Conseil d'État
N° 495606
ECLI:FR:CECHS:2025:495606.20250625
Inédit au recueil Lebon
10ème chambre
M. Bertrand Dacosta, président
Mme Sophie Delaporte, rapporteure
Mme Esther de Moustier, rapporteure publique
Lecture du mercredi 25 juin 2025
Vu la procédure suivante :
Par une requête sommaire et un mémoire complémentaire, enregistrés les 29 juin et 27 septembre 2024 au secrétariat du contentieux du Conseil d'Etat, la société Clever Cloud, la société Cleyrop et M. A... B... demandent au Conseil d'Etat :
1°) d'annuler pour excès de pouvoir la décision par laquelle le ministre chargé de la santé a renoncé à adopter une nouvelle solution technique permettant de ne pas exposer les données hébergées par la plateforme des données de santé à d'éventuelles divulgations illégales aux autorités des Etats-Unis, dans un délai de deux ans à compter du 19 novembre 2020 ;
2°) d'enjoindre à l'État d'adopter une solution technique permettant de ne pas exposer les données à d'éventuelles divulgations ou, à titre subsidiaire, de prendre toutes mesures utiles aux fins d'en assurer l'adoption, dans un délai de six mois à compter de la décision à intervenir, sous astreinte de 5 000 euros par jour de retard ;
3°) de mettre à la charge de l'État la somme de 10 000 euros au titre de l'article L. 761-1 du code de justice administrative.
Vu les autres pièces du dossier ;
Vu :
- le règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 ;
- la loi n° 78-17 du 6 janvier 1978 ;
- le code de justice administrative ;
Après avoir entendu en séance publique :
- le rapport de Mme Sophie Delaporte, conseillère d'Etat,
- les conclusions de Mme Esther de Moustier, rapporteure publique ;
Considérant ce qui suit :
1. Il ressort des pièces du dossier, d'une part, que le groupement d'intérêt public (GIP) " Plateforme des données de santé " est chargé par la loi de recueillir des bases de données de santé afin de faciliter leur partage et de favoriser, notamment, des projets de recherche dans le domaine de la santé publique, et, d'autre part, que la solution technique d'hébergement retenue par ce GIP (" l'opérateur actuel ") est assurée par la filiale d'une société soumise au droit des Etats-Unis. Par un courrier du 19 novembre 2020, le ministre des solidarités et de la santé a affirmé partager l'objectif, énoncé par la présidente de la Commission nationale de l'informatique et des libertés (CNIL), qu'une nouvelle solution technique soit adoptée dans un délai inférieur à deux ans, afin d'éviter tout risque que les données en cause fassent l'objet de demandes d'accès par les autorités des Etats-Unis, sur le fondement des lois de ce pays. Par un courrier du 15 février 2023 adressé à la présidente de la CNIL, dont l'existence a été révélée aux requérants le 14 mars 2024, le ministre de la santé et de la prévention, constatant l'absence de solution technique alternative à celle proposée par l'opérateur actuel, a proposé que les demandes d'autorisation adressées par le GIP à la CNIL ne portent pas sur l'hébergement de la totalité de la base principale du système national des données de santé (SNDS) mais soient formulées traitement par traitement " sur la base du fonctionnement actuel ". Il ressort ainsi des termes mêmes de ce courrier que le ministre n'a aucunement renoncé à l'adoption d'une nouvelle solution technique alternative mais que, prenant en compte l'état de développement de telles solutions par des acteurs soumis exclusivement au droit français ou de l'Union européenne, il s'est borné, en réponse à une demande d'information, à proposer à la CNIL une solution temporaire concernant les demandes d'autorisation adressées par le GIP. Par suite et contrairement à ce qui est soutenu par les requérants, un tel courrier ne révèle l'existence d'aucune décision du ministre susceptible de faire l'objet d'un recours en excès de pouvoir. Il s'ensuit que la requête de la société Clever Cloud et autres doit être rejetée, y compris leurs conclusions présentées sur le fondement de l'article L. 761-1 du code de justice administrative.
D E C I D E :
--------------
Article 1er : La requête de la société Clever Cloud et autres est rejetée.
Article 2 : La présente décision sera notifiée à la société Clever Cloud, première dénommée, pour l'ensemble des requérants, à la ministre du travail, de la santé, des solidarités et des familles et à la Commission nationale de l'informatique et des libertés.
Délibéré à l'issue de la séance du 6 mai 2025 où siégeaient : M. Bertrand Dacosta, président de chambre, présidant ; M. Olivier Yeznikian, conseiller d'Etat et Mme Sophie Delaporte, conseillère d'Etat-rapporteure.
Rendu le 25 juin 2025.
