Éric Landot Brèves et articles

Nos données de santé peuvent être vues par Microsoft… mais uniquement via une fenêtre opaque

Le Conseil d’Etat déverrouille l’hébergement de données de santé en France par Microsoft sous quelques conditions, dans un cas offrant quelques garanties dont celle d’une solide pseudonymisation… mais avec une « simple » certification « hébergeur de données de santé » (moins protectrice que « SecNumCloud» de l’ANSSI). 

———————

 

Diverses associations contestaient le fait que le groupement d’intérêt public Plateforme des données de santé (GIP PDS ; ou Health data hub en bon français https://www.health-data-hub.fr) a conclu avec l’Agence européenne du médicament un contrat de prestation de services portant sur la constitution d’un entrepôt de données de santé visant à permettre des recherches, études et évaluations en pharmaco-épidémiologie.

La Commission nationale de l’informatique et des libertés (CNIL) a autorisé ce GIP  à mettre en oeuvre un traitement automatisé de données à caractère personnel ayant pour finalité la constitution en France d’un entrepôt de données dans le domaine de la santé, dénommé  » EMC2  » dont l’hébergeur est la filiale irlandaise de Microsoft.

Le Conseil d’Etat, saisi, commence par rappeler que le stockage de données aux Etats-Unis, qui pose de sérieux problèmes de RGPD (voir ici la position du Conseil d’Etat belge à ce sujet en commande publique) n’est pas, en l’espèce, la question :

« il ressort de la délibération attaquée qu’elle a pour seul objet d’autoriser la création d’un entrepôt de données de santé, hébergées dans des centres de données situés en France. Elle n’a pas pour objet et ne saurait avoir pour effet d’autoriser un transfert de données à caractère personnel vers un État tiers, les seules données susceptibles de faire l’objet d’un transfert vers des administrateurs situés aux Etats-Unis étant des données techniques d’usage de la plateforme. »

Or, en l’état d’absence d’une exportation de ces données (laquelle n’est de toute manière pas interdite par principe, mais reste — pour schématiser — soumise à de strictes conditions d’équivalence) et d’une double pseudonymisation, ce contrat ne pouvait, selon la Haute Assemblée, être censuré :

6. Il en résulte, d’une part, que les requérants ne peuvent utilement exciper de l’illégalité de la décision d’exécution de la Commission du 10 juillet 2023 constatant, conformément au RGPD, et notamment au 3. de son article 45, le niveau de protection adéquat des données à caractère personnel assuré par le cadre de protection des données UE – États-Unis ( » la décision d’adéquation « ), l’absence de décision d’adéquation ne faisant, au demeurant, pas par elle-même obstacle, ainsi qu’il ressort des articles 46 et 49 du RGPD, à tout transfert de données à caractère personnel vers des Etats tiers à l’Union européenne.

7. Il en résulte, d’autre part, que ces mêmes requérants ne peuvent davantage utilement soutenir que la délibération attaquée méconnaitrait les articles 44 à 48 du RGPD, qui régissent les transferts de données à caractère personnel vers des pays tiers, ainsi que le dernier alinéa de l’article R. 1461-1 du code de la santé publique selon lequel  » Les données du système national des données de santé sont hébergées au sein de l’Union européenne. Aucun transfert de données à caractère personnel ne peut être réalisé en dehors de l’Union européenne, sauf dans le cas d’accès ponctuels aux données par des personnes situées en dehors de l’Union européenne, pour une finalité relevant du 1° du I de l’article L. 1461-3 « .

8. En deuxième lieu, l’article 28 du RGPD prévoit que :  » 1. Lorsqu’un traitement doit être effectué pour le compte d’un responsable du traitement, celui-ci fait uniquement appel à des sous-traitants qui présentent des garanties suffisantes quant à la mise en oeuvre de mesures techniques et organisationnelles appropriées de manière à ce que le traitement réponde aux exigences du présent règlement et garantisse la protection des droits de la personne concernée « . S’il ne peut être totalement exclu que les données du traitement autorisé, d’une sensibilité particulière eu égard à leur nature de données de santé mais aussi au potentiel scientifique et économique de leur exploitation, fassent l’objet de demandes d’accès par les autorités des Etats-Unis, sur le fondement des lois de ce pays, par l’intermédiaire de la société-mère de l’hébergeur, il ressort toutefois des pièces du dossier que les données décrites au point 2 comprises dans le traitement  » EMC2  » font l’objet de pseudonymisations multiples, par la Caisse nationale d’assurance maladie ainsi que par le GIP PDS, avant toute mise à disposition au sein de l’entrepôt  » EMC2 « . Par ailleurs, si la société Microsoft Ireland ne peut bénéficier de la certification  » SecNumCloud  » délivrée par l’Agence nationale de la sécurité des systèmes d’information (ANSSI) dès lors qu’elle est la filiale d’une société soumise au droit des Etats-Unis, elle dispose toutefois de la certification  » hébergeur de données de santé  » prévue par l’article L. 1111-8 du code de la santé publique, qui implique un audit régulier par un organisme accrédité. Eu égard à l’ensemble de ces circonstances et au vu des garanties dont est entourée la mise en oeuvre du projet, lequel n’est en outre autorisé que pour une durée de trois ans, le moyen tiré de ce que la délibération attaquée méconnaîtrait l’article 28 du RGPD doit être écarté.

9. En troisième lieu, eu égard à ce qui a été dit au point précédent et aux finalités d’intérêt public poursuivies par le traitement, les moyens tirés de ce que la délibération attaquée porterait une atteinte disproportionnée au droit à la vie privée, tel que garanti par l’article 8 de la convention européenne de sauvegarde des droits de l’Homme et des libertés fondamentales, et méconnaitrait l’article 2 de la Déclaration des droits de l’Homme et du citoyen, doivent être écartés.

10. En quatrième lieu, les moyens tirés de la méconnaissance des prescriptions de la doctrine d’utilisation de l’informatique en nuage par l’État, mentionnées dans une circulaire du Premier ministre du 31 mai 2023, ne sauraient être utilement invoqués à l’appui d’un recours contre une délibération de la CNIL.

11. En dernier lieu, si la délibération attaquée fait état, d’une part, de ce que la création de l’entrepôt de données de santé résulte de la réponse du GIP PDS à un appel d’offres lancé par l’Agence européenne du médicament et, d’autre part, des conclusions d’une mission d’expertise relevant l’absence de prestataire soumis uniquement aux lois de l’Union européenne susceptible de répondre aux exigences techniques de mise en oeuvre du traitement EMC2, ces observations, qui ont pour seul objet d’éclairer le contexte de la mise en place de cet entrepôt des données de santé, sont sans incidence sur la légalité de l’autorisation accordée.

 

A noter :

  • l’importance de la pseudonymisation
  • la validation des mesures de prudence adoptées et de la certification « hébergeur de données de santé » (moins protecteur que « SecNumCloud» de l’ANSSI)
  • la  prise en compte de la durée limitée de l’accord (3 ans) permettant sa réévaluation
  • rien ne sert d’invoquer une doctrine « cloud » de l’Etat contre une décision d’une autorité qui n’y est pas tenue, à savoir la CNIL.

 

Source :

Conseil d’État, 19 novembre 2024, Association Internet Society France et a. c/ CNIL, n° 491644

En savoir plus sur

Subscribe to get the latest posts sent to your email.