Statuant en urgence, le Conseil d’Etat n’ordonne pas la suspension de la Plateforme Health Data Hub, mais impose de prendre des précautions particulières pour protéger les données personnelles de santé qu’elle héberge, sous le contrôle de la CNIL

Paru dans le N°304 - 22 octobre 2020
Numérique

La Plateforme des données de santé, organisme public également appelé « Health Data Hub », a été créée en novembre 2019, pour faciliter le partage des données de santé afin de favoriser la recherche, notamment sur le virus covid-19. La Plateforme a signé, le 15 avril 2020, un contrat avec une filiale irlandaise de la société américaine Microsoft pour l’hébergement des données et l’utilisation de logiciels nécessaires à leur traitement.

Par une requête, du 28 septembre 2020, le Conseil d’Etat est saisi en urgence par des associations et syndicats d’une demande de suspension de la centralisation et du traitement des données en lien avec l’épidémie de covid-19 sur la plateforme Health Data Hub.

Ils soutiennent notamment qu’une atteinte grave et manifestement illégale risque d’être portée au droit au respect de la vie privée et au droit à la protection des données personnelles, eu égard à la soumission au droit américain de la société choisie pour assurer la solution technique de la Plateforme des données de santé, sans garanties suffisantes au regard des risques qu’emportent, d’une part, le transfert de données vers les Etats-Unis, mis en évidence par l’arrêt de la Cour de justice de l’Union européenne du 16 juillet 2020(1), et, d’autre part, l’application extraterritoriale du droit américain.

Invitée par le Conseil d’Etat à produire des observations sur ce recours, la CNIL(2) a estimé que le choix d’un hébergeur soumis au droit américain semblait incompatible avec les exigences de la CJUE en matière de protection de la vie privée. Elle a, d’une part, invité le juge à vérifier que les engagements de l’hébergeur à supprimer les transferts de données personnelles hors UE couvraient bien l’ensemble du Health Data Hub. D’autre part, elle a estimé que l’hébergement de la plateforme par une société de droit états-unien, pouvant être amenée à répondre à des demandes de communication de données, même pseudonymisées, était en soi problématique et devait conduire à changer d’opérateur ou à apporter des garanties spécifiques. Elle a recommandé l’aménagement d’une période de transition pour atteindre cet objectif.

Par une ordonnance du 13 octobre 2020(3), le juge des référés du Conseil d’Etat ne relève pas d’illégalité grave et manifeste qui justifierait la suspension immédiate du traitement des données par cette plateforme au motif notamment qu’il existe un intérêt public important à permettre la poursuite de l’utilisation des données de santé pour les besoins de l’épidémie de covid-19 grâce aux moyens techniques dont dispose la Plateforme. Il souligne toutefois que le recours à plateforme et le stockage des données doivent être proportionnés « aux risques sanitaires encourus et appropriée aux circonstances de temps et de lieu, compte tenu, tout à la fois, de l’urgence s’attachant à sa conduite et de l’absence de solution technique alternative satisfaisante permettant d’y procéder dans les délais utiles ».

La haute juridiction relève que « Eu égard à la sensibilité particulière des données de santé, les autorités publiques ont fait part de leur volonté d’adopter, dans les délais les plus brefs possibles, des mesures propres à éliminer tout risque, telles que le choix d’un nouveau sous-traitant, évoqué publiquement par le secrétaire d’Etat chargé de la transition numérique et des communications électroniques, ou le recours à un accord de licence, suggéré par la Commission nationale de l’informatique et des libertés dans ses observations ».

Elle précise que « dans l’intervalle, il appartient à la Plateforme des données de santé de continuer de rechercher, en vertu de l’article 28 du règlement général sur la protection des données, la mise en oeuvre par Microsoft des mesures techniques et organisationnelles appropriées pour garantir au mieux la protection des droits des personnes concernées. A cet égard, la société doit d’ailleurs,(…) mettre à sa disposition toutes les informations nécessaires pour démontrer le respect des obligations prévues à cet article 28 et permettre la réalisation d’audits ».

Il appartient en outre « à la Commission nationale de l’informatique et des libertés, lorsqu’elle autorise, conformément aux articles 66 et 76 de la loi du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés, des projets appelés à traiter les données rassemblées par la Plateforme des données de santé, de vérifier qu’ils poursuivent une finalité d’intérêt public en lien avec l’épidémie de covid-19 et que le recours à la Plateforme remplit les conditions mentionnées [ci-avant]».

Informations légales | Données personnelles