Entrée du Conseil d'EtatCrédits : Conseil d’État (CC BY 2.0)

Health Data Hub : le Conseil d’État rejette la suspension de la décision de la CNIL

Morsure du fouet

Avatar de l'auteur
Vincent Hermann

Publié dans

Droit

26/03/2024 7 minutes
7

Entrée du Conseil d'EtatCrédits : Conseil d’État (CC BY 2.0)

Le Conseil d’État a rejeté ce matin la demande faite par un groupement d’entreprises et associations. Ce dernier souhaitait l’intervention urgente du Conseil pour invalider la décision de la CNIL publiée le 31 janvier dernier. Le rejet a été motivé par un « défaut d’urgence ».

La situation actuelle n’a pas fini de faire parler. La Plateforme de données de santé (Health Data Hub ou HDH) a été autorisée en décembre à stocker dans Microsoft Azure les données françaises pour le projet EMC2. Ce dernier, européen, vise à concentrer un lot de données provenant de plusieurs pays dans lesquels un équivalent du HDH est déjà établi. Objectif : permettre enfin le décollage des utilisations secondaires des données, avec en tête la recherche via des modèles d’IA.

On se rappelle que le communiqué de la CNIL était rédigé d’une façon très particulière : la contrainte y était exprimée entre les lignes. Et pour cause : la décision de la Commission se faisait sur la loi, et cette dernière est claire, puisque le Data Privacy Framework établit une adéquation entre les États-Unis et l’Europe pour tout ce qui touche à la sécurité et au respect de la vie privée dans les données.

Cette décision avait largement fait réagir, notamment le député Philippe Latombe. « Ils n’ont pas eu le choix, encore une fois. Mais la décision laisse suffisamment de prise pour que tout le monde puisse la contester. Et je vous le promets : vous allez avoir, dans les jours qui viennent, des contestations de cette décision auprès du Conseil d’État. Vous n’imaginez même pas combien sont prêts », prophétisait-il alors.

Cela a pris un peu plus de temps que prévu, mais une demande a été formulée devant le Conseil d’État la semaine dernière. Portée notamment par Clever Cloud, Nexedi et Rapid.space, elle demandait un référé, c’est-à-dire une intervention urgente du Conseil pour faire suspendre la décision de la CNIL. Cette demande a été rejetée.

La décision du Conseil d’État

La suite est réservée à nos abonnés.

Déjà abonné ? Se connecter

Abonnez-vous

Écrit par Vincent Hermann

Tiens, en parlant de ça :

Sommaire de l'article

Introduction

La décision du Conseil d’État

Soupe à la grimace

Fermer

Commentaires (7)


Qu'elle surprise...
Le concept d'urgence n'est pas le même pour tout le monde. :craint:
Décision assez logique en référé.

Lors de l'article précédent, je n'arrivais pas à retrouver si les données étaient bien pseudonymisées. Comme c'est le cas, même si ce n'est pas parfait, ce n'est pas étonnant que ça soit considéré comme suffisant par le Conseil d'État faute d'argumentation précise des requérants pour démontrer que cette mesure ne suffisait pas pour protéger l'identité des personnes.

Il faut donc attendre la décision au fond et l'éventuelle annulation par la CJUE du dernier accord sur la protection des données avec les USA.
C'est logique en référé, surtout qu'il n'y a à ce jour aucune donnée envoyée, donc un rejet sur la caractérisation de l'urgence aurait eu du sens ; là, ce qui est plus problématique, c'est que l'argumentaire est totalement aveugle aux problématiques de fond...

KaraMan

C'est logique en référé, surtout qu'il n'y a à ce jour aucune donnée envoyée, donc un rejet sur la caractérisation de l'urgence aurait eu du sens ; là, ce qui est plus problématique, c'est que l'argumentaire est totalement aveugle aux problématiques de fond...
Pas nécessairement. En particulier, tu peux considérer qu’à partir du moment où la donnée a été envoyée, c’est trop tard. Donc de ce point de vue, l’urgence est plutôt à s’assurer qu’aucune donnée n’y parte.
" les demandes d’accès aux données doivent être validées par un juge pour les besoins d’une enquête pénale. Pour le Conseil, il n’y a pas de raison qu’une telle procédure concerne des données de santé françaises pseudonymisées. Même chose pour les demandes qui émaneraient des agences de renseignement. Les « garanties importantes dont la mise en œuvre du projet est entourée » sont jugées suffisantes"

la garantie serait que l'hébergeur soit français/européen.
OVH, Infomaniak, Clever Cloud.
Le recours à un juge n'est pas suffisant comme garantie, puisque les législations américaine et française ne sont pas les mêmes.
Ex: l'avortement.