la population, dénommé " catalogue ". Selon le III de l'article R. 1461-3 du même code, la Plateforme des données de santé est responsable de l'enrichissement de la base principale par des données mentionnées aux 5° à 11° du I de l'article L. 1461-1, de l'appariement des bases de données du catalogue avec la base principale, du stockage et de la mise à disposition des données de la base principale et de l'ensemble des bases de données du catalogue et, enfin, des opérations de pseudonymisation des données dont elle assure la mise à disposition. Le sixième alinéa du même III prévoit que, pour l'accomplissement de ses missions, la Plateforme détient une copie de la base principale détenue par la Caisse nationale de l'assurance maladie.

16. La mise à la disposition de la Plateforme des données de santé d'une copie de la base principale vise notamment à lui permettre de répondre plus efficacement et plus rapidement aux demandes d'accès aux données, notamment pour la réalisation d'appariements à façon entre la base principale et le " catalogue ". Il ressort de l'avis rendu par la CNIL sur le projet de décret litigieux que celle-ci a retenu à cet égard une " nécessité opérationnelle ". Dans ces conditions, l'association requérante n'est, en tout état de cause, pas fondée à soutenir que cette mise à disposition ne serait pas nécessaire et méconnaîtrait le principe de minimisation des données résultant du c) du paragraphe 1 de l'article 5 du RGPD.

En ce qui concerne la sécurité des données :

17. En premier lieu, en vertu du IV de l'article L. 1461-1 du code de la santé publique, " pour le système national des données de santé et pour les traitements utilisant des données à caractère personnel issues de ce système : (...) 3° L'accès aux données s'effectue dans des conditions assurant la confidentialité et l'intégrité des données et la traçabilité des accès et des autres traitements, conformément à un référentiel défini par arrêté des ministres chargés de la santé, de la sécurité sociale et du numérique, pris après avis de la Commission nationale de l'informatique et des libertés ". Il en découle qu'il ne peut être utilement reproché au décret d'avoir renvoyé, au II de l'article R. 1461-7 du même code, à un arrêté des ministres chargés de la santé, de la sécurité sociale et du numérique, après avis de la CNIL, le soin de définir les règles techniques de la gestion sécurisée du système national des données de santé, pour ce qui concerne l'accès aux données. En outre, pour ce qui concerne la sécurité des autres opérations, le décret attaqué a pu légalement se borner à procéder au même renvoi à cet arrêté eu égard, d'une part, à l'encadrement résultant des dispositions législatives et réglementaires applicables au SNDS, notamment les principes auxquels doit obéir la pseudonymisation des données en vertu du II de l'article R. 1461-7, et, d'autre part, à la technicité de ces règles et à la nécessité d'en permettre la mise à jour régulière. Le moyen tiré de ce que le décret serait illégal en ce qu'il ne fixerait pas les règles de sécurisation des postes des utilisateurs susceptibles d'accéder aux données du SNDS ne peut qu'être écarté.

18. En second lieu, la circonstance, à la supposer établie, que ces postes utilisateurs ne seraient pas, en pratique, suffisamment sécurisés est dépourvue d'incidence sur la légalité du décret attaqué.

En ce qui concerne les personnes et services autorisés à accéder aux données :

19. Il résulte du 2° du I et du III de l'article L. 1461-3 du code de la santé publique qu'un accès aux données à caractère personnel du SNDS peut être autorisé s'il est strictement nécessaire à l'accomplissement des missions des services de l'Etat, des établissements publics ou des organismes chargés d'une mission de service public compétents énumérés par voie réglementaire, pour les seuls besoins de leurs missions, et dans les limites et selon les modalités fixées par décret en Conseil d'Etat.

