Les données de santé des Français resteront gérées par Microsoft. Le juge des référés du Conseil d’Etat en a décidé ainsi car il considère qu’il n’existe pas de raison de suspendre immédiatement le contrat qui confie l’hébergement de ces données à Microsoft, dans le cadre d’un dispositif baptisé Health Data Hub. Afin de calmer les inquiétudes, et rappelant qu’il ne prend des décisions que sur le court terme, le juge confie toutefois à la Cnil la surveillance rapprochée de ce que fait Microsoft avec les données.
Une saisie en urgence pour suspendre le contrat avec Microsoft
Le Conseil d’Etat a été saisi en urgence par des associations, des syndicats et des requérants individuels via une procédure de référé afin de suspendre la plateforme Health Data Hub. La crainte des plaignants est le possible transfert de données personnelles vers les États-Unis. Le Conseil d’Etat considère que les données personnelles hébergées aux Pays-Bas dans le cadre d’un contrat avec Microsoft ne peuvent légalement être transférées en dehors de l’Union européenne.
« Le risque que les autorités américaines demandent l’accès aux données ne justifie pas la suspension de la plateforme à très court terne »
Certaines des données sont notamment utilisées pour les besoins de la gestion de l’urgence sanitaire et de l’amélioration des connaissances sur le virus covid-19. La Plateforme a signé, le 15 avril 2020, un contrat avec une filiale irlandaise de Microsoft pour l’hébergement des données et l’utilisation de logiciels nécessaires à leur traitement.
Les données restent en Europe dans le cadre du contrat
« Aucune donnée personnelle ne peut être transférée en dehors de l’Union européenne dans le cadre du contrat conclu avec Microsoft » écrit le Conseil d’Etat. Le juge des référés du Conseil d’Etat prend en compte le fait que la Plateforme des données de santé et Microsoft se sont engagés, par contrat, à refuser tout transfert de données de santé en dehors de l’Union européenne. De plus, il s’appuie sur l’arrêté ministériel pris le 9 octobre 2020 qui interdit, en outre, tout transfert de données à caractère personnel dans le cadre de ce contrat.
Le droit européen n’interdit pas de confier le traitement de données, sur le territoire de l’Union européenne, à une société américaine
Le juge mise également sur le fait que Microsoft s’opposerait à une demande des autorités américaines. De plus, les données de santé sont pseudonymisées avant leur hébergement et leur traitement par la Plateforme, ajoute le juge. Par ailleurs, le juge estime que l’intérêt du public l’emporte. « Il existe un intérêt public important à permettre la poursuite de l’utilisation des données de santé pour les besoins de l’épidémie de covid-19 grâce aux moyens techniques dont dispose la Plateforme » dit-il.
Une solution alternative en préparation
Le juge ouvre la voie à une solution alternative. Il indique que la France est dans l’attente d’une solution qui permettra d’éliminer tout risque d’accès aux données personnelles par les autorités américaines, comme annoncé par le secrétaire d’Etat au numérique le jour même de l’audience au Conseil d’État avec le choix potentiel d’un nouveau sous-traitant, le recours à un accord de licence suggéré par la Cnil. Il affirme également que les projets recourant au Health Data Hub sont ceux pour lesquels il n’existe pas d’autre solution technique satisfaisante compte tenu de l’urgence de la situation.
savoir qui héberge les données, même si elles ont un caractère très confidentiel, ne me semble pas être l’enjeu principal, il se situe selon moi en ce qui concerne leur exploitation à des fins médicales : l’exploitation notamment des données de santé au travail du Health Data Hub France par des outils d’intelligence artificielle amènera une grande amélioration par exemple de la prévention des risques professionnels : https://www.officiel-prevention.com/dossier/formation/formation-continue-a-la-securite/big-data-intelligence-artificielle-et-sante-au-travail