L'hébergement par Microsoft de la plateforme de santé française est à nouveau mis en cause
La plateforme française pour les données de santé (Health Data Hub) replonge dans la polémique.
Ce n'est pas la première fois que le Health Data Hub est l'objet d'un recours devant la plus haute juridiction de l'ordre administratif français. Elle avait déjà été attaquée en justice, à ceci près que le résultat n'avait pas été jugé satisfaisant par les demandeurs : le Conseil d’État s'est en effet montré réservé sur les risques effectifs de transfert de données de santé aux USA, parce que Microsoft est dans la boucle.
Sauf que depuis cette décision, rendue le 19 juin, un arrêt est venu rebattre les cartes : celui du Cour de justice de l'Union européenne, le 16 juillet. L'instance a invalidé un accord de 2016 (le « Privacy Shield ») pris entre Bruxelles et Washington sur le transfert des données personnelles entre les deux rives de l'Atlantique. La raison ? Un encadrement insuffisant des programmes de surveillance aux USA.
Or, l'argumentaire juridique du Conseil d’État pour trancher l'affaire qui a été portée à sa connaissance repose justement en partie sur le Privacy Shield, aussi appelé bouclier de protection des données UE-États-Unis. De fait, pour les opposants à un hébergement du Health Data Hub par un géant américain du cloud, cela justifie de reposer la question à l'instance administrative.
Dans leur communiqué de presse, les demandeurs décrivent un « transfert illégal de données personnelles et sensibles ». Ils évoquent des données transférées aux USA alors que la justice européenne a cassé le Privacy Shield « au motif d’une protection inadéquate sur le sol américain », et demandent au Conseil d’État « de suspendre le traitement et la centralisation des données au sein du Health Data Hub ».
Quels sont les transferts en cause ?
Dans l'analyse du Conseil d’État sur le Health Data Hub, deux cas de figure ont été évoqués pour envisager un éventuel transfert de données.
Le recours à une législation américaine très spécifique, le Cloud Act, qui autorise la justice américaine à demander la saisie de données hébergées à l’étranger, si l’hébergeur est une société américaine. Mais le Conseil d’État suggérait qu'il n'y aurait pas de cas pratique pour utiliser ce levier -- il faudrait une requête d'un juge américain pour une affaire criminelle, ce qui restreindrait de fait les possibilités de transfert.
Des transmissions d'ordre technique, « dans le cadre du fonctionnement courant » de la plateforme, pour des opérations d’administration standards. En somme, de la résolution d'incident et de la maintenance. Les données de santé ne seraient jamais transférées, de fait de mesures de contrôle interdisant tout accès aux employés de Microsoft sans le feu vert du Health Data Hub.
Dans le cadre de l'accord actuel, la plateforme de santé française passe par Microsoft, mais les données sont stockées sur le territoire européen, dans un centre situé aux Pays-Bas. Il est de fait soumis au Règlement général sur la protection des données. Mais des voix s'élèvent pour basculer le Health Data Hub sur un hébergeur français ou européen, au nom de la souveraineté des données, via un appel d'offres.
Parmi les signataires du recours au Conseil d’État figurent l'association CNLL (Le Conseil national du logiciel libre), le Syndicat national des journalistes, des syndicats du monde médical et hospitalier, des associations citoyennes ainsi que des personnalités du secteur de la santé, dont un médecin et professeur de médecine et la représentante des patients au sein du Conseil de surveillance de l’AP-HP.