Décision

Conseil d'État, 19 juin 2020, Plateforme Health Data Hub

CONSEIL D'ETAT
statuant
au contentieux

 

N° 440916


ASSOCIATION LE CONSEIL NATIONAL DU LOGICIEL LIBRE
et autres

 

RÉPUBLIQUE FRANÇAISE

AU NOM DU PEUPLE FRANÇAIS
 

Ordonnance du 19 juin 2020
LE JUGE DES RÉFÉRÉS

 

Vu la procédure suivante :

Par une requête, deux nouveaux mémoires et deux mémoires en réplique, enregistrés les 28 mai, 29 mai, 10 juin et 11 juin 2020 au secrétariat du contentieux du Conseil d'Etat, l'association le Conseil national du logiciel libre, l'association Ploss Rhônes-Alpes, l'association SoLibre, la société Nexedi, M. Adrien Parrot, M. Antoine Lamer, M. Nicolas Paris, Mme Marie Citrini, M. Benoît Blaes, le Syndicat national des journalistes, le Syndicat de la médecine générale, l'Union française pour une médecine libre, M. Bernard Fallery, M. Didier Sicard, l'Union générale des ingénieurs, cadres et techniciens CGT, l'Union fédérale médecins, ingénieurs, cadres, techniciens CGT santé et action sociale, Mme Pauline Londeix et M. Jérôme Martin demandent au juge des référés du Conseil d'Etat, sur le fondement de l'article L. 521-2 du code de justice administrative d'ordonner toutes mesures utiles afin de faire cesser les atteintes graves et manifestement illégales portées au droit au respect de la vie privée et au droit à la protection des données, notamment en enjoignant au ministre des solidarités et de la santé d'en suspendre l'exécution, par l'arrêté de ce ministre du 21 avril 2020 complétant l'arrêté du 23 mars 2020 prescrivant les mesures d'organisation et de fonctionnement du système de santé nécessaires pour faire face à l'épidémie de covid-19 dans le cadre de l'état d'urgence sanitaire, en ce qu'il confie la collecte et le traitement de données de santé à la plateforme « Health Data Hub ».

Ils soutiennent que :
-    la condition d'urgence est remplie eu égard à la situation d'état d'urgence sanitaire, à la portée de la mesure critiquée, permettant une collecte extrêmement large de données sensibles, de façon irréversible, et aux réserves émises par la Commission nationale de l'informatique et des libertés dans son avis sur le projet d'arrêté ;
-    sont en cause le droit au respect de la vie privée et le droit à la protection des données personnelles ;
 

-    l'arrêté critiqué porte une atteinte grave et manifestement illégale à ces libertés en raison de l'absence de conformité aux exigences relatives au traitement des données, concernant l'anonymisation des données, les droits des personnes, l'indépendance de la gouvernance de la plateforme et de sécurisation de l'accès des sous-traitants, de l'absence de conformité aux exigences d'hébergement des données de santé résultant de l'article L. 1111-8 du code de la santé publique et de l'absence de garantie contre un possible transfert des données dans des Etats tiers tels que les Etats-Unis du fait du choix de la société Microsoft, au terme d'une procédure non transparente ;
-    les mesures prévues ne sont ni nécessaires, ni proportionnées, ni adaptées.

Par un mémoire en défense, enregistré le 7 juin 2020, le ministre des solidarités et de la santé conclut au rejet de la requête. Il soutient qu'il n'est porté aucune atteinte grave et manifestement illégale au droit au respect à la vie privée et au droit à la protection des données personnelles.

La requête a été communiquée au Premier ministre, qui n'a pas produit
d'observations.

 

Après avoir convoqué à une audience publique, d'une part, le Conseil national du logiciel libre et les autres requérants et, d'autre part, le ministre des solidarités et de la santé, le Premier ministre, la Plateforme des données de santé et la Caisse nationale de l'assurance maladie ;

Ont été entendus lors de l'audience publique du 11 juin 2020, à 11 heures :

-    les représentants du Conseil national du logiciel libre et des autres requérants ;

-    les représentants du ministre des solidarités et de la santé et de la Plateforme des données de santé ;

à l'issue de cette audience, le juge des référés a reporté la clôture de l'instruction en dernier lieu au 16 juin 2020 à 16 heures ;

Vu les nouveaux mémoires et les nouvelles pièces, enregistrés les 12, 13, 15 et 16 juin 2020, présentés par le ministre des solidarités et de la santé et la Plateforme des données de santé, qui tendent aux mêmes fins que leur précédent mémoire ;

Vu le nouveau mémoire, enregistré le 16 juin 2020, présenté par le Conseil national du logiciel libre et les autres requérants, qui conclut aux mêmes fins que la requête ;

Vu les autres pièces du dossier ;

 

 


 
Vu :
-    la Constitution ;
-    la convention européenne de sauvegarde des droits de l'homme et des libertés fondamentales ;
-    la Charte des droits fondamentaux de l'Union européenne ;
-    le règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données ;
-    le code de la santé publique ;
-    la loi n° 78-17 du 6 janvier 1978 ;
-    la loi n° 2020-290 du 23 mars 2020 ;
-    le décret n° 2020-548 du 11 mai 2020 ;
-    le code de justice administrative ;


Considérant ce qui suit :

1.    Aux termes de l'article L. 511-1 du code de justice administrative : « Le juge des référés statue par des mesures qui présentent un caractère provisoire. Il n'est pas saisi du principal et se prononce dans les meilleurs délais ». Aux termes de l'article L. 521-2 du même code : « Saisi d'une demande en ce sens justifiée par l'urgence, le juge des référés peut ordonner toutes mesures nécessaires à la sauvegarde d'une liberté fondamentale à laquelle une personne morale de droit public ou un organisme de droit privé chargé de la gestion d'un service public aurait porté, dans l'exercice d'un de ses pouvoirs, une atteinte grave et manifestement illégale. Le juge des référés se prononce dans un délai de quarante-huit heures ».

 Sur l'office du juge des référés :

2.    Il résulte de la combinaison des dispositions des articles L. 511-1 et L. 521-2 du code de justice administrative qu'il appartient au juge des référés, lorsqu'il est saisi sur le fondement de l'article L. 521-2 et qu'il constate une atteinte grave et manifestement illégale portée par une personne morale de droit public à une liberté fondamentale, résultant de l'action ou de la carence de cette personne publique, de prescrire les mesures qui sont de nature à faire disparaître les effets de cette atteinte, dès lors qu'existe une situation d'urgence caractérisée justifiant le prononcé de mesures de sauvegarde à très bref délai et qu'il est possible de prendre utilement de telles mesures. Celles-ci doivent, en principe, présenter un caractère provisoire, sauf lorsque aucune mesure de cette nature n'est susceptible de sauvegarder l'exercice effectif de la liberté fondamentale à laquelle il est porté atteinte. Le caractère manifestement illégal de l'atteinte doit s'apprécier notamment en tenant compte des moyens dont dispose l'autorité administrative compétente et des mesures qu'elle a déjà prises.

