Nos données de santé chez Microsoft : un risque hypothétique… pour l’instant
Quand il sera réel, ce sera trop tard !
Saisi par plusieurs opposants au stockage des données du Health Data Hub dans le cloud de Microsoft, le Conseil d’État n'a pas retenu la condition d'urgence qui motivait leur requête de suspension des autorisations de traitement accordées dans le cadre du projet Darwin EU. Bien qu'elle ne se soit pas encore prononcée sur le fond, la juridiction qualifie d'hypothétique le risque d'un accès aux données par les autorités des États-Unis.
La polémique autour de l'hébergement des données de santé par Microsoft n'a pas fini d'alimenter la chronique judiciaire. Le dernier épisode en date fait suite à deux récentes délibérations de la CNIL. Dans ces avis, rendus mi-février et publiés en mars, la Commission autorise l'Agence européenne du médicament (EMA) à mettre en œuvre des traitements informatiques sur un jeu composé des données de santé de 10 millions de Français.
La condition d'urgence n'est pas remplie
Les informations en question sont stockées au sein d'un entrepôt de données du Health Data Hub, lui-même hébergé sur Azure, le cloud de Microsoft.
Cette autorisation de traitement a fait l'objet d'une requête en référé auprès du Conseil d’État déposée par plusieurs opposants historiques au projet de stockage chez Microsoft, parmi lesquels Clever Cloud, Nexedi ou le Conseil national du logiciel libre.
Défendue par écrit, puis lors d'une audience le 23 avril dernier, la requête affirme que les modalités de cette collecte ne sont pas définies de façon suffisamment précises pour prévenir tout risque de collecte extraterritoriale permise par les dispositions légales états-uniennes. Les requérants invoquent ainsi une condition d'urgence pour demander la suspension immédiate des traitements autorisés par la CNIL.
Dans sa décision du 25 avril, initialement signalée par l'Informé et disponible ici, le Conseil d’État rejette cette condition d'urgence. La juridiction retient notamment que « s'il ne peut être totalement exclu que les données du traitement autorisé (...) fassent l'objet de demandes d'accès par les autorités des États-Unis (...), ce risque demeure hypothétique en l'état de l'instruction ».
Compte tenu par ailleurs de la certification Hébergeur de données de santé (HDS) dont dispose Microsoft Ireland en tant que maison mère d'Azure en France, elle estime que la condition d'urgence n'est pas remplie, ce qui conduit donc au rejet de la requête en référé.
Un nouveau jugement à venir sur le fond
« En parallèle, une autre requête avait été déposée au fond. Elle mettra évidemment plus de temps à être instruite », nous indique l'un des protagonistes du dossier, déçu que le juge des référés n'ait pas choisi de prévenir les risques.
Les liens entre le Health Data Hub et Microsoft ont déjà été attaqués à plusieurs reprises devant le Conseil d’État suite à l'autorisation accordée par la CNIL début 2024, pour une durée de trois ans.
Les opposants à ce stockage réalisé en France, mais sous pavillon d'une société américaine, ont déjà récusé à plusieurs reprises les arguments repris dans sa dernière décision par le Conseil d’État. Ils font notamment valoir que la certification HDS n'apporte aucune garantie quant à des demandes d'accès émanant d'une autorité extraterritoriale.
La CNIL elle-même a assorti son autorisation initiale, et ces deux nouvelles délibérations, d'un certain nombre de réserves. Dans son avis publié mi-mars, elle note par exemple explicitement « que les données stockées par un hébergeur soumis à un droit extra-européen peuvent être exposées à un risque de communication à des puissances étrangères ».
Commentaires (15)
Abonnez-vous pour prendre part au débat
Déjà abonné ? Se connecter
Cet article est en accès libre, mais il est le fruit du travail d'une rédaction qui ne travaille que pour ses lecteurs, sur un média sans pub et sans tracker. Soutenez le journalisme tech de qualité en vous abonnant.
Accédez en illimité aux articles
Profitez d’un média expert et unique
Intégrez la communauté et prenez part aux débats
Partagez des articles premium à vos contacts
Abonnez-vousLe 29/04/2025 à 14h35
Pas mal hein? C´est français.
Le 29/04/2025 à 14h45
Le 29/04/2025 à 15h05
assumeraccepter s'il se produit.Nuance ici ! Les risques doivent être acceptés mais dans la philosophie européenne, ils ont déjà été rejetés, d'où la perplexité de ce jugement.
Un risque qui ne s'est jamais produit est une hypothèse par définition.
Le HDS effectivement dans sa version 1.1 ne précise pas la nécessité de protéger contre l'extraterritorialité.
Le 29/04/2025 à 16h17
Ensuite je te rejoins sur le fait que cela va à l'encontre des règles européennes.
Le 29/04/2025 à 21h00
@Thorgalix_21 qui approuve : tu peux aussi nous dire à quelles règles européennes tu penses ?
Le 29/04/2025 à 21h45
Mon raisonnement, qui doit être bien bancal, est le suivant : si je ne veux pas que mes données soient traitées par une boîte US car la loi US n’est pas RGPD compatible, je ne peux pas faire valoir ce choix car sinon je ne pourrai pas bénéficier des services de l’Assurance Maladie qui s’appuie sur le HDH.
D’où ma conclusion que c’était contraire au RGPD et donc aux décisions de l’UE.
Le 30/04/2025 à 20h15
Dans les fait, les agences américaines restent en droit de récupérer les données sans permettre à ce qu'une entreprise qui les héberge puisse prévenir le client.
Ce qui signifie que les données des Français, le cas présent, ne sont pas protégés des incursions américaines mêmes si chiffrées.
D'où ma phrase : Dans la philosophie, l'Europe n'a pas accepté le risque puisque le RGPD existe.
Le 01/05/2025 à 01h07
Modifié le 29/04/2025 à 15h20
C'est affligeant.
Le 29/04/2025 à 15h07
Le 29/04/2025 à 15h23
Le 29/04/2025 à 15h35
Le 29/04/2025 à 15h46
tousse tousse Snowden tousse tousse...
Le 30/04/2025 à 08h07
Modifié le 01/05/2025 à 00h26
N'est plus sourd que celui qui ne veut entendre
ou encore
On ne fait pas boire un âne qui n'a pas soif