Les opposants à l'hébergement, par Microsoft, de la plateforme nationale pour les données de santé ont essuyé un échec devant le Conseil d’État. Mais tout n'est pas joué.

Un nouvelle bataille juridique a été perdue contre le Health Data Hub, mais tout n’est pas encore joué. Le 21 septembre, le Conseil d’État a rejeté le nouveau recours qui a été lancé par un collectif de 18 organisations et personnalités pour contester les conditions d’attribution du contrat d’hébergement, et le fait que celui-ci soit entre les mains d’une entreprise américaine, Microsoft.

Le Health Data Hub est la nouvelle plateforme nationale pour les données de santé. Elle doit permettre et faciliter le croisement de bases de données de santé existantes à des fins de R&D, d’innovation sanitaire, mais aussi d’amélioration des soins et de compétitivité sur la scène internationale. Elle est susceptible dans ce cadre de traiter des données de Français et Françaises, avec en principe des garanties d’anonymat.

Une bataille a été perdue, donc, mais pas la guerre. Ce qu’il s’est joué devant la plus haute juridiction de l’ordre administratif français consistait en réalité à déterminer s’il y avait ou non un caractère d’urgence à donner une suite favorable à la requête des plaignants. Celle-ci a été examinée en référé et le juge a considéré qu’il n’y a pas de raison à suspendre sans délai le transfert des données dans le Health Data Hub.

Health Data Hub
L’accueil du Health Data Hub.

Demande de moratoire et CNIL saisie

Il reste à connaître la position du Conseil d’État sur le fond du dossier.

Le 22 septembre, les opposants ont écrit que la même requête sera maintenant déposée dans le cadre d’une procédure standard. Mais cela risque de prendre des années. Aussi réclament-ils l’instauration d’un moratoire, «  tant qu’il ne peut pas être assuré qu’aucune donnée de santé ne sera transférée aux États-Unis, en dehors de toute protection ou garantie adéquate pour les citoyens français  ».

Aujourd’hui, cette plateforme repose en fait sur des serveurs localisés dans un centre situé aux Pays-Bas. Elle est donc soumise au RGPD. Néanmoins, des voix réclament une bascule sur un hébergeur français, ou européen, au nom de la souveraineté des données, car il y a des circonstances dans lesquelles certaines informations, pas nécessairement médicales, peuvent être envoyées aux USA.

L’une des inconnues de l’équation est l’impact qu’aura l’annulation du Privacy Shield sur l’analyse juridique de l’institution administrative. En effet, celle-ci ne s’était pas opposée au fait que le Health Data Hub soit hébergé par Microsoft dans une précédente décision. Or, ce point de vue s’était fondé notamment sur un texte qui a été abrogé par la Cour de justice de l’Union européenne, quelques semaines plus tard.

Outre le moratoire, les plaignants annoncent également saisir la Commission nationale de l’informatique et des libertés pour lui signaler un «  transfert illégal » des données hébergées sur le Health Data Hub. Le 17 juillet, la CNIL avait dit étudier les conséquences juridiques de l’invalidation du Privacy Shield sur le régime de transferts de données entre l’Union européenne et les États-Unis.

La saisine par cette coalition pourrait la pousser à prendre très bientôt la parole.

Partager sur les réseaux sociaux

La suite en vidéo