3.    Le droit au respect de la vie privée, qui comprend le droit à la protection des données personnelles, constitue une liberté fondamentale au sens des dispositions de l'article
L. 521-2 du code de justice administrative.

 Sur les circonstances et le cadre juridique du litige :

4.    L'émergence d'un nouveau coronavirus, responsable de la maladie à coronavirus 2019 ou covid-19 et particulièrement contagieux, a été qualifiée d'urgence de santé publique de portée internationale par l'Organisation mondiale de la santé le 30 janvier 2020, puis de pandémie le 11 mars 2020. La propagation du virus sur le territoire français a conduit le ministre des solidarités et de la santé puis le Premier ministre à prendre, à compter du 4 mars 2020, des mesures de plus en plus strictes destinées à réduire les risques de contagion. Le législateur, par l'article 4 de la loi du 23 mars 2020 d'urgence pour faire face à l'épidémie de covid-19, a déclaré
 

l'état d'urgence sanitaire pour une durée de deux mois à compter du 24 mars 2020, puis, par l'article 1er de la loi du 11 mai 2020 prorogeant l'état d'urgence sanitaire et complétant ses dispositions, a prorogé cet état d'urgence sanitaire jusqu'au 10 juillet 2020 inclus. Au vu de l'évolution de la situation sanitaire, de nouvelles mesures générales ont été adoptées par un décret du 11 mai 2020, puis par un décret du 31 mai 2020, pour assouplir progressivement les sujétions imposées afin de faire face à l'épidémie.

5.    Aux termes de l'article L. 3131-16 du code de la santé publique, applicable du 24 mars au 10 juillet 2020 par l'effet des lois des 23 mars et 11 mai 2020 : « Dans les circonscriptions territoriales où l'état d'urgence sanitaire est déclaré, le ministre chargé de la santé peut prescrire, par arrêté motivé, toute mesure réglementaire relative à l'organisation et au fonctionnement du dispositif de santé, à l'exception des mesures prévues à l'article L. 3131-15, visant à mettre fin à la catastrophe sanitaire mentionnée à l'article L. 3131-12. / (.) / Les mesures prescrites en application du présent article sont strictement nécessaires et proportionnées aux risques sanitaires encourus et appropriées aux circonstances de temps et de lieu. Il y est mis fin sans délai lorsqu'elles ne sont plus nécessaires ».

6.    L'article L. 1461-1 du code de la santé publique, dans sa rédaction issue de la loi du 24 juillet 2019 relative à l'organisation et à la transformation du système de santé, dispose que : « Le système national des données de santé rassemble et met à disposition : / 1° Les données issues des systèmes d'information mentionnés à l'article L. 6113-7 du présent code ; / 2° Les données du système national d'information interrégimes de l'assurance maladie mentionné à l'article L. 161-28-1 du code de la sécurité sociale ; / 3° Les données sur les causes de décès mentionnées à l'article L. 2223-42 du code général des collectivités territoriales ; / 4° Les données médico-sociales du système d'information mentionné à l'article L. 247-2 du code de l'action sociale et des familles ; / 5° Un échantillon représentatif des données de remboursement par bénéficiaire transmises par des organismes d'assurance maladie complémentaire et défini en concertation avec leurs représentants ; / 6° Les données destinées aux professionnels et organismes de santé recueillies à l'occasion des activités mentionnées au I de l'article L. 1111-8 du présent code donnant lieu à la prise en charge des frais de santé en matière de maladie ou de maternité mentionnée à l'article L. 160-1 du code de la sécurité sociale et à la prise en charge des prestations mentionnées à l'article L. 431-1 du même code en matière d'accidents du travail et de maladies professionnelles ; / 7° Les données relatives à la perte d'autonomie, évaluée à l'aide de la grille mentionnée à l'article L. 232-2 du code de l'action sociale et des familles, lorsque ces données sont appariées avec les données mentionnées aux 1° à 6° du présent I ; / 8° Les données à caractère personnel des enquêtes dans le domaine de la santé, lorsque ces données sont appariées avec des données mentionnées aux 1° à 6° ; / 9° Les données recueillies lors des visites médicales et de dépistage obligatoires prévues à l'article L. 541-1 du code de l'éducation ; / 10° Les données recueillies par les services de protection maternelle et infantile dans le cadre de leurs missions définies à l'article L. 2111-1 du présent code ; / 11° Les données de santé recueillies lors des visites d'information et de prévention, telles que définies à l'article L. 4624-1 du code du travail ». Aux termes de l'article L. 1462-1 du même code, dans sa rédaction issue de la loi du 24 juillet 2019 : « Un groupement d'intérêt public, dénommé " Plateforme des données de santé ", est constitué entre l'Etat, des organismes assurant une représentation des malades et des usagers du système de santé, des producteurs de données de santé et des utilisateurs publics et privés de données de santé, y compris des organismes de recherche en santé. / Il est notamment chargé : / 1° De réunir, organiser et mettre à disposition les données du système national des données de santé mentionné à l'article L. 1461-1 et de promouvoir l'innovation dans l'utilisation des données de santé (.) ». L'avenant à la convention constitutive du groupement d'intérêt public « Institut national des donnés de santé » portant création du groupement d'intérêt public « Plateforme des données de santé » ou « Health Data Hub » a été approuvé le 29 novembre 2019 par un arrêté de
 

la ministre des armées, de la ministre des solidarités et de la santé, du ministre de l'économie et des finances, de la ministre du travail, du ministre de l'éducation nationale et de la jeunesse, du ministre de l'action et des comptes publics, de la ministre de l'enseignement supérieur, de la recherche et de l'innovation et du ministre de l'agriculture et de l'alimentation.

 Sur l'objet de la demande :

7.    Par un arrêté du 21 avril 2020 complétant l'arrêté du 23 mars 2020 prescrivant les mesures d'organisation et de fonctionnement du système de santé nécessaires pour faire face à l'épidémie de covid-19 dans le cadre de l'état d'urgence sanitaire, pris sur le fondement de l'article
L. 3131-16 du code de la santé publique, le ministre des solidarités et de la santé a autorisé le groupement d'intérêt public « Plateforme des données de santé » mentionné à l'article L. 1462-1 du même code et la Caisse nationale de l'assurance maladie, aux seules fins de faciliter l'utilisation des données de santé pour les besoins de la gestion de l'urgence sanitaire et de l'amélioration des connaissances sur la covid-19, à recevoir les catégories de données à caractère personnel suivantes : les données issues du système national des données de santé mentionné à l'article
L. 1461-1 du code de la santé publique, des données de pharmacie, des données de prise en charge en ville telles que des diagnostics ou des données déclaratives de symptômes issues d'applications mobiles de santé et d'outils de télésuivi, télésurveillance ou télémédecine, des résultats d'examens biologiques réalisés par les laboratoires hospitaliers et les laboratoires de biologie médicale de ville, des données relatives aux urgences collectées par l'Agence nationale de santé publique dans le cadre du réseau de surveillance coordonnée des urgences, des données relatives aux appels recueillis au niveau des services d'aide médicale urgente et des services concourant à l'aide médicale urgente, des données relatives à l'activité et à la consommation de soins dans les établissements ou services médico-sociaux, notamment dans les établissements d'hébergement pour personnes âgées dépendantes, des enquêtes réalisées auprès des personnes pour évaluer leur vécu, des données non directement identifiantes issues du système d'identification unique des victimes, des données cliniques telles que d'imagerie, de pharmacie, de biologie, de virologie, de comptes rendus médicaux de cohortes de patients pris en charge dans des centres de santé en vue de leur agrégation.

