Le Conseil d’État demande au Health Data Hub des garanties supplémentaires pour limiter le risque de transfert vers les États-Unis

14 octobre 2020

Dans son ordonnance du 13 octobre 2020, le Conseil d’État reconnaît l’existence d’un risque de transfert de données issues du Health Data Hub vers les États-Unis et demande des garanties supplémentaires. La CNIL conseillera les autorités publiques sur les mesures appropriées et veillera, pour l’autorisation des projets de recherche liées à la crise sanitaire, à ce que le recours à la plateforme soit réellement nécessaire.

L’essentiel

  • Par crainte que certaines données puissent être transférées aux États-Unis, des requérants ont saisi le Conseil d’Etat d’un recours demandant la suspension du « Health Data Hub », la nouvelle plateforme destinée à accueillir, à terme, l’ensemble des données de santé des personnes soignées en France.
  • Le juge des référés estime qu’on ne peut exclure un risque de transfert des données de santé hébergées dans la plateforme du Health Data Hub aux services de renseignements américains.
  • En raison de l’utilité du Health Data Hub pour la gestion de la crise sanitaire, il refuse de suspendre le fonctionnement de la plateforme.
  • En revanche, il enjoint au Health Data Hub de renforcer sur certains points le contrat qui le lie à Microsoft et de rechercher des mesures additionnelles pour mieux protéger les données qu’il héberge.
  • Il appartient à la CNIL de veiller, pour les demandes d’autorisation des projets de recherche sur le Health Data Hub dans le cadre de la crise sanitaire, à ce que le recours à la plateforme soit techniquement nécessaire, et de conseiller les autorités publiques sur les garanties appropriées.
  • Ces précautions devront être prise dans l’attente d’une solution pérenne qui permettra d’éliminer tout risque d’accès aux données personnelles par les autorités américaines, comme annoncé par le secrétaire d’État au numérique.

 

La Plateforme des données de santé, dite « Health Data Hub », est un système d’information qui a vocation à regrouper l’ensemble des données de santé de toute la population soignée en France. Cette centralisation, voulue par le législateur, doit notamment favoriser la recherche médicale. Pour les besoins de la gestion de la crise sanitaire,  le Health Data Hub a été mis en service en avril 2020 de façon anticipée et sur un périmètre limité.

L'hébergement de la plateforme ayant été confié à Microsoft, un recours a été formé par diverses associations et professionnels devant le Conseil d’État pour demander la suspension du Health Data Hub, en raison de l’intervention du récent arrêt de la Cour de justice de l’Union européenne  (CJUE) du 16 juillet 2020, dit « Schrems II ». Par cet arrêt, la Cour de justice a en effet jugé que la surveillance exercée par les services de renseignements américains sur les données personnelles des citoyens européens était excessive, insuffisamment encadrée et sans réelle possibilité de recours. Elle en a déduit que les transferts de données personnelles depuis l’Union européenne vers les États-Unis sont contraires au règlement général sur la protection des données (RGPD) et à la Charte des droits fondamentaux de l’Union européenne, sauf à apporter des garanties particulières ou dans certains cas dérogatoires.

Le Conseil d’État a invité la CNIL à produire des observations sur ce recours. Dans son mémoire, la CNIL a estimé que le choix d’un hébergeur soumis au droit américain semblait incompatible avec les exigences de la CJUE en matière de protection de la vie privée. Elle a, d’une part, invité le juge à vérifier que les engagements de l’hébergeur à supprimer les transferts de données personnelles hors UE couvraient bien l’ensemble du Health Data Hub. D’autre part, elle a estimé que l’hébergement de la plateforme par une société de droit états-unien, pouvant être amenée à répondre à des demandes de communication de données, même pseudonymisées, était en soi problématique et devait conduire à changer d’opérateur ou à apporter des garanties spécifiques. Elle a recommandé l’aménagement d’une période de transition pour atteindre cet objectif.

Dans son ordonnance, le juge des référés du Conseil d’État a considéré que :

  • L’arrêt Schrems II de la CJUE implique que Microsoft doit s’interdire de transférer des données de santé vers les Etats-Unis. Sur ce point, le juge a relevé les garanties importantes déjà apportées par le Health Data Hub et a demandé des clarifications dans le contrat.
  • Le juge a confirmé qu’on ne peut exclure un risque de transmission de données de santé sur demande des services de renseignement américains.  
  • Compte tenu de l’importance du Health Data Hub, notamment pour la gestion de la crise sanitaire, ce risque ne justifie pas l’interruption immédiate de la plateforme. En revanche, le juge demande que soient apportées des garanties de nature à minimiser ce risque.
  • À ce titre, il prend acte de la volonté exprimée par le Gouvernement de transférer le Health Data Hub sur des plateformes françaises ou européennes à la suite de l’intervention de l’arrêt Schrems II.  Dans l’intervalle, le juge demande au Health Data Hub de travailler à minimiser ce risque, notamment en concluant un nouvel avenant avec Microsoft.
  • Le juge demande à la CNIL d’instruire les demandes d’autorisation des projets de recherche utilisant le Health Data Hub en vérifiant que l’intérêt du projet, compte tenu de l’urgence sanitaire actuelle, est suffisant pour justifier le risque encouru et que le recours à la plateforme est nécessaire.

La CNIL va analyser avec attention la position du juge des référés pour l’instruction des demandes d’autorisations de projets de recherche utilisant le Health Data Hub ainsi que pour conseiller les autorités publiques sur la mise en place de garanties pérennes appropriées. 

À ce titre, la CNIL accueille favorablement les déclarations du secrétaire d’État au numérique qui a indiqué, le 8 octobre dernier devant le Sénat, la volonté du Gouvernement de transférer le Health Data Hub sur des plateformes françaises ou européennes.