HDH : le Conseil d’État valide l’hébergement des données de santé d’EMC2 chez Microsoft
Pas besoin de SecNumCloud
Le Conseil d’État a tranché : la validation par la CNIL de l’entrepôt de données de santé EMC2 n’était pas un excès de pouvoir. Le Health Data Hub, qui en est à l’origine, va donc pouvoir laisser les données dans Azure. C’est la deuxième fois que le Conseil d’État rejette une demande liée à l’hébergement des données par le HDH.
Le 22 novembre à 14h19
6 min
Droit
Droit
Le vent souffle fort cette année autour du Health Data Hub. La structure, conçue pour être le guichet unique dans les demandes d’accès aux données de santé dans un cadre de recherche, héberge les données dans l’infrastructure cloud Azure de Microsoft. Ces données comprennent notamment une partie du SNDS (Système National des Données de Santé).
Le sujet crispait déjà nombre d’acteurs français du cloud. Mais au début de l’année, une décision de la CNIL met le feu aux poudres : la Commission valide la création de l’entrepôt EMC2 (qui rassemble des données de santé de plusieurs pays européens) et son stockage des informations encore une fois dans Azure.
La CNIL avait décidé dans la loi. Le Data Privacy Framework (DPF) établit une adéquation entre les États-Unis et l’Europe pour la sécurité et le respect de la vie privée dans les données. La Commission n’avait donc pas de motif légitime de refuser cet hébergement. Le député Philippe Latombe nous avait alors indiqué que cette décision était contrainte, soulignant que le texte laissait apparaitre les réticences entre les lignes. Pour autant, aucune autre décision n’aurait pu être prise tant qu’existe le DPF.
« Ils n’ont pas eu le choix, encore une fois. Mais la décision laisse suffisamment de prise pour que tout le monde puisse la contester. Et je vous le promets : vous allez avoir, dans les jours qui viennent, des contestations de cette décision auprès du Conseil d’État. Vous n’imaginez même pas combien sont prêts », affirmait alors le député.
De fait, une demande de référé a rapidement été déposée devant le Conseil d’État. Portée notamment par Clever Cloud, Nexedi et Rapid.space, elle réclamait une intervention urgente pour invalider la décision de la CNIL. Au cœur de la demande figurait l’argument principal : Microsoft est une société américaine, soumise à des lois extraterritoriales, dont la Section 702 de la loi FISA. Les données européennes pouvaient donc se retrouver aux mains des services de renseignement américains. En outre, la décision de la CNIL niait les offres existantes chez les entreprises françaises et européennes.
Cette demande avait été rejetée en mars. La décision du Conseil d’État était tranchée : les sociétés requérantes n’auraient dans tous les cas pas eu le temps de se préparer. En outre, la CNIL n’a donné son aval que pour trois ans. Enfin, le Conseil d’État avait estimé que cette autorisation n’aurait qu’un « impact indirect et limité sur les activités » des sociétés requérantes.
La demande de référé n’ayant pas abouti, une décision sur le fond était attendue.
Nouveau rejet du Conseil d’État
Cette fois, c’est sur le fond que le Conseil d’État rejette la demande. Dans sa délibération, il explique que la CNIL « n'a pas, contrairement à ce qui est soutenu, entaché sa délibération d'irrégularité ». La décision de la Commission a été prise dans les règles.
Le Conseil note également que le projet EMC2 vise à établir un entrepôt de données en France, stocké sur des serveurs physiquement situés au sein des frontières. « Elle n'a pas pour objet et ne saurait avoir pour effet d'autoriser un transfert de données à caractère personnel vers un État tiers, les seules données susceptibles de faire l'objet d'un transfert vers des administrateurs situés aux États-Unis étant des données techniques d'usage de la plateforme », ajoute-t-il.