8.    Cet arrêté prévoit que la Plateforme des données de santé et la Caisse nationale de l'assurance maladie ne peuvent collecter que les données nécessaires à la poursuite d'une finalité d'intérêt public en lien avec l'épidémie actuelle de covid-19. Elles sont autorisées à croiser ces données. Elles sont responsables du stockage et de la mise à disposition des données, la Caisse nationale de l'assurance maladie étant responsable des opérations de pseudonymisation dans le cadre du croisement des données et pouvant traiter le numéro d'inscription au répertoire national d'identification des personnes physiques à cette fin. Seuls des responsables de traitement autorisés par la Commission nationale de l'informatique et des libertés, l'Etat, la Caisse nationale de l'assurance maladie et certains organismes ou les services chargés d'une mission de service public peuvent traiter les données ainsi rassemblées par le groupement d'intérêt public. Les données ne peuvent être traitées que pour des projets poursuivant une finalité d'intérêt public en lien avec l'actuelle épidémie de covid-19 et pour la durée de l'état d'urgence sanitaire. Elles ne peuvent être traitées que sur la plateforme technologique de la Plateforme des données de santé et sur la plateforme de la Caisse nationale de l'assurance maladie, et ne peuvent pas en être extraites. Au sein de ces plateformes, les données ne peuvent contenir ni les noms et prénoms des personnes, ni leur numéro d'inscription au répertoire national d'identification des personnes physiques, ni leur adresse. La Plateforme des données de santé établit et met à disposition sur son site internet un répertoire public qui recense la liste et les caractéristiques de tous les projets portant sur ces données. En vertu de l'article 1er de l'arrêté du 23 mars 2020, ces dispositions sont applicables jusqu'à la fin de l'état d'urgence sanitaire, soit jusqu'au 10 juillet 2020.
 

9.    Ces dispositions ont été prises avant qu'un décret en Conseil d'Etat, prévu par l'article L. 1461-7 du code de la santé publique, adapte les dispositions réglementaires existantes aux modifications apportées au système national des données de santé par la loi du 24 juillet 2019, qui a notamment élargi les données rassemblées par ce système à celles mentionnées aux 6° à 10° de l'article L. 1461-1 du code de la santé publique et substitué la Plateforme des données de santé à l'Institut national des données de santé, en lui confiant la mission de réunir, organiser et mettre à disposition l'ensemble de ces données. Il résulte de l'instruction que les dispositions de l'arrêté du 21 avril 2020 visent ainsi à accélérer la « mise en production » de la Plateforme des données de santé pour faciliter l'accès d'équipes de recherche aux données utiles à la lutte contre l'épidémie de covid-19, ses possibles résurgences et l'atténuation de ses conséquences. Il est prévu d'héberger sur la plateforme, en recourant aux solutions techniques proposées par la société Microsoft avec laquelle un contrat de sous-traitance a été conclu dans ce but à la fin de l'année 2019, les bases de données de santé utiles à la conduite des projets autorisés, en vue de leur mise à disposition des porteurs de ces projets puis, le cas échéant, d'autres projets qui pourraient être ultérieurement autorisés. A ce jour, un projet est en cours, conduit par la direction de la recherche, des études, de l'évaluation et des statistiques du ministère des solidarités et de la santé, exploitant les données de passages aux urgences pour l'analyse du recours aux soins et le suivi de la crise sanitaire liée au covid-19, qui a conduit à l'hébergement sur la plateforme d'une copie de la base « Organisation de la surveillance coordonnée des urgences » de Santé publique France. Sept autres projets sont en cours d'autorisation et cinq en préparation, qui visent à comprendre la maladie, notamment pour identifier les facteurs de risque, valider des critères de diagnostic et apprécier l'efficacité de certains traitements ou de certaines prises en charge, à modéliser la propagation de l'épidémie et à analyser les conséquences de la crise sanitaire, en particulier pour les patients atteints d'autres pathologies.

10.    En outre, l'arrêté du 21 avril 2020 prévoit que les établissements de santé publics et privés ayant une activité en médecine, chirurgie, obstétrique et odontologie transmettent, selon une périodicité hebdomadaire, les données du programme de médicalisation des systèmes d'information, à savoir les fichiers de résumés de séjour, les fichiers de résumés standardisés de facturation, les fichiers de résumés anonymes et les résumés de parcours patient anonymisés, directement à l'Agence technique de l'information sur l'hospitalisation, qui traite les données et transmet sans délai à la Caisse nationale de l'assurance maladie les données ayant vocation à alimenter le système national des données de santé. Ces données peuvent être traitées pour des finalités de veille et de vigilance sanitaires ainsi que de recherche.

 Sur l'urgence :

11.    Compte tenu de la sensibilité particulière des données à caractère personnel de nature médicale, de l'importance des données susceptibles d'être traitées et du contexte particulier d'urgence dans lequel la Plateforme des données de santé est « mise en production », la condition d'urgence prévue par l'article L. 521-2 du code de justice administrative doit en l'espèce être regardée comme remplie.

 Sur le respect du principe de minimisation des données :

12.    Aux termes de l'article 5 du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE, ou règlement général sur la protection des données : « 1. Les données à caractère personnel doivent être : a) traitées de manière licite, loyale et transparente au regard de la personne concernée (licéité, loyauté, transparence) ; / b) collectées pour des
 

finalités déterminées, explicites et légitimes, et ne pas être traitées ultérieurement d'une manière incompatible avec ces finalités ; le traitement ultérieur (.) à des fins de recherche scientifique (.) n'est pas considéré, conformément à l'article 89, paragraphe 1, comme incompatible avec les finalités initiales (limitation des finalités) ; / c) adéquates, pertinentes et limitées à ce qui est nécessaire au regard des finalités pour lesquelles elles sont traitées (minimisation des données) (.) ».

13.    En premier lieu, il résulte de ce qui a été dit ci-dessus que l'arrêté du 21 avril 2020 permet à la Plateforme des données de santé et la Caisse nationale de l'assurance maladie de recevoir les catégories de données de santé qu'il énumère, dans l'attente de l'entrée en vigueur des dispositions issues de la loi du 24 juillet 2019, aux seules fins de faciliter leur utilisation pour les besoins de la gestion de l'urgence sanitaire et de l'amélioration des connaissances sur le covid-19, en vue de projets poursuivant une finalité d'intérêt public en lien avec l'épidémie et pour la durée de l'état d'urgence sanitaire.

