Le vent souffle fort cette année autour du Health Data Hub. La structure, conçue pour être le guichet unique dans les demandes d’accès aux données de santé dans un cadre de recherche, héberge les données dans l’infrastructure cloud Azure de Microsoft. Ces données comprennent notamment une partie du SNDS (Système National des Données de Santé).

Le sujet crispait déjà nombre d’acteurs français du cloud. Mais au début de l’année, une décision de la CNIL met le feu aux poudres : la Commission valide la création de l’entrepôt EMC2 (qui rassemble des données de santé de plusieurs pays européens) et son stockage des informations encore une fois dans Azure.

La CNIL avait décidé dans la loi. Le Data Privacy Framework (DPF) établit une adéquation entre les États-Unis et l’Europe pour la sécurité et le respect de la vie privée dans les données. La Commission n’avait donc pas de motif légitime de refuser cet hébergement. Le député Philippe Latombe nous avait alors indiqué que cette décision était contrainte, soulignant que le texte laissait apparaitre les réticences entre les lignes. Pour autant, aucune autre décision n’aurait pu être prise tant qu’existe le DPF.

« Ils n’ont pas eu le choix, encore une fois. Mais la décision laisse suffisamment de prise pour que tout le monde puisse la contester. Et je vous le promets : vous allez avoir, dans les jours qui viennent, des contestations de cette décision auprès du Conseil d’État. Vous n’imaginez même pas combien sont prêts », affirmait alors le député.

De fait, une demande de référé a rapidement été déposée devant le Conseil d’État. Portée notamment par Clever Cloud, Nexedi et Rapid.space, elle réclamait une intervention urgente pour invalider la décision de la CNIL. Au cœur de la demande figurait l’argument principal : Microsoft est une société américaine, soumise à des lois extraterritoriales, dont la Section 702 de la loi FISA. Les données européennes pouvaient donc se retrouver aux mains des services de renseignement américains. En outre, la décision de la CNIL niait les offres existantes chez les entreprises françaises et européennes.

Cette demande avait été rejetée en mars. La décision du Conseil d’État était tranchée : les sociétés requérantes n’auraient dans tous les cas pas eu le temps de se préparer. En outre, la CNIL n’a donné son aval que pour trois ans. Enfin, le Conseil d’État avait estimé que cette autorisation n’aurait qu’un « impact indirect et limité sur les activités » des sociétés requérantes.

La demande de référé n’ayant pas abouti, une décision sur le fond était attendue.

Nouveau rejet du Conseil d’État

Cette fois, c’est sur le fond que le Conseil d’État rejette la demande. Dans sa délibération, il explique que la CNIL « n'a pas, contrairement à ce qui est soutenu, entaché sa délibération d'irrégularité ». La décision de la Commission a été prise dans les règles.

Le Conseil note également que le projet EMC2 vise à établir un entrepôt de données en France, stocké sur des serveurs physiquement situés au sein des frontières. « Elle n'a pas pour objet et ne saurait avoir pour effet d'autoriser un transfert de données à caractère personnel vers un État tiers, les seules données susceptibles de faire l'objet d'un transfert vers des administrateurs situés aux États-Unis étant des données techniques d'usage de la plateforme », ajoute-t-il.

La décision aborde d’autres points, notamment le statut de Microsoft. Si le Conseil d’État note bien qu’il s’agit effectivement d’une entreprise américaine et qu’elle ne peut donc bénéficier à ce titre du label SecNumCloud, elle bénéficie quand même de la certification HDS (hébergeur de données de santé). Ce point, appuyé par les autres garanties du projet, dont la pseudonymisation des données, est clairement mis en avant par le Conseil d’État, qui rejette donc la demande.

« Le Conseil d’État s’est trompé », estime Philippe Latombe

Joint par téléphone, le député nous dit ne pas être « surpris par la décision du Conseil ». « En revanche, je pense qu’ils se sont trompés ».

« Je trouve que les arguments donnés ne sont pas les bons. Dire que Microsoft est un hébergeur de données de santé, donc qu’il y a une qualification particulière, donc qu'il y a audits, donc que c’est sûr : non, je ne suis pas d’accord. C’est simplement ISO 27001 et une journée de consultant. Ce n’est pas sécurisé au sens où le Conseil d’État le laisse supposer dans sa décision », nous explique Philippe Latombe.

« Ils mettent également en avant que les données sont pseudonymisées, donc que ça ne pose aucun problème. Sauf que l’on sait bien que des données pseudonymisées peuvent être reconstituées, et leur chiffrement n’est fait qu’au repos, pas pendant le transport », ajoute le député.

Il note quand même deux points positifs : « La seule chose de bien dans la décision est qu’ils ne rentrent pas dans une quantification du volume de données pour dire que c’est possible ou non, ce qui aurait été gênant. EMC2 est une petite partie du SDNS, et je ne suis pas sûr que la décision aurait été la même pour la totalité du SNDS. Et deuxième point, ils ne parlent pas du délai. Ils n’abordent pas la question des trois ans. Donc il reste un peu de marge ».

Le député a ajouté qu’il y aurait « d’autres saisines du Conseil d’État dans d’autres chambres » et que « le sujet n’est pas clos ».

• Une cartographie des entrepôts de données de santé en France