La décision aborde d’autres points, notamment le statut de Microsoft. Si le Conseil d’État note bien qu’il s’agit effectivement d’une entreprise américaine et qu’elle ne peut donc bénéficier à ce titre du label SecNumCloud, elle bénéficie quand même de la certification HDS (hébergeur de données de santé). Ce point, appuyé par les autres garanties du projet, dont la pseudonymisation des données, est clairement mis en avant par le Conseil d’État, qui rejette donc la demande.
« Le Conseil d’État s’est trompé », estime Philippe Latombe
Joint par téléphone, le député nous dit ne pas être « surpris par la décision du Conseil ». « En revanche, je pense qu’ils se sont trompés ».
« Je trouve que les arguments donnés ne sont pas les bons. Dire que Microsoft est un hébergeur de données de santé, donc qu’il y a une qualification particulière, donc qu'il y a audits, donc que c’est sûr : non, je ne suis pas d’accord. C’est simplement ISO 27001 et une journée de consultant. Ce n’est pas sécurisé au sens où le Conseil d’État le laisse supposer dans sa décision », nous explique Philippe Latombe.
« Ils mettent également en avant que les données sont pseudonymisées, donc que ça ne pose aucun problème. Sauf que l’on sait bien que des données pseudonymisées peuvent être reconstituées, et leur chiffrement n’est fait qu’au repos, pas pendant le transport », ajoute le député.
Il note quand même deux points positifs : « La seule chose de bien dans la décision est qu’ils ne rentrent pas dans une quantification du volume de données pour dire que c’est possible ou non, ce qui aurait été gênant. EMC2 est une petite partie du SDNS, et je ne suis pas sûr que la décision aurait été la même pour la totalité du SNDS. Et deuxième point, ils ne parlent pas du délai. Ils n’abordent pas la question des trois ans. Donc il reste un peu de marge ».
Le député a ajouté qu’il y aurait « d’autres saisines du Conseil d’État dans d’autres chambres » et que « le sujet n’est pas clos ».
HDH : le Conseil d’État valide l’hébergement des données de santé d’EMC2 chez Microsoft
-
Nouveau rejet du Conseil d’État
-
« Le Conseil d’État s’est trompé », estime Philippe Latombe
Commentaires (8)
Vous devez être abonné pour pouvoir commenter.
Déjà abonné ? Se connecter
Abonnez-vousLe 22/11/2024 à 15h51
Mais des fois, comme ici, la justice ne fait pas le boulot comme on le voudrait et on se retrouve avec un truc tr-s discutable
Le 23/11/2024 à 11h31
Le 23/11/2024 à 20h50
Modifié le 23/11/2024 à 01h26
* La CJUE considère le droit États-unien incompatible avec celui Européen au titre des données personnelles, et considère à ce titre qu'aucun transfert de données personnelles ne peut être opéré.
* L'extra-territorialité du droit États-unien rend toute entité en dépendant assujetti à celui-ci.
La seule conclusion possible de tirer est donc que le choix d'une entité États-unienne afin de stocker des données personnelles (dont les données de santé) de citoyens Européens n'est pas possible.
Décidément, la France n'a toujours rien compris.
La puissance et la capacité d'attaque en profondeur de nos institutions du lobbying des intérêts économiques & géopolitiques États-uniens sont effrayantes.
Le 23/11/2024 à 11h10
C'est pour cela que la CNIL et le Conseil d'État ont validé cet hébergement. En droit, ils ne pouvaient pas faire autrement, au moins pour la CNIL. Pour le Conseil d'État, c'est étonnant qu'il n'ait pas tenu compte de la demande de question préjudicielle sur la validité du DPF à la CJUE (dont parlait l'article de Next de mars dernier). Comme on n'a pas de copie de sa décision, c'est difficile de comprendre pourquoi cette demande a été rejetée mais c'est peut-être justifié en droit.
Le 24/11/2024 à 06h58
Ça me titille, j'aurais plutôt pensé l'inverse.
Le 24/11/2024 à 09h11
En terme plus actuel : pas de chiffrement end to end.
Le 25/11/2024 à 12h42