14.    A la date de la présente décision, il n'est pas sérieusement contesté que la conduite du projet consistant dans l'exploitation des données de passages aux urgences pour l'analyse du recours aux soins et le suivi de la crise sanitaire liée au covid-19, par recours aux moyens techniques de la Plateforme des données de santé qui a permis la mise à disposition de premières données à partir d'avril 2020, reste nécessaire et proportionnée aux risques sanitaires encourus.

15.    En outre, seuls pourront être légalement menés les projets poursuivant une finalité d'intérêt public en lien avec l'épidémie pour lesquels le recours à la Plateforme des données de santé pour traiter des données rassemblées en vertu de l'arrêté du 21 avril 2020, avant même l'entrée en vigueur des dispositions issues de la loi du 24 juillet 2019, pourra être regardé comme une mesure nécessaire et proportionnée aux risques sanitaires encourus et appropriée aux circonstances de temps et de lieu, compte tenu, tout à la fois, de l'urgence s'attachant à la conduite du projet et de l'absence de solution technique alternative satisfaisante permettant d'y procéder dans les délais utiles. Ces projets doivent, le cas échéant, recevoir l'autorisation de la Commission nationale de l'informatique et des libertés, après avis du comité éthique et scientifique pour les recherches, les études et les évaluations dans le domaine de la santé, conformément aux articles 66 et 76 de la loi du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés. Seules pourront être hébergées par la plateforme les données nécessaires à la conduite de ces projets, lesquelles ne pourront être traitées que pour la durée de l'état d'urgence sanitaire et devront être détruites si, au terme de celui-ci, la poursuite des traitements n'a plus de base légale.

16.    En second lieu, s'agissant des informations du programme de médicalisation des systèmes d'information, les requérants invoquent un message du ministère des solidarités et de la santé du 21 mai 2020 invitant les établissements de santé à élargir cette procédure de transmission accélérée aux données concernant les patients atteints d'autres pathologies que la covid-19. Toutefois, l'obligation de transmettre ces données, quelle que soit la pathologie du patient, à l'Agence technique de l'information sur l'hospitalisation et à la Caisse nationale de l'assurance maladie résulte des dispositions de l'article L. 6113-8 du code de la santé publique. L'arrêté du 21 avril 2020, dont le message du 21 mai 2020 fait une correcte interprétation, se borne à alléger la procédure de transmission et à en renforcer le rythme par rapport aux prévisions de l'arrêté du 23 décembre 2016 relatif au recueil et au traitement des données d'activité médicale et des données de facturation correspondantes, produites par les établissements de santé publics ou privés ayant une activité en médecine, chirurgie, obstétrique et odontologie, et à la transmission d'informations issues de ce traitement dans les conditions définies à l'article L. 6113-8 du code de la santé publique.
 

 Sur le respect des exigences en matière d'hébergement de données de santé :

17.    Aux termes de l'article L. 1111-8 du code de la santé publique : « I.- Toute personne qui héberge des données de santé à caractère personnel recueillies à l'occasion d'activités de prévention, de diagnostic, de soins ou de suivi social et médico-social, pour le compte de personnes physiques ou morales à l'origine de la production ou du recueil de ces données ou pour le compte du patient lui-même, réalise cet hébergement dans les conditions prévues au présent article. / (.) / II.- L'hébergeur de données mentionnées au premier alinéa du I sur support numérique est titulaire d'un certificat de conformité. (.) / Ce certificat est délivré par des organismes de certification accrédités par l'instance française d'accréditation ou l'instance nationale d'accréditation  d'un  autre Etat  membre  de l'Union  européenne  (.).  /  Les conditions de délivrance de ce certificat sont fixées par décret en Conseil d'Etat pris après avis de la Commission nationale de l'informatique et des libertés et des conseils nationaux de l'ordre des professions de santé. / (.) / V.- L'accès aux données ayant fait l'objet d'un hébergement s'effectue selon les modalités fixées dans le contrat dans le respect des articles L. 1110-4 et L. 1111-7. / Les hébergeurs ne peuvent utiliser les données qui leur sont confiées à d'autres fins que l'exécution de la prestation d'hébergement. Lorsqu'il est mis fin à l'hébergement, l'hébergeur restitue les données aux personnes qui les lui ont confiées, sans en garder de copie. Les hébergeurs de données de santé à caractère personnel et les personnes placées sous leur autorité qui ont accès aux données déposées sont astreints au secret professionnel dans les conditions et sous les peines prévues à l'article 226-13 du code pénal. (.) ».

18.    D'une part, contrairement à ce que soutiennent les requérants, la Plateforme des données de santé ne peut être regardée comme hébergeant des données de santé pour le compte de personnes physiques ou morales à l'origine de la production ou du recueil de ces données ou pour le compte du patient lui-même. Par suite, elle n'entre pas dans le champ des dispositions de l'article L. 1111-8 du code de la santé publique et les requérants ne sont pas fondés à soutenir qu'elle aurait dû être certifiée à ce titre.

19.    Si les requérants font valoir que la Plateforme des données de santé a seulement fait l'objet d'une décision d'homologation prononcée par sa directrice, en dernier lieu le 14 mai 2020, cette procédure est conforme au référentiel fixé par arrêté du ministre de l'économie et des finances et de la ministre des affaires sociales et de la santé du 22 mars 2017 en vertu du 3° du IV de l'article L. 1461-1 du code de la santé publique, qui précise les exigences générales pesant sur chaque gestionnaire de systèmes du système national des données de santé et les exigences à respecter pour le transfert de données, l'accès aux données, leur pseudonymisation, la traçabilité des accès, le contrôle, les droits des personnes et l'homologation du système par le responsable du traitement. Cette procédure s'applique sans préjudice, notamment, de contrôles externes, notamment sur les actions de sécurisation mises en œuvre, un nouvel audit par la société Orange Cyberdéfense, prestataire qualifié « prestataire d'audit de sécurité des systèmes d'information » par l'Agence nationale de la sécurité des systèmes d'information étant ainsi prévu en septembre 2020, après un premier audit par la société Amossys en novembre 2019.

20.    D'autre part, il résulte de l'instruction que la société Microsoft a, quant à elle, été certifiée le 31 octobre 2018, pour une durée de trois ans, « hébergeur de données de santé » au sens des dispositions de l'article L. 1111-8 du code de la santé publique, au titre de l'activité d'administration et d'exploitation du système d'information contenant les données de santé, en particulier pour ses centres de données en France, en Irlande, aux Pays-Bas et pour les services proposés par Microsoft Azure Services en lien avec des données de santé. Le contrat conclu entre la Plateforme des données de santé et la société Microsoft prévoit la soumission « aux exigences de la réglementation française en matière d'hébergement de données de santé ».
 

