Health Data Hub : le Conseil d’Etat valide l’hébergement par Microsoft, sous conditions

Saisi en référé au sujet du Health Data Hub, le Conseil d’Etat a examiné la question de l’hébergement de la plateforme de données par Microsoft. La décision n’a pas encore été publiée, mais les deux camps crient victoire. En effet, si la justice a rejeté la majorité du recours formulé par les opposants au Health Data Hub, elle impose certaines conditions aux porteurs du projet. 

Le Health Data Hub continue de faire débat. Ce cloud controversé des données de santé lancé en 2018 et mis sur les rails en fin 2019 a été confié pour la partie hébergement à Microsoft, la maîtrise d'oeuvre revenant à l'ESN Groupe Open. Un choix qui a valu au projet d’être traîné devant le Conseil d’Etat.

Les plaignants, menés par le CNLL (Union des Entreprises du Logiciel Libre et du Numérique Ouvert) reprochaient à la future plateforme des données de santé des Français d’être hébergée sur Azure, chez Microsoft donc, et surtout l’absence de garantie suffisante quant à la sécurité et à la confidentialité des données. Depuis l’annonce du choix du géant américain pour le Health Data Hub, le débat fait rage entre les promoteurs du projet et ses détracteurs, ici pour des questions de souveraineté, là pour des enjeux de confidentialité. 

Valide, mais...

Partisans et opposants se sont donc retrouvés devant le Conseil d’Etat, qui a rendu son verdict le 19 juin. Si sa décision n’a pas encore été publiée, on en connaît les grandes lignes. Premier constat, les deux camps revendiquent la victoire. Dans les faits, l’ordonnance de la plus haute juridiction administrative française est plus nuancée. Elle rejette ainsi la majeure partie du recours formulée par le CNLL et ses alliés. 

En effet, le Conseil d’Etat estime que le contrat entre Microsoft et HDH prévoit que ce dernier soit soumis à la réglementation française, soulignant que les données seront in fine stockées sur le sol français (elles le sont pour l’heure aux Pays-Bas). C’est surtout sur le Cloud Act que la décision du juge a de quoi surprendre : il considère en effet que “si ces dispositions peuvent s'appliquer à la société Microsoft, comme d'ailleurs aux sociétés françaises qui ont une activité aux États-Unis”, les plaignants n’ont pas apporté la preuve que les données de santé hébergées puissent “faire l'objet de demandes d'accès sur ce fondement”. 

Vers de futurs recours

Ainsi, le Conseil d’Etat ne retoque par sur le principe un hébergement des données du HDH par le géant américain. Il lui impose néanmoins quelques conditions de mise en conformité, à commencer par un retour devant la Cnil afin que celle-ci examine les éléments relatifs à la pseudonymisation. Le gendarme des données personnelles aura pour mission de “vérifier si ces techniques assurent une protection suffisante des données en question, en empêchant, dans la mesure du possible, toute réidentification des personnes physiques concernées”. 

Second point, le Health Data Hub devra avertir sur son site “les citoyens de la possibilité que les données de santé qu’il héberge soient transférées vers des pays étrangers dont les États-Unis”. Enfin, les données en lien avec la pandémie actuelle ne pourront être archivées à l’issue de l’urgence sanitaire, mais détruites. Le dernier point devrait donner lieu à d’intenses débats, juridiques et techniques. Selon le CNLL, “le Conseil d’Etat pointe une importante faille juridique en indiquant que le Health Data Hub ne relève pas du régime des « Hébergeurs de données de santé »” : l’explication donnée par l’association est relativement floue, insistant sur le fait qu’il “est aujourd’hui possible de laisser un «entrepôt de données », recueillir des données couvertes par le secret médical sans que cet entrepôt dispose des certifications obligatoires pour les hébergeurs de santé”.