Le Conseil d’État a rendu sa décision concernant le Health Data Hub, hébergé par Microsoft, sur d'éventuels transferts de données personnelles vers les USA. Pour l'instance, il y a bien un risque potentiel, mais qui est faible. Elle exige un renforcement de la protection des données personnelles et invite à songer à une alternative plus sûre.

Faut-il suspendre en urgence la plateforme Health Data Hub, parce qu’il existerait un risque potentiel de transfert de données personnelles — plus précisément, de données de santé — vers les USA ? Telle était la question qui était posée au Conseil d’État, la plus haute juridiction de l’ordre administratif français, saisie par un collectif de dix-huit requérants préoccupés par l’implication de Microsoft dans ce projet.

La réponse est arrivée le 14 octobre du juge des référés, seul à même de déterminer si l’affaire revêt effectivement un caractère d’urgence et s’il faut ordonner par conséquent des mesures provisoires pour préserver les droits de tiers. Malheureusement, son analyse décevra celles et ceux qui espéraient une décision permettant de couper rapidement le cordon avec l’entreprise américaine.

Le traitement de données par Microsoft en Europe n’est pas en lui-même une illégalité grave et manifeste

Dans son communiqué accompagnant sa décision, le Conseil d’État explique en effet que le « traitement de données par Microsoft sur le territoire de l’Union européenne n’est pas en lui-même une illégalité grave et manifeste » qui justifierait de tout couper sans attendre. En outre, il fait remarquer que deux dispositions ont été prises pour empêcher tout transfert extraeuropéen.

Quelles sont ces dispositions ?

La première d’entre elles figure directement dans le contrat signé entre Microsoft et le Health Data Hub, qui engage les deux parties « à refuser tout transfert de données de santé en dehors de l’Union européenne ». Quant à la seconde, plus récente, car elle provient d’un arrêté pris par le gouvernement le 9 octobre, elle entend produire les mêmes effets, en interdisant de telles circulations de données.

Dans sa décision, le juge des référés admet toutefois «  l’existence d’un risque » qui se manifesterait ici par une demande des autorités américaines adressée à Microsoft pour accéder aux données de santé, via ses programmes de surveillance et de renseignement. Mais pour l’instance administrative, il s’agit d’un scénario « hypothétique » supposant que Microsoft ne soit pas capable de s’y opposer.

Le choix de Microsoft comme sous-traitant du Health Data Hub est de plus en plus remis en cause. // Source : Wikipédia

Il s’avère que par le passé, la firme de Redmond s’est déjà frottée à l’administration américaine devant les tribunaux : en 2016 par exemple, le groupe américain avait réussi à faire prévaloir son point de vue dans une cour d’appel aux États-Unis au sujet d’une affaire impliquant des mails, stockés hors des USA, d’une personne soupçonnée d’un trafic de drogue. L’affaire datait de 2016.

Depuis, le Règlement général sur la protection des données (RGPD) est entré en vigueur en Europe, imposant des exigences consolidées en matière de données personnelles pour les entités procédant à leurs traitements depuis le territoire de l’Union européenne — comme dans le cas de Microsoft avec le Health Data Hub, puisque l’entreprise américaine se sert d’un centre de données basé aux Pays-Bas.

Par ailleurs, continue le Conseil d’État, la Cour de justice de l’Union européenne n’a pour le moment jamais dit que le droit européen de la protection des données empêche un groupe étranger de se voir confier le traitement de données en Europe. Enfin, il est aussi rappelé que les données en cause sont «  pseudonymisées avant leur hébergement et leur traitement par la plateforme ».

Un risque potentiel à prendre en compte

Mais parce qu’on ne peut pas écarter absolument tout risque, il est demandé au Health Data Hub et à Microsoft de « renforcer la protection des données personnelles », sous l’égide de la Commission nationale de l’informatique et des libertés. La CNIL, d’ailleurs, ne veut plus que l’on passe par un prestataire américain et l’a fait savoir en adressant ses remarques au Conseil d’État.

Et c’est justement là le second volet de la réponse du Conseil d’État, qui invite à prendre une « solution qui permettra d’éliminer tout risque d’accès aux données personnelles par les autorités américaines ». La juridiction administrative laisse le choix des armes aux intéressés, mais il pourrait s’agir par exemple de passer par un nouveau sous-traitant, français ou européen cette fois.

OVH data center
OVH pourrait devenir une solution de repli, si l’option Microsoft n’est plus tenable. // Source : OVH

Pour le collectif à l’origine de la requête, la décision est partiellement satisfaisante. À ses yeux, elle «  reconnait que le Gouvernement américain peut accéder sans contrôle aux données de santé des Français hébergées par le Health Data Hub chez Microsoft », mais pour autant elle n’a pas permis sa suspension immédiate. Aussi annonce-t-elle un autre recours, toujours au Conseil d’État.

Il va s’agir cette fois de saisir l’instance au fond pour obtenir des mesures qui puissent dépasser le « très court terme ». En outre, le collectif confirme qu’il alerte dans la foulée la CNIL. Le collectif avait déjà lancé une autre requête au fond auprès du Conseil d’État fin septembre après un revers survenu plus tôt devant le juge des référés. La bataille sur les conditions d’hébergement du Health Data Hub est loin d’être terminée.

Partager sur les réseaux sociaux

La suite en vidéo