Dans une ordonnance du 13 octobre 2020, le juge des référés du Conseil d'Etat, statuant sur une de demande de suspension en urgence de la plateforme des données de santé Health Data Hub, reconnaît le risque que les services de renseignement américains demandent l’accès aux données personnelles de la plateforme. Pour autant, il demande au Health Data Hub de continuer, sous le contrôle de la CNIL, à travailler avec Microsoft pour renforcer la protection des droits des personnes concernées sur leurs données personnelles.
La plateforme des données de santé, organisme public également appelé « Health Data Hub », a été créée fin novembre 2019, pour faciliter le partage des données de santé afin de favoriser la recherche. Elle est utilisée notamment pour les besoins de la gestion de l’urgence sanitaire et de l’amélioration des connaissances sur le virus covid-19.
La plateforme a signé, le 15 avril 2020, un contrat avec Microsoft Ireland Operations Limited, filiale irlandaise de la société américaine Microsoft, pour l’hébergement des données et l’utilisation de logiciels nécessaires à leur traitement.
Plusieurs associations, syndicats et requérants individuels ont demandé au juge du référé-liberté du Conseil d’Etat, statuant en urgence, de suspendre le traitement des données liées à l’épidémie de covid-19 sur la Plateforme des données de santé en raison des risques que cette situation comporte au regard du droit au respect de la vie privée, compte tenu de possibles transferts de données vers les Etats-Unis.
Le juge des référés observe que le traitement de données par Microsoft sur le territoire de l’Union européenne n’est pas en lui-même une illégalité grave et manifeste et ne justifie donc pas une suspension de la plateforme, mais relève qu’il ne peut être totalement exclu que les autorités américaines, dans le cadre de programmes de surveillance et de renseignement, demandent à Microsoft et à sa filiale irlandaise l’accès à certaines données.
Par conséquent, il demande au Health Data Hub de continuer, sous le contrôle de la CNIL, à travailler avec Microsoft pour renforcer la protection des droits des personnes concernées sur leurs données personnelles. Ces précautions devront être prises dans l’attente d’une solution qui permettra d’éliminer tout risque d’accès aux données personnelles par les autorités américaines.
« Dans sa décision du 14 octobre 2020, le Conseil d'Etat considère que le Health Data Hub (Plateforme des données de santé) hébergé aux Pays-Bas par Microsoft Irlande, ne doit pas être "suspendu" en raison des risques pesant sur les données personnelles de santé. Le Conseil considère cependant que des précautions doivent être prises, sous le contrôle de la CNIL. Le Conseil d'Etat estime qu'il n'y a pas de violation directe du RGPD mais seulement le risques de violation "dans l'hypothèse où Microsoft ne serait pas en mesure de s'opposer à une demande d'accéder à certaines données formulée par une agence américaine". La plateforme doit négocier dans les quinze jours un avenant au contrat passé avec Microsoft pour préciser que le droit de l'Union européenne s'applique. » explique Sabine Marcellin, avocate associée du cabinet DLGA, spécialisée dans le droit du numérique et protection des données.
Arnaud Dumourier (@adumourier)
Suivre @adumourier
Voir aussi ci-dessous l'interview de Christophe Lévy-Dières, Associé chez Algance Avocats et Fondateur de Lob.legal :