Le Conseil d'Etat laisse le Health Data Hub aux mains de Microsoft
Le Conseil d'Etat affirme qu'aucune donnée de santé du Health Data Hub ne peut être transférée en dehors de l'UE dans le cadre du contrat conclu avec Microsoft, chargé de l'hébergement de cette base de données nationale. Il rejette donc la demande de suspension du programme. En revanche, il demande à la plateforme de continuer à travailler avec l'entreprise américaine pour renforcer la protection des droits des personnes concernées, sous le contrôle de la Cnil.
Par une ordonnance du 13 octobre, le Conseil d'Etat rejette les arguments avancés par un collectif de 18 personnalités et organisations qui demandaient d'ordonner la suspension du Health Data Hub.
Microsoft au cœur de la polémique
Cette base de données de santé est actuellement hébergée par Microsoft, ce qui soulève des craintes concernant d'éventuels transferts outre-Atlantique ordonnés par les services de renseignements américains. Les requérants demandaient notamment au juge administratif de tenir compte de l'invalidation du Privacy Shield par la Cour de justice de l'Union européenne.
Mais la plus haute juridiction administrative française juge qu'en application du contrat entre le Health Data Hub et Microsoft, il n'apparaît pas que les données personnelles puissent faire l'objet de transferts en dehors de l'Union européenne. Premièrement, elle souligne que les données traitées par le Health Data Hub sont hébergées dans des data centers situés aux Pays-Bas "avant de l'être prochainement (…) en France".
Un avenant interdit les transferts en dehors de l'UE
De plus, le juge rappelle qu'aucun transfert de données "en dehors de la zone géographique spécifiée" ne pourra se faire sans l'approbation de la plateforme de données de santé, d'après un avenant signé avec Microsoft début septembre. De son côté, le Health Data Hub s'est engagé auprès de la Commission nationale de l'informatique et des libertés (Cnil) à ne jamais donner son aval pour un tel transfert.
Par ailleurs, le Conseil d'Etat mentionne l'arrêté pris le 9 octobre 2020 par le ministre des Solidarités et de la Santé Olivier Véran qui interdit tout transfert de données personnelles en dehors de l'Union européenne. Le juge estime que "ces dispositions font ainsi obstacles à ce que la Plateforme de données de santé puisse faire usage de la faculté qui lui reste ouverte dans le contrat conclu avec Microsoft d'autoriser un transfert de données à caractère personnel du système de santé".
Une exception qui doit être précisée
Par ailleurs, le Conseil d'Etat cite l'avenant conclu début septembre qui stipule que "Microsoft ne divulguera pas les données traitées aux pouvoirs publics sauf si elle y est tenue par la loi". Contrairement à ce que prétendent les requérants, cette exception ne fait pas exclusivement référence aux renseignements américains mais également aux Etats membres de l'UE, analyse le juge. Pour en être sûr, "il conviendra de le préciser" ultérieurement, exige-t-il.
Toutefois, la Cnil estime que le risque d'une demande de transmission de données par les autorités américaines ne peut être écarté, note le Conseil d'Etat qui ne retient pourtant pas cet argument. Car "les requérants n'invoquent pas de violation directe du Règlement général sur la protection des données mais seulement le risque d'une telle violation", poursuit-il.
Le Covid-19 justifie en partie le choix de Microsoft
Enfin, le Conseil d'Etat rappelle que la situation épidémique actuelle nécessite l'utilisation de données personnelles. Cet "intérêt public important" ne pourrait être rempli sans le service fourni par Microsoft "sans équivalent à ce jour". Un argument souvent avancé par le gouvernement pour justifier le choix du géant américain à la place d'entreprises françaises ou européennes.
Mais les arguments du Conseil d'Etat risquent de voler en éclat car le gouvernement souhaite désormais changer de sous-traitant. Auditionné par les sénateurs, le secrétaire d'Etat chargé du Numérique Cédric O a annoncé qu'il souhaitait rapatrier le stockage du Health Data Hub en France. En attendant qu'une décision soit officialisée, le juge administratif demande à la plateforme de données de santé de "continuer de recherche la mise en œuvre par Microsoft des mesures techniques et opérationnelles appropriées pour garantir au mieux la protection des droits des personnes concernées".
SUR LE MÊME SUJET
Le Conseil d'Etat laisse le Health Data Hub aux mains de Microsoft
Tous les champs sont obligatoires
0Commentaire
Réagir