 Sur le risque d'un transfert de données dans un Etat tiers :

21.    L'article 28 du règlement général sur la protection des données prévoit que :
« 1. Lorsqu'un traitement doit être effectué pour le compte d'un responsable du traitement, celui- ci fait uniquement appel à des sous-traitants qui présentent des garanties suffisantes quant à la mise en œuvre de mesures techniques et organisationnelles appropriées de manière à ce que le traitement réponde aux exigences du présent règlement et garantisse la protection des droits de la personne concernée. / (.) / 3. Le traitement par un sous-traitant est régi par un contrat ou un autre acte juridique au titre du droit de l'Union ou du droit d'un État membre, qui lie le sous- traitant à l'égard du responsable du traitement, définit l'objet et la durée du traitement, la nature et la finalité du traitement, le type de données à caractère personnel et les catégories de personnes concernées, et les obligations et les droits du responsable du traitement. Ce contrat ou cet autre acte juridique prévoit, notamment, que le sous-traitant : / a) ne traite les données à caractère personnel que sur instruction documentée du responsable du traitement, y compris en ce qui concerne les transferts de données à caractère personnel vers un pays tiers ou à une organisation internationale, à moins qu'il ne soit tenu d'y procéder en vertu du droit de l'Union ou du droit de l'État membre auquel le sous-traitant est soumis; dans ce cas, le sous-traitant informe le responsable du traitement de cette obligation juridique avant le traitement, sauf si le droit concerné  interdit  une  telle  information  pour  des  motifs  importants  d'intérêt  public ;  /  (.)  /
5.    L'application, par un sous-traitant, d'un code de conduite approuvé comme le prévoit l'article 40 ou d'un mécanisme de certification approuvé comme le prévoit l'article 42 peut servir d'élément pour démontrer l'existence des garanties suffisantes conformément aux paragraphes 1 et 4 du présent article. / 6. Sans préjudice d'un contrat particulier entre le responsable du traitement et le sous-traitant, le contrat ou l'autre acte juridique visé aux paragraphes 3 et 4 du présent article peut être fondé, en tout ou en partie, sur les clauses contractuelles types visées aux paragraphes
7 et 8 du présent article, y compris lorsqu'elles font partie d'une certification délivrée au responsable du traitement ou au sous-traitant en vertu des articles 42 et 43. / 7. La Commission peut établir des clauses contractuelles types pour les questions visées aux paragraphes 3 et 4 du présent article et conformément à la procédure d'examen visée à l'article 93, paragraphe 2. (.) ».

22.    L'article 44 de ce règlement dispose que : « Un transfert, vers un pays tiers ou à une organisation internationale, de données à caractère personnel qui font ou sont destinées à faire l'objet d'un traitement après ce transfert ne peut avoir lieu que si, sous réserve des autres dispositions du présent règlement, les conditions définies dans le présent chapitre sont respectées par le responsable du traitement et le sous-traitant, y compris pour les transferts ultérieurs de données à caractère personnel au départ du pays tiers ou de l'organisation internationale vers un autre pays tiers ou à une autre organisation internationale. Toutes les dispositions du présent chapitre sont appliquées de manière à ce que le niveau de protection des personnes physiques garanti par le présent règlement ne soit pas compromis ». L'article 45 du même règlement prévoit que : « 1. Un transfert de données à caractère personnel vers un pays tiers ou à une organisation internationale peut avoir lieu lorsque la Commission a constaté par voie de décision que le pays tiers, un territoire ou un ou plusieurs secteurs déterminés dans ce pays tiers, ou l'organisation internationale en question assure un niveau de protection adéquat. Un tel transfert ne nécessite pas d'autorisation spécifique (.) ».

23.    Il résulte de l'instruction qu'en application du contrat conclu entre la Plateforme des données de santé et la société Microsoft, choisie pour assurer, en tant que sous- traitant, l'hébergement des données de la plateforme, ces données sont actuellement hébergées dans des centres de données situés aux Pays-Bas et le seront prochainement dans des centres de données situés en France, les uns et les autres bénéficiant de la certification en tant qu'hébergeur de données de santé. Toutefois, en réponse, le 10 juin 2020, à une demande de conseil adressée
 

par la Plateforme des données de santé, la Commission nationale de l'informatique et des libertés a relevé que les documents contractuels relatifs à l'hébergement des données faisaient apparaître que si les données entreposées sur la plateforme le seraient « au repos » au sein de l'Union européenne et si la Plateforme des données de santé avait recours à une fonctionnalité lui offrant un certain niveau de contrôle sur les opérations d'administration de la plateforme réalisées par son sous-traitant, ces données pourraient faire l'objet de transferts hors de l'Union européenne dans le cadre du fonctionnement courant de la solution technique, notamment pour des opérations d'administration de cette dernière. L'administration fait valoir que seules des données nécessaires aux opérations de maintenance ou de résolution d'incidents et non des données de santé sont concernées et que des mesures de contrôle interdisent tout accès aux employés de Microsoft sans l'accord de la Plateforme des données de santé. Les requérants font cependant valoir les risques que comporterait un possible transfert de données vers les Etats-Unis en permettant aux autorités américaines, en vertu, d'une part, de l'article 702 du « Foreign Intelligence Surveillance Act » ou loi sur la surveillance en matière de renseignement extérieur et, d'autre part, de l' « Executive Order 12333 » ou décret présidentiel n° 12333, d'accéder à des données de la Plateforme des données de santé à des fins de renseignement extérieur. Ils invoquent également, du seul fait que Microsoft est une société de droit américain, les risques d'application du « Clarifying Lawful Overseas Use of Data Act » du 23 mars 2018.

24.    En premier lieu, par une décision d'exécution (UE) 2016/1250 du 12 juillet 2016 conformément à la directive 95/46/CE du Parlement européen et du Conseil relative à l'adéquation de la protection assurée par le bouclier de protection des données UE-États-Unis, la Commission a considéré, aux fins de l'article 25 de la directive 95/46/CE, dont les dispositions ont été reprises à l'article 45 du règlement général sur la protection des données, que « les États-Unis assurent un niveau adéquat de protection des données à caractère personnel transférées depuis l'Union vers des organisations établies aux États-Unis dans le cadre du bouclier de protection des données UE-États-Unis. / 2. Le bouclier de protection des données UE-États-Unis se compose des principes publiés par le ministère américain du commerce le 7 juillet 2016, qui figurent à l'annexe II, et des observations et engagements officiels contenus dans les documents énumérés à l'annexe I et aux annexes III à VII. / 3. Aux fins du paragraphe 1, les données à caractère personnel sont transférées dans le cadre du bouclier de protection des données UE-États-Unis dès lors qu'elles sont transférées depuis l'Union vers des organisations établies aux États-Unis qui figurent sur la liste des organisations adhérant au bouclier de protection des données, tenue à jour et publiée par le ministère américain du commerce, conformément aux sections I et III des principes énoncés à l'annexe II ».

25.    Il résulte de l'instruction que la société Microsoft figure sur la liste des organisations adhérant au « bouclier de protection des données ». Si la décision d'exécution (UE) 2016/1250 fait l'objet de requêtes pendantes devant le Tribunal de l'Union européenne et si sa conformité au règlement général sur la protection des données pourrait être appréciée à l'occasion d'un recours pendant devant la Cour de justice de l'Union européenne, elle est toujours en vigueur à la date de la présente ordonnance.

