Le juge des référés du Conseil d’État a estimé, le 22 mars 2024, que la demande de suspension de l’autorisation de la CNIL d’héberger les données de santé du Health Data Hub chez l’hébergeur états-unien Microsoft devait être rejetée, car la « condition d’urgence n’était pas remplie ».

Cette demande de suspension avait été déposée par plusieurs sociétés et associations françaises, notamment les hébergeurs Clever Cloud et Cleyrop, l’éditeur de solutions libres Nexedi, l’association Open Internet Project et l’association Les Licornes Célestes présidée par l’un des fondateurs de la Quadrature du Net, Benjamin Bayart.

Dans leur requête, les demandeurs avaient demandé au Conseil d’État de suspendre, en urgence, la constitution de l’entrepôt de données de santé (nommé EMC2) dans les serveurs situés sur le territoire français de Microsoft, car cela « expose les données de santé concernant plusieurs millions de personnes à un risque non négligeable de divulgation à des autorités administratives ou judiciaires des États-Unis », ce qui « porterait une attente grave et immédiate » à leurs intérêts.

Le juge des référés a toutefois considéré que, si le « risque que les autorités américaines formulent, dans le cadre de ses programmes de surveillance une demande d’accès à certaines données traitées et hébergées dans l’entrepôt EMC2 […], ne peut en principe être écarté », ce risque est « hypothétique, au vu des garanties importantes dont la mise en œuvre du projet est entourée, notamment du fait que les données seront pseudonymisées et non directement identifiantes, en considération desquelles la CNIL a estimé que ce risque était réduit à un niveau qui ne justifiait pas qu’elle refuse l’autorisation demandée ».

Le juge a également estimé que « l’intérêt public » de la réalisation d’un tel traitement de données « mené par l’Agence européenne des médicaments, afin de permettre la réalisation de recherches, d’étude et d’évaluations sur l’utilisation, l’efficacité et les risques d’un panel important de médicaments et de dispositifs médicaux commercialisés en France, justifie que l’autorisation contestée ne soit pas suspendue ».

Environ 500 000 patients d’établissements hospitaliers seront concernés par ces traitements de données, ainsi qu’un panel « témoin » de 1,5 million de personnes.

Une décision sur le fond est également attendue.

L'avis d'eWatchers (par Morgan Schmiedt)

En prenant une telle décision, le Conseil d’État accepte le risque qu’une nation étrangère accède aux données de santé des Français. Ce risque est pourtant loin d’être négligeable s’agissant des États-Unis, dont les pratiques de surveillance de masse ont été jugées contraires, à deux reprises, au droit européen.

Pour faire accepter le choix de Microsoft, l’État s’est elle-même imposée un calendrier de déploiement court, quitte à renoncer à un hébergeur labellisé « SecNumCloud », plus haut niveau de sécurité européen permettant de garantir que l’hébergeur est soumis exclusivement au droit européen. Le juge considère que l’intérêt public d’un tel traitement prévaut. On peut en douter. Cela démontre surtout l’incapacité de l’Administration à construire ou organiser un écosystème national ou européen pour répondre à ses propres besoins.

Le jugement, sur le fond, ne sera surement pas donné avant 2025. D’ici là, le mal sera probablement déjà fait.

Liens