20. L'article R. 1461-12 du même code, dans sa rédaction issue du décret attaqué, fixe la liste de ces services, établissements et organismes, au nombre desquels figurent désormais l'Institut national de statistique et des études économiques, l'Agence centrale des organismes de sécurité sociale, les équipes de recherche du Centre national de la recherche scientifique dans le cadre de projets intéressant la santé publique, les équipes de recherche de l'Institut national de recherche en informatique et en automatique dans le cadre de projets intéressant la santé publique et la Cour des comptes. Les articles R. 1461-11, R. 1461-13 et R. 1461-14 définissent, pour chacun d'eux, les conditions dans lesquelles ils sont autorisés à accéder aux seules données du SNDS issues de la base principale, en prévoyant notamment des limitations tendant à la profondeur historique des données, à l'aire géographique et aux caractéristiques d'une population déterminée, ainsi qu'à la possibilité ou non d'utiliser de manière simultanée dans un même traitement des variables dénommées identifiants potentiels, dont la combinaison accroît le risque de réidentification. En outre, le II de l'article R. 1461-5 du même code dispose : " Les responsables des services de l'Etat, des établissements ou des organismes mentionnés à l'article R. 1461-12 habilitent, sous leur responsabilité au sein de la structure qu'ils dirigent, ou le cas échéant dans le cadre d'un contrat de sous-traitance, des personnes nommément désignées pour accéder aux données du système national des données de santé. / Leur nombre est limité à ce qui est strictement nécessaire pour assurer l'exécution des traitements de données autorisés. Ces personnes doivent avoir été spécialement formées, dans le cadre de leurs fonctions, pour l'accomplissement de leurs missions ". Enfin, aux termes de l'article R. 1461-6 du même code : " Chacun des services de l'Etat, des établissements publics ou des organismes chargés d'une mission de service public mentionnés à l'article R. 1461-12 tient à jour la liste des personnes compétentes en son sein pour délivrer l'habilitation à accéder aux données du SNDS, la liste des personnes habilitées à accéder à ces données, leurs profils d'accès respectifs et les modalités d'attribution, de gestion et de contrôle des habilitations, conformément à un modèle établi par arrêté du ministre chargé de la santé ".

21. Eu égard, d'une part, aux missions dévolues aux services, établissements et organismes mentionnés à l'article R. 1461-12, notamment à celles de la Cour des comptes, qui contribue à l'évaluation des politiques publiques, notamment en matière de santé publique et de sécurité sociale en vertu de l'article L. 111-13 du code des juridictions financières, et, d'autre part, aux limitations prévues par les dispositions mentionnées au point 20 et aux garanties prévues par les dispositions législatives et réglementaires, le moyen tiré de ce que le décret attaqué, notamment en ce qu'il ouvre un droit d'accès à la Cour des comptes, permettrait un accès aux données du SNDS qui ne serait ni nécessaire, ni proportionné, en méconnaissance de l'article 5 du RGPD, doit être écarté.

En ce qui concerne les droits des personnes concernées :

22. En premier lieu, aux termes du II de l'article R. 1461-9 du code de santé publique, dans sa rédaction issue des alinéas 9 à 11 du 10° de l'article premier du décret attaqué, le droit d'opposition, prévu à l'article 21 du RGPD, ne s'applique pas " 1° dans le cadre de la constitution du SNDS, aux données de la base principale mentionnée au I de l'article R. 1461-2 ; / 2° dans le cadre de la mise à disposition des données, aux traitements mis en oeuvre par les services de l'Etat, les établissements et les organismes dont la liste figure à l'article R. 1461-12 dans le cadre de leur accès permanent ". L'association requérante soutient que ces dispositions limitent d'une manière injustifiée et disproportionnée le droit d'opposition des personnes au traitement de leurs données personnelles.

23. L'article 21 du RGPD, auquel renvoie l'article 56 de la loi du 6 janvier 1978, prévoit que le droit d'opposition ne s'applique pas lorsque le traitement répond à une obligation légale ou, dans les conditions prévues à l'article 23 du même règlement, lorsque l'application de ces dispositions a été écartée par une disposition expresse de l'acte instaurant le traitement. L'article 23, paragraphe 1, du RGPD autorise les autorités nationales à limiter la portée du droit d'opposition " lorsqu'une telle limitation respecte l'essence des libertés et droits fondamentaux et qu'elle constitue une mesure nécessaire et proportionnée dans une société démocratique pour garantir : (...) e) d'autres objectifs importants d'intérêt public général de l'Union ou d'un Etat membre, notamment un intérêt économique ou financier important, y compris dans les domaines monétaire, budgétaire et fiscal, de la santé publique et de la sécurité sociale ". Il résulte de ces dispositions que le décret autorisant la mise en oeuvre d'un traitement de données à caractère personnel ou précisant les modalités d'un traitement créé par la loi peut comporter une disposition expresse excluant l'exercice du droit d'opposition dès lors que cette exclusion est nécessaire et, eu égard notamment à la nature des données, aux finalités poursuivies et aux garanties prévues, proportionnée pour atteindre des objectifs importants d'intérêt public, notamment dans le domaine de la santé publique et de la sécurité sociale.

24. D'une part, en excluant l'exercice du droit d'opposition des personnes concernées pour les seules données de la base principale, au stade de la constitution de la SNDS, le décret a entendu garantir la complétude de cette base qui a vocation à couvrir l'ensemble de la population et, ainsi, permettre au SNDS d'atteindre les objectifs importants d'intérêt public énumérés au III de l'article L. 1461-1 du code de la santé publique. Eu égard aux finalités ainsi poursuivies et aux garanties prévues par la loi et le décret, notamment la pseudonymisation des données, et alors que le droit d'opposition n'a pas été écarté pour les données du " catalogue ", cette mesure répond aux exigences de nécessité et de proportionnalité rappelées au point 23.

