Données de santé : la plate-forme Health Data Hub survit à nouveau au Conseil d’Etat

Le Health Data Hub, la plate-forme qui a commencé à recueillir une grande quantité de données médicales des Français à des fins de recherche, a survécu, mercredi 14 octobre, à un nouvel examen du Conseil d’Etat.

Une dizaine d’associations avait en effet demandé à ce que la plus haute juridiction administrative ordonne à l’organisme public de cesser de traiter les données de santé en sa possession, par nature sensibles. Il est reproché au Health Data Hub depuis sa création d’avoir noué un contrat avec Microsoft pour l’hébergement de ces données. Les nombreux détracteurs de ce choix accusent les autorités françaises d’avoir donné à leurs homologues américaines l’accès à des données médicales par le biais d’une entreprise basée aux Etats-Unis.

Ces critiques s’étaient faites d’autant plus vives lorsque le gouvernement avait accordé de nouveaux pouvoirs au Health Data Hub en raison de la pandémie. En plein confinement, un décret avait élargi le type de données qui pouvaient être versées dans cette plate-forme afin de nourrir des algorithmes d’intelligence artificielle.

Les nouveaux pouvoirs du Health Data Hub avaient été attaqués au Conseil d’Etat avant l’été. Sans succès : le juge des référés avait estimé que la protection des données était globalement assurée par la plate-forme. C’était sans compter sur un séisme survenu au cœur de l’été : la Cour de justice de l’Union européenne (UE) a estimé que le Privacy Shield, un accord juridique entre la Commission européenne et les Etats-Unis établissant que ces derniers offraient une protection des données suffisante et autorisant donc les entreprises à y transférer des données personnelles depuis l’UE, était en réalité contraire au droit européen.

Or, en juin, ce Privacy Shield, dont Microsoft faisait partie, avait été cité par le juge des référés du Conseil d’Etat comme une des preuves du respect du droit européen par le Health Data Hub. Ce « bouclier » à terre, les opposants à la plate-forme ont vu une ouverture.

Ils n’ont cependant pas convaincu la juge de mettre à bas la plate-forme. Dans son ordonnance rendue mercredi, elle n’exige du Health Data Hub que la mise en place de rustines juridiques à son contrat le liant à Microsoft. La plate-forme doit ainsi négocier un avenant précisant que le droit applicable évoqué dans un précédent avenant est bien européen et qu’il s’applique à « l’ensemble des services fournis par Microsoft ».

Globalement, la juge n’a pas vu d’élément justifiant l’urgence de mettre le Health Data Hub à l’arrêt. Elle a notamment pointé les conditions techniques et juridiques qui empêchent le transfert en douce de données médicales par Microsoft vers les Etats-Unis – l’hébergement aux Pays-Bas et bientôt en France, la « pseudonymisation » des données, un contrat qui impose l’accord de la plate-forme en cas de transfert de données à des fins de maintenance. D’autant plus, a noté la juge, qu’il existe « un intérêt public important » à l’exploitation de données en lien avec la pandémie de Covid-19.

Si le Health Data Hub sort relativement indemne de son examen par le Conseil d’Etat, des changements dans la manière dont il héberge les données semblent toutefois inéluctables. D’abord, parce que les « garanties » qui permettent de pallier la fin du Privacy Shield sont « particulièrement difficiles à apporter » dans le cadre d’un contrat avec Microsoft, écrit la Commission nationale de l’informatique et des libertés (CNIL), dans un mémoire produit pour l’audience devant le Conseil d’Etat, révélé par Mediapart et que Le Monde a pu également consulter.

Ensuite, parce que des moyens permettant aux autorités américaines d’obtenir les données présentes dans le Health Data Hub subsistent, estiment de concert la juge du Conseil d’Etat et la CNIL dans son mémoire. Le gendarme des données personnelles va même plus loin, expliquant qu’un tel accès serait illégal en droit européen. La CNIL en conclut donc que l’hébergement ne peut être confié légalement à un hébergeur américain comme Microsoft. « La solution la plus effective consiste à confier l’hébergement de ces données à des sociétés non soumises au droit états-unien », écrit la CNIL.

La juge du Conseil d’Etat a refusé, faute de pouvoir le faire en référé, d’aller aussi loin. Elle s’est contentée de constater qu’il n’y avait pas de violation immédiate du droit des données personnelles. L’analyse juridique de la CNIL, couplée à un décret adopté cet été qui empêche le Health Data Hub de transférer des données « en dehors de l’Union européenne », laisse augurer de vastes changements pour la plate-forme dans les mois qui viennent. Le secrétaire d’Etat au numérique, Cédric O, a d’ailleurs annoncé, le 8 octobre, travailler « au transfert du Health Data Hub sur des plates-formes françaises ou européennes ».

Source: lemonde.fr

- Pub -

- Pub -

Ce site Web utilise des cookies pour améliorer votre expérience. Nous supposerons que vous êtes d'accord avec cela, mais vous pouvez vous désinscrire si vous le souhaitez. Accepter Voir Plus