26.    En deuxième lieu, par l'annexe 3 de l'addendum sur la protection des données pour les services en ligne Microsoft, qui prévaut sur les clauses citées par les requérants dans leurs écritures, la société s'engage à appliquer, notamment, les dispositions de l'article 28 du règlement général sur la protection des données, y compris en ce qui concerne le transfert de données à caractère personnel vers un pays tiers.

27.    Enfin, le Clarifying Lawful Overseas Use of Data Act ou « Cloud Act » prévoit que les sociétés soumises au droit américain peuvent être tenues de fournir des données
 

qu'elles contrôlent, quel que soit le lieu de leur hébergement, lorsque cette fourniture est autorisée par un juge pour les besoins d'une enquête criminelle. Si ces dispositions peuvent s'appliquer à la société Microsoft, comme d'ailleurs aux sociétés françaises qui ont une activité aux Etats-Unis, les requérants n'apportent pas d'éléments dont il ressortirait que les données de santé, pseudonymisées, que cette société héberge pour le compte de la Plateforme des données de santé seraient susceptibles de faire l'objet de demandes d'accès sur ce fondement.

28.    Par suite, et alors que les conditions dans lesquelles l'offre de la société Microsoft a été retenue sont, en tout état de cause, sans incidence par elles-mêmes sur le droit à la protection des données personnelles, la circonstance que cette société relève du droit américain et puisse être amenée, pour les opérations d'administration de la solution technique qu'elle propose, à transférer des données aux Etats-Unis, en conformité avec la décision de la Commission du   12 juillet 2016, ne peut être regardée, à la date de la présente ordonnance et en l'état de l'instruction, comme portant une atteinte grave et manifestement illégale aux libertés fondamentales que le règlement général pour la protection des données a pour objet de protéger.

 Sur la sécurité technique des traitements :

29.    Aux termes du 1 de l'article 32 du règlement général sur la protection des données : « Compte tenu de l'état des connaissances, des coûts de mise en œuvre et de la nature, de la portée, du contexte et des finalités du traitement ainsi que des risques, dont le degré de probabilité et de gravité varie, pour les droits et libertés des personnes physiques, le responsable du traitement et le sous-traitant mettent en œuvre les mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté au risque, y compris entre autres, selon les  besoins :  /  (.)  b)  des  moyens  permettant  de  garantir  la  confidentialité,  l'intégrité,  la disponibilité et la résilience constantes des systèmes et des services de traitement ; / c) des moyens permettant de rétablir la disponibilité des données à caractère personnel et l'accès à celles-ci dans des délais appropriés en cas d'incident physique ou technique ; / d) une procédure visant à tester, à analyser et à évaluer régulièrement l'efficacité des mesures techniques et organisationnelles pour assurer la sécurité du traitement ».

30.    A la suite d'une demande de conseil présentée par la Plateforme des données de santé, la Commission nationale de l'informatique et des libertés a analysé, en particulier, la sécurité liée à l'intervention des organismes ayant recours à la plateforme et à l'activité de ses différents utilisateurs. Dans sa réponse, en date du 10 juin 2020, la commission a considéré, de façon générale, que la sécurité technique des données mises à disposition de la plateforme est assurée, sous réserve de la mise en œuvre des mesures qui sont prévues dans le plan d'action défini dans l'homologation de la plateforme technologique et qui devront être réévaluées régulièrement pour prendre en considération les évolutions de la plateforme et des risques associés. Ainsi qu'il a été dit au point 19, les actions de sécurisation mises en œuvre font l'objet d'un contrôle externe, par des « prestataires d'audit de sécurité des systèmes d'information ».  Une mission d'assistance à la politique de sécurité des systèmes d'information a été confiée à la société Wavestone. Il ne résulte pas de l'instruction qu'une carence en la matière pourrait être reprochée à la Plateforme des données de santé, qui constituerait une atteinte grave et manifestement illégale au droit au respect de la vie privée.

 Sur la pseudonymisation des données :

31.    Le 1 de l'article 25 du règlement général sur la protection des données dispose que : « Compte tenu de l'état des connaissances, des coûts de mise en œuvre et de la nature, de la portée, du contexte et des finalités du traitement ainsi que des risques, dont le degré de
 

probabilité et de gravité varie, que présente le traitement pour les droits et libertés des personnes physiques, le responsable du traitement met en œuvre, tant au moment de la détermination des moyens du traitement qu'au moment du traitement lui-même, des mesures techniques et organisationnelles appropriées, telles que la pseudonymisation, qui sont destinées à mettre en œuvre les principes relatifs à la protection des données (.) ». Le 1 de l'article 89 de ce règlement prévoit   que :   « Le   traitement   (.)  à   des   fins   de   recherche   scientifique   (.)   est   soumis, conformément au présent règlement, à des garanties appropriées pour les droits et libertés de la personne concernée. Ces garanties garantissent la mise en place de mesures techniques et organisationnelles, en particulier pour assurer le respect du principe de minimisation des données. Ces mesures peuvent comprendre la pseudonymisation, dans la mesure où ces finalités peuvent être atteintes de cette manière. Chaque fois que ces finalités peuvent être atteintes par un traitement ultérieur ne permettant pas ou plus l'identification des personnes concernées, il convient de procéder de cette manière ». En vertu de l'article 4 de ce règlement, on entend par
« pseudonymisation » « le traitement de données à caractère personnel de telle façon que celles- ci ne puissent plus être attribuées à une personne concernée précise sans avoir recours à des informations supplémentaires, pour autant que ces informations supplémentaires soient conservées séparément et soumises à des mesures techniques et organisationnelles afin de garantir que les données à caractère personnel ne sont pas attribuées à une personne physique identifiée ou identifiable ». La pseudonymisation, qui réduit le risque d'identification des personnes concernées, par la suppression des informations directement identifiantes, contribue à garantir le droit au respect de la vie privée.

32.    L'arrêté critiqué du 21 avril 2020 prévoit que les données de santé qu'il autorise la Plateforme des données de santé et la Caisse nationale de l'assurance maladie à recevoir
« ne peuvent contenir ni les noms et prénoms des personnes, ni leur numéro d'inscription au répertoire national d'identification des personnes physiques, ni leur adresse ». L'arrêté du 22 mars 2017 relatif au référentiel de sécurité applicable au Système national des données de santé, désormais applicable, en vertu de l'arrêté du ministre des solidarités et de la santé du 15 juin 2020, à l'ensemble des données que peut recevoir la Plateforme des données de santé en vertu de l'arrêté du 21 avril 2020, prévoit la pseudonymisation des données, en précisant notamment que les identifiants individuels des personnes concernées ne peuvent être que des pseudonymes, qui sont obtenus par une opération cryptographique irréversible sur l'identifiant initial, ne sont pas signifiants et ne permettent pas d'identifier directement le bénéficiaire concerné. La convention conclue les 14 et 15 juin 2020 entre la Plateforme des données de santé et la Caisse nationale de l'assurance maladie, conformément à l'article 26 du règlement général sur la protection des données, applicable en cas de responsables conjoints d'un traitement, prévoit que la Caisse nationale de l'assurance maladie pseudonymise l'ensemble des données transférées à la Plateforme des données de santé et que celle-ci garantit que ces données sont stockées sous un identifiant non signifiant, différent de celui utilisé pour la transmission, et que les données mises à disposition pour les projets le sont également sous un identifiant non signifiant, distinct de celui utilisé pour le stockage et différent d'un projet à l'autre.

