Saisi en référé par des associations, des syndicats et des personnes physiques, le Conseil d’État devait se prononcer sur une éventuelle suspension du traitement, par la plateforme française, des données de santé liées au Covid-19. Motif ? Le contrat avec Microsoft, qui participe à l’hébergement dans ses infrastructures néerlandaises et le risque qu’il y aurait, selon les demandeurs, à voir ces données transférées aux Etats-Unis, sans aucun accord préalable des personnes concernées. Ce 13 octobre, son ordonnance de référé était rendue.
Sur ce point, le Conseil d’État « observe que les données personnelles hébergées aux Pays-Bas dans le cadre d’un contrat avec Microsoft ne peuvent légalement être transférées en dehors de l’Union européenne ». De plus, « si le risque ne peut être totalement exclu que les services de renseignement américains demandent l’accès à ces données, il ne justifie pas, à très court terme, la suspension de la Plateforme, mais impose de prendre des précautions particulières, sous le contrôle de la CNIL ».
Le juge précise que si le contrat passé entre Microsoft et la Plateforme des données de santé exclut tout transfert de données en dehors de l’Union Européenne et qu’un arrêté ministériel du 9 octobre 2020 interdit tout transfert de données à caractère personnel, il ne peut cependant pas « être totalement exclu que les autorités américaines, dans le cadre de programmes de surveillance et de renseignement, demandent à Microsoft et à sa filiale irlandaise l’accès à certaines données. »
Il indique que rien, dans le droit européen, interdit que le traitement des données soit confié à une entreprise américaine. En outre, la situation sanitaire impose, selon lui, que l’on puisse poursuivre le traitement des données.
Cependant, « face à l’existence d’un risque, et compte tenu du fait que le juge des référés ne peut prononcer que des mesures de très court terme, il demande au Health Data Hub de continuer, sous le contrôle de la CNIL, à travailler avec Microsoft pour renforcer la protection des droits des personnes concernées sur leurs données personnelles ». « Ces précautions », explique le juge « devront être prises dans l’attente d’une solution qui permettra d’éliminer tout risque d’accès aux données personnelles par les autorités américaines », comme annoncé par le secrétaire d’Etat au numérique le jour même de l’audience au Conseil d’État (choix potentiel d’un nouveau sous-traitant, recours à un accord de licence suggéré par la CNIL…). Il rappelle également que les projets recourant au Health Data Hub sont ceux pour lesquels il n’existe pas d’autre solution technique satisfaisante compte tenu de l’urgence de la situation.
Réagissant immédiatement, la Cnil a indiqué qu’elle « conseillera les autorités publiques sur les mesures appropriées et veillera, pour l’autorisation des projets de recherche liés à la crise sanitaire, à ce que le recours à la plateforme soit réellement nécessaire ». Elle rappelle cependant que, sollicitée par le Conseil d’État, elle avait appelé à la prudence. « Dans son mémoire, la CNIL a estimé que le choix d’un hébergeur soumis au droit américain semblait incompatible avec les exigences de la CJUE en matière de protection de la vie privée. Elle a, d’une part, invité le juge à vérifier que les engagements de l’hébergeur à supprimer les transferts de données personnelles hors UE couvraient bien l’ensemble du Health Data Hub. D’autre part, elle a estimé que l’hébergement de la plateforme par une société de droit états-unien, pouvant être amenée à répondre à des demandes de communication de données, même pseudonymisées, était en soi problématique et devait conduire à changer d’opérateur ou à apporter des garanties spécifiques ».
On peut donc penser qu’elle sera particulièrement rigoureuse dans son suivi et que le gouvernement ne manquera pas, comme il l’avait indiqué, de recherche une solution d’hébergement alternative.
mm
