Health Data Hub, Microsoft et Darwin EU : le Conseil d’État valide, malgré un « risque »
HDH vs le reste du monde : S05E17
Le Conseil d’État ne trouve rien à redire sur la décision de la CNIL relative au traitement automatisé des données de santé dans le cadre du projet Darwin EU. Il reconnait par contre qu’il existe un risque que les autorités américaines demandent à Microsoft d’accéder à des données personnelles de santé. Il estime néanmoins qu’il existe des garanties suffisantes.
Dans une décision publiée vendredi, le Conseil d’État « n’annule pas l’autorisation accordée à Health Data Hub d’extraire et de traiter des données de santé dans le cadre d’études sur la prévalence et l’incidence des pathologies dans la population française ». Il avait été saisi l’année dernière par des associations et des particuliers.
« La CNIL n’a pas commis d’erreur d’appréciation »
En trame de fond, le projet DARWIN EU (Data Analysis and Real-World Interrogation Network Europe) dont le but est d’analyser des données de la vie réelle relatives à des médicaments et des vaccins. Dans le cadre de ce projet, la CNIL avait autorisé, en février 2025, la mise « en œuvre des traitements automatisés de données personnelles », pour une durée de trois ans.
Les données viennent du Système national des données de santé (SNDS), stockées sur le Health Data Hub (HDH) chez Microsoft. Pour les plaignants, avec l’utilisation de cet acteur étasunien, il y a un risque « de transfert de données personnelles vers les États-Unis ».
Le Conseil d’État ne suit pas leur demande et explique sa décision. « En premier lieu [il remarque] que l’autorisation de la CNIL a pour seul objet d’autoriser le traitement de données de santé hébergées dans des centres de données situés en France, et non d’autoriser le transfert de ces données vers les États-Unis ».
S’il admet qu’il est possible, « compte tenu des modalités d’exécution du contrat passé avec Microsoft, que certaines données personnelles relatives aux utilisateurs de la plate-forme – et non aux personnes incluses dans le champ des études – soient transférées vers des administrateurs de la société situés aux États-Unis, le Conseil d’État relève que le contrat prévoit des garanties conformes au RGPD ».
Le Conseil d’État revient aussi sur la question des lois extraterritoriales américaines. Il reconnait que le risque « que les autorités américaines […] demandent à la société Microsoft d’accéder à des données personnelles de santé ne peut être totalement exclu », mais il ajoute que « l’autorisation contestée est assortie de garanties permettant d’assurer la sécurité de ces données, notamment leur pseudonymisation et la limitation de leur durée de conservation ». En conséquence, la haute juridiction estime que « la CNIL n’a pas commis d’erreur d’appréciation et rejette la demande des requérants ».
Des mesures de sécurité suffisantes pour le Conseil d’État
Le détail de la décision apporte des précisions sur la question de l’hébergement des données et de la position vis-à-vis des États-Unis.
Pour le Conseil d’État, sur la base des documents dans son dossier, les « données de santé comprises dans les traitements autorisés font l’objet de mesures de sécurité, comprenant notamment la pseudonymisation sous le contrôle de la Caisse nationale d’assurance maladie et de la PDS, la limitation de la durée de conservation des données brutes extraites du SNDS, l’analyse des risques de réidentification lors de chaque export et l’analyse des traces d’utilisation par la PDS ».
Le Conseil d’État se retranche aussi derrière la certification HDS. Il rappelle pour commencer que Microsoft « ne peut bénéficier de la certification « SecNumCloud » délivrée par l’Agence nationale de la sécurité des systèmes d’information (ANSSI), dès lors qu’elle est la filiale d’une société soumise au droit des États-Unis ».
SecNumCloud dans sa dernière version nécessite en effet une immunité aux lois extraterritoriales. Par contre, Microsoft dispose « de la certification « hébergeur de données de santé » […] qui implique un audit régulier par un organisme accrédité ».
Le Health Data Hub va migrer sur une offre SecNumCloud
Au début de l’année, le gouvernement a promis la migration de la plateforme des données de santé (Health Data Hub) vers un hébergement avec une qualification SecNumCloud. S3ns, la co-entreprise de Google et Thales est pour rappel qualifiée depuis peu, tandis que Bleu (Microsoft, Orange et Capgemini) espère suivre rapidement, d’ici la fin du premier semestre de l’année.
Commentaires (1)
Abonnez-vous pour prendre part au débat
Déjà abonné ou lecteur ? Se connecter
Cet article est en accès libre, mais il est le produit d'une rédaction qui ne travaille que pour ses lecteurs, sur un média sans pub et sans tracker. Soutenez le journalisme tech de qualité en vous abonnant.
Accédez en illimité aux articles d'un média expert
Profitez d'au moins 1 To de stockage pour vos sauvegardes
Intégrez la communauté et prenez part aux débats
Partagez des articles premium à vos contacts
Abonnez-vousLe 24 mars à 14h13
Je croyais qu'en France que avec le principe de précaution s'il y a avait un risque on ne faisait pas ?
PS :
Je me réponds à moi-même, le principe de précaution ne concerne l'environnement et la santé...
https://www.vie-publique.fr/fiches/20275-ladministration-est-elle-soumise-au-principe-de-precaution#:~:text=Le%20principe%20de%20pr%C3%A9caution%20signifie,vache%20folle%22%2C%20notamment).
Signaler un commentaire
Voulez-vous vraiment signaler ce commentaire ?