33.    Contrairement à ce que soutiennent les requérants, le droit au respect de la vie privée n'implique pas que des données, même aussi sensibles que les données de santé, fassent dans tous les cas l'objet d'une anonymisation avant d'être traitées à des fins d'évaluation ou de recherche mais seulement, ainsi que le prévoient les dispositions du règlement général sur la protection des données citées au point 31, que des garanties appropriées soient prévues, qui peuvent comprendre la pseudonymisation, lorsque l'anonymisation ne permettrait pas de poursuivre les travaux de recherche nécessaires. Or il résulte de l'instruction que l'anonymisation des données considérées conduirait soit à un appauvrissement, soit à une agrégation des données disponibles, affectant ainsi la pertinence des travaux d'évaluation ou de recherche conduits. Dans
 

ces conditions, en prévoyant trois pseudonymisations successives, la Plateforme des données de santé et la Caisse nationale de l'assurance maladie ont fait le choix d'un type de mesure qui n'apparaît pas manifestement inapproprié au regard des exigences du règlement général sur la protection des données.

34.    Cependant, ainsi que le font valoir les requérants, dans sa délibération du 20 avril 2020 par laquelle elle s'est prononcée pour avis sur le projet d'arrêté critiqué, la Commission nationale de l'informatique et des libertés a indiqué ne pas être en mesure de se prononcer, compte tenu des délais particulièrement brefs de sa saisine, intervenue le 15 avril 2020, sur les conséquences du recours à un pseudonyme obtenu à partir d'une fonction cryptographique irréversible appliquée au numéro d'inscription des personnes au répertoire national d'identification des personnes physiques dans le cas d'un appariement déterministe au moyen de ce numéro. Elle a, également, émis des recommandations, d'une part, sur le stockage des clés assurant le chiffrage de la table de correspondance entre les pseudonymes utilisés pour la transmission des données à la Plateforme des données de santé et ceux utilisés pour la conservation de ces données par la plateforme et, d'autre part, sur les modalités de pseudonymisation des données mises à disposition des porteurs de projets, notamment en cas de mise à jour de ces données. Les requérants invoquent en outre la possibilité de recoupements entre identifiants indirects.

35.    Si l'audience a permis d'évoquer les travaux en cours en ce qui concerne les pseudonymes obtenus à partir du numéro d'inscription des personnes au répertoire national d'identification des personnes physiques et le fort degré de pseudonymisation des données issues de la base « Organisation de la surveillance coordonnée des urgences », le juge des référés, statuant dans le cadre de l'article L. 521-2 du code de justice administrative, ne dispose pas de pouvoirs d'instruction lui permettant de vérifier le caractère suffisant des mesures concrètes adoptées par la Plateforme des données de santé. Pour autant, l'adoption de telles mesures revêt un caractère essentiel au regard des risques que présente le traitement pour les droits et libertés des personnes physiques, compte tenu de la sensibilité des données traitées, des incertitudes existant sur la possibilité de transferts de données hors de l'Union européenne, mentionnées au point 23, et de l'urgence dans laquelle les mesures organisationnelles et techniques nécessaires ont dû être adoptées pour permettre l'utilisation des données de santé aux fins de suivi et de recherche dans le contexte d'épidémie de covid-19. Dans ces conditions, il y a lieu de prévoir que la Plateforme des données de santé fournira à la Commission nationale de l'informatique et des libertés, dans un délai de cinq jours à compter de la notification de la présente ordonnance, tous éléments relatifs aux procédés de pseudonymisation utilisés, propres à permettre à celle-ci de vérifier, dans des conditions, notamment de délai, plus appropriées qu'au moment de sa consultation sur l'arrêté du 21 avril 2020, que les mesures prises en la matière, en particulier au regard de la réserve et des recommandations qu'elle a émises, assurent une protection suffisante des données de santé considérées.

 Sur l'information des personnes et l'exercice de leurs droits :

36.    En premier lieu, l'article 14 du règlement général sur la protection des données prévoit que : « 1. Lorsque les données à caractère personnel n'ont pas été collectées auprès de la personne concernée, le responsable du traitement fournit à celle-ci toutes les informations suivantes : / a) l'identité et les coordonnées du responsable du traitement (.) ; / b) le cas échéant, les coordonnées du délégué à la protection des données ; / c) les finalités du traitement auquel sont destinées les données à caractère personnel ainsi que la base juridique du traitement ; / d) les catégories de données à caractère personnel concernées ; / e) le cas échéant, les destinataires ou les catégories de destinataires des données à caractère personnel ; / f) le cas échéant, le fait que le responsable du traitement a l'intention d'effectuer un transfert de données à
 

caractère personnel à un destinataire dans un pays tiers ou une organisation internationale, et l'existence ou l'absence d'une décision d'adéquation rendue par la Commission (.) ; / 2. En plus des informations visées au paragraphe 1, le responsable du traitement fournit à la personne concernée les informations suivantes (.) : a) la durée pendant laquelle les données à caractère personnel seront conservées ou, lorsque ce n'est pas possible, les critères utilisés pour déterminer cette durée ; / (.) c) l'existence du droit de demander au responsable du traitement l'accès aux données à caractère personnel, la rectification ou l'effacement de celles-ci, ou une limitation du traitement relatif à la personne concernée, ainsi que du droit de s'opposer au traitement et du droit à la portabilité des données ; / (.) e) le droit d'introduire une réclamation auprès d'une autorité de contrôle ; f) la source d'où proviennent les données à caractère personnel et, le cas échéant, une mention indiquant qu'elles sont issues ou non de sources accessibles au public ; (.)
/ 5. Les paragraphes 1 à 4 ne s'appliquent pas lorsque et dans la mesure où : (.) / b) la fourniture de telles informations se révèle impossible ou exigerait des efforts disproportionnés, en particulier pour le traitement (.) à des fins de recherche scientifique (.) sous réserve des conditions et garanties visées à l'article 89, paragraphe 1 (.). En pareils cas, le responsable du traitement prend des mesures appropriées pour protéger les droits et libertés ainsi que les intérêts légitimes de la personne concernée, y compris en rendant les informations publiquement disponibles (.) ». L'article 11 du règlement dispose que : « 1. Si les finalités pour lesquelles des données à caractère personnel sont traitées n'imposent pas ou n'imposent plus au responsable du traitement d'identifier une personne concernée, celui-ci n'est pas tenu de conserver, d'obtenir ou de traiter des informations supplémentaires pour identifier la personne concernée à la seule fin de respecter le présent règlement. / 2. Lorsque, dans les cas visés au paragraphe 1 du présent article, le responsable du traitement est à même de démontrer qu'il n'est pas en mesure d'identifier la personne concernée, il en informe la personne concernée, si possible. En pareils cas, les articles 15 à 20 [relatifs aux droits d'accès, de rectification, à l'effacement, à la limitation du traitement et à la portabilité des données] ne sont pas applicables, sauf lorsque la personne concernée fournit, aux fins d'exercer les droits que lui confèrent ces articles, des informations complémentaires qui permettent de l'identifier ». Enfin, aux termes du 6 de l'article 21 de ce règlement : « Lorsque des données à caractère personnel sont traitées à des fins de recherche scientifique (.) en application de l'article 89, paragraphe 1, la personne concernée a le droit de s'opposer, pour des raisons tenant à sa situation particulière, au traitement de données à caractère personnel la concernant, à moins que le traitement ne soit nécessaire à l'exécution d'une mission d'intérêt public ».

