HDH : un avis du Conseil d'État tout en nuances

Qu'il est mesuré, le Conseil d'État, lorsqu'il s'exprime sur le Health Data Hub. La Cnil a récemment critiqué le traitement des données de santé par Microsoft, au motif du risque d'accès à ces données par le renseignement américain. Risque hypothétique selon le juge, qui ne demande pas la suspension du contrat entre la plateforme et le géant, mais que des précautions soient prises en attendant une solution plus pérenne. Quelques jours après que les remarques de la CNIL aient été rendues publiques, le juge des référés du Conseil d'État livre un avis plus que timoré sur la question de l'hébergement et du traitement des données du Health Data Hub par Microsoft. Qui s'avère légal selon le juge, ou du moins ne pas être frappé d'une "illégalité grave et manifeste". Le Conseil d'État estime que l'avenant au contrat passé entre Microsoft et HDH empêche tout transfert de données en dehors de l'UE et que l'arrêté ministériel du 9 octobre vient renforcer un peu plus cette clause contractuelle, puisque qu'il "interdit, en outre, tout transfert de données à caractère personnel dans le cadre de ce contrat". Notons que le propos de la Cnil à ce sujet était moins catégorique : le gendarme des données personnelles considère en effet que certains points restent à éclaircir.  Toujours est-il que, aux yeux du juge, "le traitement de données par Microsoft sur le territoire de l’Union européenne n’est pas en lui-même une illégalité grave et manifeste". Il reconnaît néanmoins que les agences de renseignement américaines risquent de demander à Microsoft l'accès à ces mêmes données. Pour autant, le Conseil d'État considère que pareille situation n'est qu'hypothétique, "car elle supposerait que Microsoft ne soit pas en mesure de s’opposer à une éventuelle demande des autorités américaines". Et de s'exprimer sur la pseudonymisation des dites données et sur "l'intérêt public important" à continuer à exploiter ces données dans la situation sanitaire que l'on connaît. 

Hypothétique

Et puisque la CJUE n'a pas interdit le traitement de données sur le territoire de l'UE par des sociétés américaines, la tâche confiée à Microsoft n'a rien d'illégale et rien ne justifie "la suspension immédiate du traitement des données par cette plateforme". Cependant, le Conseil d'État est bien forcé de considérer l'existence d'un risque, même "hypothétique". Puisqu'il s'agit d'un référé, ne pouvant prendre des mesures qu'à très court terme, le juge "demande au Health Data Hub de continuer, sous le contrôle de la CNIL, à travailler avec Microsoft pour renforcer la protection des droits des personnes concernées sur leurs données personnelles". Soit des "précautions" à prendre, que le Conseil d'État ne détaille pas, en attendant qu'un solution plus pérenne soit trouvée, qu'il s'agisse d'un accord de licence que la Cnil a déjà suggéré ou de la sélection d'un nouveau sous-traitant, que Cédric O a récemment appelé de ses voeux.   En réaction, la Cnil explique dans un communiqué qu’elle “va analyser avec attention la position du juge des référés pour l’instruction des demandes d’autorisations de projets de recherche utilisant le Health Data Hub ainsi que pour conseiller les autorités publiques sur la mise en place de garanties pérennes appropriées” et se dit favorable à la position du secrétaire d’État au numérique de transférer le Health Data Hub sur des plateformes françaises ou européennes.