Saisi par plusieurs requérants dont le Conseil national du logiciel libre, le Conseil d'État devait se prononcer sur la validité de l'arrêté du 21 avril 2020, confiant la collecte et le traitement des données de santé à la plateforme « Health Data Hub » dans le cadre de la lutte contre l'épidémie de Covid-19. Cet arrêté était considéré par les requérants comme portant une « atteinte grave et manifeste » au respect de la vie privée et le droit à la protection des données personnelles. Dans son ordonnance publiée vendredi 19 juin, la juge des référés rejette l'essentiel de la demande, mais exige tout de même de nouvelles garanties concernant l'anonymisation des données.
La principale cible des plaignants : le choix de Microsoft comme entreprise chargée du stockage et du traitement des données de santé dans le cadre du « Health Data Hub » (données d'hospitalisation du SNIIRAM, du PMSI et de Santé publique France notamment). En effet, les possibles transferts transitoires des données sur des serveurs situés sur le sol américain les exposeraient, selon le conseil du logiciel libre, à une saisie par l'administration américaine.
Après délibération, le juge des référés a estimé dans ses conclusions que le fait que cette société relève du droit américain et puisse être amenée, à transférer des données aux États-Unis, ne peut être considéré « comme portant une atteinte grave et manifestement illégale aux libertés fondamentales que le règlement général pour la protection des données (RGPD) a pour objet de protéger ».
Dans son ordonnance, le Conseil d'État ne conteste pas que l’exploitation des données de passages aux urgences pour l’analyse du recours aux soins et le suivi de la crise sanitaire liée au Covid-19 « reste nécessaire et proportionnée aux risques sanitaires encourus ». Elle note en outre que le contrat conclu entre la plateforme des données de santé et la société Microsoft prévoit la soumission « aux exigences de la réglementation française en matière d’hébergement de données de santé ».
Cependant, l'ordonnance reconnaît que, si les données « au repos » (c’est-à-dire qui ne sont pas en cours de traitement) sont stockées en France et aux Pays-Bas, où la législation européenne s'applique, « ces données pourraient faire l’objet de transferts hors de l’Union européenne dans le cadre du fonctionnement courant de la solution technique ».
La question de la loi américaine CLOUD Act
Toutefois, les éléments fournis par les requérants ne permettent pas de conclure, selon le Conseil d'État, que les données de santé pseudonymisées seraient susceptibles de faire l’objet de demande d’accès de la part du gouvernement américain sur la base de lois tels que le CLOUD Act. Ce dernier prévoit bien que les sociétés soumises au droit américain peuvent être tenues de fournir des données, mais cela doit être autorisé par un juge pour les besoins d’une enquête criminelle.
Le Conseil d'État émet retient cependant un des arguments du Conseil national du logiciel libre : l'absence de garantie concernant la pseudonymisation des données à partir du numéro d'inscription des personnes au répertoire national d'identification des personnes physiques.
Aussi ordonne-t-il que la plateforme des données de santé « Health Data Hub » fournisse à la Commission nationale de l’informatique et des libertés, dans un délai de cinq jours, les éléments qui lui permette de vérifier que les mesures prises assurent une protection suffisante des données de santé.
CCAM technique : des trous dans la raquette des revalorisations
Dr Patrick Gasser (Avenir Spé) : « Mon but n’est pas de m’opposer à mes collègues médecins généralistes »
Congrès de la SNFMI 2024 : la médecine interne à la loupe
La nouvelle convention médicale publiée au Journal officiel, le G à 30 euros le 22 décembre 2024