Le président :
Signé : M. Bertrand Dacosta
La rapporteure :
Signé : Mme Sophie Delaporte
La secrétaire :
Signé : Mme Sylvie Leporcq
N° 495606
ECLI:FR:CECHS:2025:495606.20250625
Inédit au recueil Lebon
10ème chambre
M. Bertrand Dacosta, président
Mme Sophie Delaporte, rapporteure
Mme Esther de Moustier, rapporteure publique
Lecture du mercredi 25 juin 2025
REPUBLIQUE FRANCAISE
AU NOM DU PEUPLE FRANCAIS
AU NOM DU PEUPLE FRANCAIS
Vu la procédure suivante :
Par une requête sommaire et un mémoire complémentaire, enregistrés les 29 juin et 27 septembre 2024 au secrétariat du contentieux du Conseil d'Etat, la société Clever Cloud, la société Cleyrop et M. A... B... demandent au Conseil d'Etat :
1°) d'annuler pour excès de pouvoir la décision par laquelle le ministre chargé de la santé a renoncé à adopter une nouvelle solution technique permettant de ne pas exposer les données hébergées par la plateforme des données de santé à d'éventuelles divulgations illégales aux autorités des Etats-Unis, dans un délai de deux ans à compter du 19 novembre 2020 ;
2°) d'enjoindre à l'État d'adopter une solution technique permettant de ne pas exposer les données à d'éventuelles divulgations ou, à titre subsidiaire, de prendre toutes mesures utiles aux fins d'en assurer l'adoption, dans un délai de six mois à compter de la décision à intervenir, sous astreinte de 5 000 euros par jour de retard ;
3°) de mettre à la charge de l'État la somme de 10 000 euros au titre de l'article L. 761-1 du code de justice administrative.
Vu les autres pièces du dossier ;
Vu :
- le règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 ;
- la loi n° 78-17 du 6 janvier 1978 ;
- le code de justice administrative ;
Après avoir entendu en séance publique :
- le rapport de Mme Sophie Delaporte, conseillère d'Etat,
- les conclusions de Mme Esther de Moustier, rapporteure publique ;
Considérant ce qui suit :
1. Il ressort des pièces du dossier, d'une part, que le groupement d'intérêt public (GIP) " Plateforme des données de santé " est chargé par la loi de recueillir des bases de données de santé afin de faciliter leur partage et de favoriser, notamment, des projets de recherche dans le domaine de la santé publique, et, d'autre part, que la solution technique d'hébergement retenue par ce GIP (" l'opérateur actuel ") est assurée par la filiale d'une société soumise au droit des Etats-Unis. Par un courrier du 19 novembre 2020, le ministre des solidarités et de la santé a affirmé partager l'objectif, énoncé par la présidente de la Commission nationale de l'informatique et des libertés (CNIL), qu'une nouvelle solution technique soit adoptée dans un délai inférieur à deux ans, afin d'éviter tout risque que les données en cause fassent l'objet de demandes d'accès par les autorités des Etats-Unis, sur le fondement des lois de ce pays. Par un courrier du 15 février 2023 adressé à la présidente de la CNIL, dont l'existence a été révélée aux requérants le 14 mars 2024, le ministre de la santé et de la prévention, constatant l'absence de solution technique alternative à celle proposée par l'opérateur actuel, a proposé que les demandes d'autorisation adressées par le GIP à la CNIL ne portent pas sur l'hébergement de la totalité de la base principale du système national des données de santé (SNDS) mais soient formulées traitement par traitement " sur la base du fonctionnement actuel ". Il ressort ainsi des termes mêmes de ce courrier que le ministre n'a aucunement renoncé à l'adoption d'une nouvelle solution technique alternative mais que, prenant en compte l'état de développement de telles solutions par des acteurs soumis exclusivement au droit français ou de l'Union européenne, il s'est borné, en réponse à une demande d'information, à proposer à la CNIL une solution temporaire concernant les demandes d'autorisation adressées par le GIP. Par suite et contrairement à ce qui est soutenu par les requérants, un tel courrier ne révèle l'existence d'aucune décision du ministre susceptible de faire l'objet d'un recours en excès de pouvoir. Il s'ensuit que la requête de la société Clever Cloud et autres doit être rejetée, y compris leurs conclusions présentées sur le fondement de l'article L. 761-1 du code de justice administrative.
D E C I D E :
--------------
Article 1er : La requête de la société Clever Cloud et autres est rejetée.
Article 2 : La présente décision sera notifiée à la société Clever Cloud, première dénommée, pour l'ensemble des requérants, à la ministre du travail, de la santé, des solidarités et des familles et à la Commission nationale de l'informatique et des libertés.
Délibéré à l'issue de la séance du 6 mai 2025 où siégeaient : M. Bertrand Dacosta, président de chambre, présidant ; M. Olivier Yeznikian, conseiller d'Etat et Mme Sophie Delaporte, conseillère d'Etat-rapporteure.
Rendu le 25 juin 2025.
Le président :
Signé : M. Bertrand Dacosta
La rapporteure :
Signé : Mme Sophie Delaporte
La secrétaire :
Signé : Mme Sylvie Leporcq