[Brèves] « Health Data Hub » : des précautions à prendre en matière de protection des données personnelles dans l’attente d’une solution pérenne

► Le Conseil d’État rend, en date du 13 octobre 2020, une décision concernant la plateforme de données de santé « Health Data Hub », dans laquelle il observe que les données personnelles hébergées aux Pays-Bas dans le cadre d’un contrat avec Microsoft ne peuvent légalement être transférées en dehors de l’Union européenne ;

Il ajoute que le traitement de données par Microsoft sur le territoire de l’Union européenne n’est pas en lui-même une illégalité grave et manifeste ;

Ainsi, le juge en déduit que, si le risque ne peut être totalement exclu que les services de renseignement américains demandent l’accès à ces données, il ne justifie pas, à très court terme, la suspension de la plateforme, mais impose de prendre des précautions particulières, sous le contrôle de la CNIL.

Contexte. La plateforme des données de santé, organisme public également appelé « Health Data Hub », a été créée fin novembre 2019, pour faciliter le partage des données de santé afin de favoriser la recherche. Certaines de ces données sont notamment utilisées pour les besoins de la gestion de l’urgence sanitaire et de l’amélioration des connaissances sur le virus covid-19. La plateforme a signé, le 15 avril 2020, un contrat avec une filiale irlandaise de la société américaine Microsoft pour l’hébergement des données et l’utilisation de logiciels nécessaires à leur traitement.

Procédure. Plusieurs associations, syndicats et requérants individuels ont demandé au juge du référé-liberté du Conseil d’État, statuant en urgence, de suspendre le traitement des données liées à l’épidémie de covid-19 sur la plateforme des données de santé en raison des risques que cette situation comporte au regard du droit au respect de la vie privée, compte tenu de possibles transferts de données vers les États-Unis.

Refus de tout transfert de données en dehors de l’Union européenne. Cette demande s’inscrit dans la suite de l’arrêt « Schrems II » rendu par la Cour de justice de l’Union européenne (CJUE, 16 juillet 2020, affaire C‑311/18 N° Lexbase : A26443RD ; lire N° Lexbase : N4708BYZ), qui a jugé que la protection des données transférées vers les États-Unis par le Privacy Shield était insuffisante au regard du droit européen.

Le juge des référés du Conseil d’État relève que la plateforme des données de santé et Microsoft se sont engagés, par contrat, à refuser tout transfert de données de santé en dehors de l’Union européenne. Un arrêté ministériel pris le 9 octobre 2020 (arrêté du 9 octobre 2020, modifiant l'arrêté du 10 juillet 2020 prescrivant les mesures générales nécessaires pour faire face à l'épidémie de covid-19 dans les territoires sortis de l'état d'urgence sanitaire et dans ceux où il a été prorogé N° Lexbase : L4202LYB) interdit, en outre, tout transfert de données à caractère personnel dans le cadre de ce contrat.

Absence d’illégalité grave et manifeste. Le juge des référés relève qu’il ne peut être totalement exclu que les autorités américaines, dans le cadre de programmes de surveillance et de renseignement, demandent à Microsoft et à sa filiale irlandaise l’accès à certaines données.

Mais, tout d’abord, la CJUE n’a pas, à ce jour, jugé que le droit européen de la protection des données interdirait de confier le traitement de données, sur le territoire de l’Union européenne, à une société américaine. En outre, une violation du « RGPD » (Règlement n° 2016/679 du 27 avril 2016 N° Lexbase : L0189K8I) demeure dans un tel cas hypothétique, car elle supposerait que Microsoft ne soit pas en mesure de s’opposer à une éventuelle demande des autorités américaines. Les données de santé sont, par ailleurs, pseudonymisées avant leur hébergement et leur traitement par la plateforme. Enfin, il existe un intérêt public important à permettre la poursuite de l’utilisation des données de santé pour les besoins de l’épidémie de covid-19 grâce aux moyens techniques dont dispose la plateforme.

En conséquence, le juge des référés du Conseil d’État ne relève pas d’illégalité grave et manifeste qui justifierait la suspension immédiate du traitement des données par cette plateforme.

Précautions particulières à prendre, sous le contrôle de la CNIL. En revanche, face à l’existence d’un risque, et compte tenu du fait que le juge des référés ne peut prononcer que des mesures de très court terme, il demande au « Health Data Hub » de continuer, sous le contrôle de la CNIL, à travailler avec Microsoft pour renforcer la protection des droits des personnes concernées sur leurs données personnelles. Ces précautions devront être prises dans l’attente d’une solution qui permettra d’éliminer tout risque d’accès aux données personnelles par les autorités américaines, comme annoncé par le secrétaire d’État au numérique le jour même de l’audience au Conseil d’État (choix potentiel d’un nouveau sous-traitant, recours à un accord de licence suggéré par la CNIL…). Il rappelle également que les projets recourant au « Health Data Hub » sont ceux pour lesquels il n’existe pas d’autre solution technique satisfaisante compte tenu de l’urgence de la situation.

© Reproduction interdite, sauf autorisation écrite préalable