37.    Si l'arrêté du 21 avril 2020 ne prévoit pas les informations que le responsable du traitement doit fournir aux personnes concernées, cette seule circonstance, qui ne fait pas obstacle à ce que les informations requises soient fournies par la Plateforme des données de santé, n'est pas de nature à faire apparaître une atteinte grave et manifestement illégale à une liberté fondamentale. Il résulte de l'instruction que la base données « Organisation de la surveillance coordonnée des urgences » fait l'objet d'une fiche sur le site internet de la plateforme, permettant notamment de connaître son contenu exact, et que le projet relatif à l'exploitation des données de passages aux urgences pour l'analyse du recours aux soins et le suivi de la crise sanitaire liée à l'épidémie de covid-19 fait également l'objet d'une fiche sur ce site, qui rend publiques, conformément au paragraphe 5 de l'article 14 du règlement général sur la protection des données cité ci-dessus, les différentes informations mentionnées aux paragraphes 1 et 2 du même article, à l'exception de celles prévues au f) de son paragraphe 1 et aux c) et e) de son paragraphe 2. Dès lors, il y a lieu de prévoir que la Plateforme des données de santé complétera, dans un délai de cinq jours, les informations ainsi diffusées, pour mentionner, d'une part, le possible transfert de données hors de l'Union européenne, compte tenu du contrat passé avec son sous-traitant, et, d'autre part, les informations adaptées relatives aux droits des personnes concernées, compte tenu, le cas échéant, de l'impossibilité d'identifier ces dernières et de la nécessité du traitement pour
 

l'exécution d'une mission d'intérêt public, envisagées aux articles 11 et 21 du règlement général sur la protection des données.

38.    En second lieu, l'article 37 du règlement général sur la protection des données prévoit que : « Le responsable du traitement et le sous-traitant désignent en tout état de cause un délégué à la protection des données lorsque : / a) le traitement est effectué par une autorité publique ou un organisme public (.) / 7. Le responsable du traitement ou le sous-traitant publient les coordonnées du délégué à la protection des données et les communiquent à l'autorité de contrôle ». En vertu du 4 de l'article 38 de ce règlement, les personnes concernées peuvent prendre contact avec le délégué à la protection des données au sujet de toutes les questions relatives au traitement de leurs données à caractère personnel et à l'exercice des droits que leur confère le règlement.

39.    Il résulte de l'instruction qu'à la date de la présente décision, la possibilité de contacter le délégué à la protection des données de la Plateforme des données de santé, dont la désignation est effective depuis le 12 février 2020 et dont les coordonnées peuvent également être trouvées sur le site de la Commission nationale de l'informatique et des libertés, figure sur la page d'accueil de son site internet.

 Sur les conséquences à tirer de ce qui précède :

40.    Eu égard, tout d'abord, à la portée de l'arrêté du 21 avril 2020 complétant l'arrêté du 23 mars 2020 prescrivant les mesures d'organisation et de fonctionnement du système de santé nécessaires pour faire face à l'épidémie de covid-19 dans le cadre de l'état d'urgence sanitaire, telle qu'elle est rappelée au point 15 de la présente décision, ensuite, aux éléments apportés pendant l'instruction, notamment la modification, par l'arrêté du ministre des solidarités et de la santé du 15 juin 2020, des dispositions de l'arrêté du 23 mars 2020 prescrivant les mesures d'organisation et de fonctionnement du système de santé nécessaires pour faire face à l'épidémie de covid-19 dans le cadre de l'état d'urgence sanitaire relatives aux mesures concernant le traitement des données à caractère personnel du système de santé, ainsi que la signature de la convention de co-responsabilité de traitement entre la Plateforme des données de santé et la Caisse nationale de l'assurance maladie concernant la mise en œuvre de l'article 10-7 de l'arrêté du      23 mars 2020 modifié, et, enfin, des mesures mentionnées aux points 35 et 37, il n'apparaît pas, en l'état de l'instruction, que la mise en œuvre de l'arrêté du ministre des solidarités et de la santé du 21 avril 2020 complétant l'arrêté du 23 mars 2020 prescrivant les mesures d'organisation et de fonctionnement du système de santé nécessaires pour faire face à l'épidémie de covid-19 dans le cadre de l'état d'urgence sanitaire, en ce qu'il confie la collecte et le traitement de données de santé à la Plateforme des données de santé, porte une atteinte grave et manifestement illégale au droit au respect de la vie privée et au droit à la protection des données personnelles.


O R D O N N E :
------------------

Article 1er : La Plateforme des données de santé, d'une part, fournira à la Commission nationale de l'informatique et des libertés, dans un délai de cinq jours à compter de la notification de la présente décision, tous éléments relatifs aux procédés de pseudonymisation utilisés, propres à permettre à celle-ci de vérifier que les mesures prises assurent une protection suffisante des données de santé  traitées sur le fondement de l'arrêté du 21 avril  2020  complétant l'arrêté du  23 mars 2020 prescrivant les mesures d'organisation et de fonctionnement du système de santé nécessaires pour faire face à l'épidémie de covid-19 dans le cadre de l'état d'urgence sanitaire, conformément au point 35 de la présente décision, et, d'autre part, complétera, dans le même délai, les informations figurant sur son site internet relatives au projet portant sur l'exploitation des données de passages aux urgences pour l'analyse du recours aux soins et le suivi de la crise sanitaire du covid-19 conformément au point 37 de la présente décision.
La Plateforme des données de santé communiquera au secrétariat du contentieux du Conseil d'Etat copie des actes justifiant des mesures prises pour exécuter la présente décision.

 Article 2 : Le surplus des conclusions de la requête du Conseil national du logiciel libre et des autres requérants est rejeté.

 Article 3 : La présente ordonnance sera notifiée à l'association le Conseil national du logiciel libre, premier requérant nommé, pour l'ensemble des requérants, au ministre des solidarités et de la santé et à la Plateforme des données de santé.
Copie en sera adressée au Premier ministre, à la Commission nationale de l'informatique et des libertés et à la Caisse nationale de l'assurance maladie.