Le juge des référés du Conseil d’Etat a rejeté la demande de suspension de la délibération de la CNIL qui autorise la constitution d’un entrepôt de données de santé hébergé par Microsoft dans le cadre de la Plateforme des données de santé (PDS). Contrairement à ce que certains prétendent pour polémiquer, il ne s’agit pas d’une question de souveraineté numérique mais de données de santé de citoyens français potentiellement consultables par les autorités américaines.
La PDS a fait le choix de recourir aux services de Microsoft Ireland, société située dans l’Union européenne, afin d’héberger les données de santé (service AZURE dit de cloud computing). Les données seront stockées dans des centres situés en France. Ces conditions de stockage doivent être conformes au code de la santé publique et les données ne peuvent pas être transférées en dehors de l’Union européenne, sauf dans des cas très particuliers (projets de recherche impliquant un acteur extra-européen par exemple).
Cependant, l’hébergeur retenu par la Plateforme appartient à un groupe dont la société mère est située aux États-Unis et est soumise au droit US, ce qui implique la possibilité légale de demandes de communication des données par l’administration US.
Plusieurs associations ont donc soutenu que la mise en œuvre du traitement expose les données de santé de millions de personnes à un risque de divulgation à des autorités administratives ou judiciaires des Etats-Unis dans la mesure où Microsoft ne serait pas en mesure de s’opposer aux demandes formulées par ces autorités dans le cadre de programmes de surveillance US fondés sur plusieurs textes dont le “Clarifying Lawful Oversas Use of Data Act” (CLOUD Act). Dans un arrêt du 22 mars 2024, le juge des référés du Conseil d’Etat rejette la demande dans la mesure où le risque d’accès de ces autorités à ces données, dans le cas où Microsoft ne s’y opposerait pas, est hypothétique, notamment du fait que les données seront pseudonymisées et non directement identifiantes. En conséquence, la délibération attaquée ne peut porter une atteinte grave et immédiate au droit au respect de la vie privée de nature à caractériser une urgence justifiant que la délibération contestée soit suspendue.
La CNIL avait rendu depuis 2019 plusieurs avis sur les projet de loi, décret et arrêté sur l’organisation et la transformation du système de santé portant création de la PDS :
- garantir l’anonymat effectif des exports de données de santé;
- absence de transfert de données vers des pays tiers;
- recours à un hébergeur soumis exclusivement au droit européen ou bénéficiant de certifications spécifiques, notamment la certification SecnNumCloud de l’ANSSI.