25. D'autre part, l'exclusion du droit d'opposition pour la mise à disposition des données au profit des services, établissements et organismes mentionnés à l'article R. 1461-12 est nécessaire aux fins d'atteindre les objectifs importants d'intérêt public que ces derniers poursuivent. Cette mesure ne présente pas, eu égard aux garanties rappelées au point 20, un caractère disproportionné. Il suit de là que le moyen tiré d'une limitation disproportionnée et injustifiée au droit d'opposition en méconnaissance de l'article 21 du RGPD doit être écarté.

26. Enfin, si la Plateforme des données de santé figure au nombre des accédants énumérés à l'article R. 1461-12 du code de la santé publique, ces dispositions n'ont ni pour objet, ni pour effet de lui permettre de se soustraire aux obligations que le décret fait peser sur elle en sa qualité de responsable conjoint de traitement pour ce qui concerne le traitement des demandes tendant à l'exercice du droit d'opposition. Le moyen tiré de ce que le 15° de l'article R. 1461-12 méconnaîtrait la loi du 6 janvier 1978 et le RGPD ne peut donc, en tout état de cause, qu'être écarté.

27. En deuxième lieu, l'article 17 du RGPD, auquel renvoie le I de l'article 51 de la loi du 6 janvier 1978, garantit en son paragraphe 1 à la personne concernée le droit d'obtenir du responsable du traitement l'effacement, dans les meilleurs délais, de données à caractère personnel la concernant pour les motifs qu'il énumère, notamment lorsque ces données ne sont plus nécessaires au regard des finalités ayant justifié leur collecte ou leur traitement, lorsque la personne concernée s'est opposée au traitement ou lorsqu'elles ont fait l'objet d'un traitement illicite. Le paragraphe 3 du même article 17 définit les cas dans lesquels le droit d'effacement peut être écarté, notamment, selon son c), quand le traitement est nécessaire pour des motifs d'intérêt public dans le domaine de la santé publique, conformément à l'article 9, paragraphe 2, points h et i, ainsi qu'à l'article 9, paragraphe 3 du RGPD.

28. Le II de l'article R. 1461-9 du code de la santé publique, dans sa rédaction issue de l'alinéa 12 du 10° de l'article premier du décret attaqué, dispose : " Lorsque leurs données relèvent de bases inscrites au catalogue, les personnes concernées peuvent exercer un droit d'effacement, dans les conditions prévues à l'article 17 du RGPD ". Il résulte de ces dispositions que les personnes concernées ont le droit d'obtenir l'effacement des données les concernant des bases inscrites au catalogue dans les cas prévus au paragraphe 1 de l'article 17 du RGPD, sans que les exceptions prévues au paragraphe 3 du même article leur soient opposables. Le moyen tiré de la méconnaissance de l'objectif de valeur constitutionnelle d'intelligibilité de la norme doit donc être écarté, de même, en tout état de cause, que celui qui est tiré de l'ineffectivité du droit d'effacement.

29. En troisième et dernier lieu, la circonstance, à la supposer établie, que les demandes tendant à l'exercice des droits d'opposition et d'effacement ne seraient pas, en pratique, traitées conformément aux règles applicables est sans incidence sur la légalité du décret attaqué.

30. Il résulte de tout ce qui précède que l'association InterHop n'est pas fondée à demander l'annulation pour excès de pouvoir du décret qu'elle attaque. Dès lors, ses conclusions doivent être rejetées, y compris celles présentées au titre de l'article L. 761-1 du code de justice administrative.


D E C I D E :
--------------

Article 1er : La requête de l'association InterHop est rejetée.
Article 2 : La présente décision sera notifiée à l'association InterHop, à la Première ministre, au ministre de la santé et de la prévention et à la Plateforme des données de santé.
Copie en sera adressée à la Commission nationale de l'informatique et des libertés.

Délibéré à l'issue de la séance du 9 novembre 2022 où siégeaient : M. Jacques-Henri Stahl, président adjoint de la section du contentieux, présidant ; M. Bertrand Dacosta, Mme Anne Egerszegi, présidents de chambre ; Mme Nathalie Escaut, M. Nicolas Polge, Mme Rozen Noguellou, conseillers d'Etat et Mme Myriam Benlolo Carabot, maître des requêtes en service extraordinaire-rapporteure.

Rendu le 23 novembre 2022.

Le président :
Signé : M. Jacques-Henri Stahl

La rapporteure :
Signé : Mme Myriam Benlolo Carabot

La secrétaire :
Signé : Mme Claudine Ramalahanoharana