Le Conseil d’État dit non à Microsoft pour l’hébergement des données de santé

Le Conseil d’État dit non à Microsoft pour l’hébergement des données de santé
Actualité

Le Conseil d’État a récemment statué sur une affaire épineuse impliquant le Health Data Hub (HDH), confirmant l’hébergement des données de santé françaises par Microsoft. Les décisions rendues les 27 novembre 2024 et dans les semaines précédentes ont rejeté quatre recours déposés par diverses associations et syndicats préoccupés par la sécurité et la souveraineté des données.

Cette affaire soulève des questions importantes sur la protection des données personnelles et la souveraineté numérique européenne.

Revenons sur les détails de cette décision et ses implications.

Sommaire

  1. Un recours-collectif-pour-la-protection-des-données-personnelles

2. Le-projet-EMC2-sous-les-projecteurs

3. Un-enjeu-de-souveraineté-numérique

4. Les-arguments-en-faveur-de-l’hébergement-par-Microsoft

Un recours collectif pour la protection des données personnelles

Les premières contestations émanaient d’un collectif composé d’organisations telles qu’Interhop, la Ligue des Droits de l’Homme (LDH), ou encore la Fédération SUD Santé Sociaux. Ces groupes dénonçaient notamment :

  • Un risque d’accès par les autorités américaines, lié à la législation extraterritoriale américaine.
  • Une possible violation du RGPD, malgré une décision d’adéquation prise par la Commission européenne en 2023, qui considère les États-Unis comme offrant un niveau de protection suffisant.

Le Conseil d’État a rejeté ces arguments, estimant que la décision d’adéquation ne pouvait être contestée et ne compromet pas la légalité de l’accord entre le HDH et Microsoft. Il a également rappelé que le ministre de la Santé n’avait aucun pouvoir d’intervenir dans ce contrat.

Le projet EMC2 sous les projecteurs

Le projet EMC2 centralise les données de santé pour les besoins de la recherche pharmaco-épidémiologique. Microsoft a été choisi pour héberger ces données, ce qui a conduit à des contestations supplémentaires :

  • Certains plaignants craignaient que leurs données personnelles soient utilisées sans leur consentement.
  • La sécurité des données hébergées par une entreprise américaine a été remise en question.

Le Conseil d’État a jugé ces recours irrecevables, affirmant que les données étaient suffisamment pseudonymisées pour éviter tout risque d’identification directe. Les garanties avancées par Microsoft, bien que jugées non idéales (l’absence de certification SecNumCloud a été relevée), ont été considérées comme conformes aux exigences du RGPD.

Un cadre réglementaire jugé conforme

La dernière série de recours visait directement la décision de la CNIL autorisant l’hébergement des données par Microsoft. Les requérants soulignaient des irrégularités procédurales, des violations du RGPD, et un potentiel accès non sécurisé par des tiers américains.

Le Conseil d’État a statué que :

  1. Les données personnelles transférées aux États-Unis seraient limitées à des flux techniques non sensibles.
  2. La certification HDS de Microsoft, bien qu’insuffisante pour obtenir le label SecNumCloud, offrait des garanties adéquates.
  3. Le projet EMC2 répond à un objectif d’intérêt public justifiant certaines mesures exceptionnelles.

Un enjeu de souveraineté numérique

Cette décision met en lumière un dilemme stratégique pour la France et l’Europe. Bien que l’objectif du HDH soit d’améliorer la recherche médicale, le recours à un géant américain pour l’hébergement des données de santé sensibles soulève des inquiétudes sur la souveraineté numérique.

Des acteurs européens, comme OVHcloud, auraient pu offrir une alternative locale. Cependant, Microsoft a été choisi pour son infrastructure et son expertise, malgré les risques perçus liés à la législation américaine.

Les arguments en faveur de l’hébergement par Microsoft

Le Conseil d’État a souligné plusieurs éléments qui ont pesé en faveur de la décision :

  1. Pseudonymisation des données : Les données sont anonymisées avant leur utilisation, minimisant les risques d’identification.
  2. Certifications en cours : Microsoft détient la certification HDS (Hébergeur de Données de Santé), bien que le label SecNumCloud reste absent.
  3. Durée limitée : L’autorisation actuelle est limitée à trois ans, sous réserve d’un renouvellement conditionné par le respect des normes.
  4. Objectif d’intérêt public : La finalité pharmaco-épidémiologique du projet justifie des mesures exceptionnelles.

Un précédent pour la gestion des données en Europe

En confirmant cette décision, le Conseil d’État ouvre la voie à une poursuite du projet HDH sous les conditions actuelles. Cependant, cette affaire souligne la nécessité pour l’Europe de renforcer son indépendance numérique et d’investir dans des solutions locales capables de rivaliser avec les géants américains.

La protection des données personnelles est un pilier du RGPD, et chaque décision en la matière a des implications profondes pour la confiance des citoyens dans les systèmes de santé numériques.

Entre avancée technologique et débat éthique

En validant cet hébergement, le Conseil d’État permet au HDH et au projet EMC2 de poursuivre leurs travaux pour une durée de trois ans. Cependant, cette décision ne met pas fin aux controverses. Si les objectifs de recherche médicale sont indéniables, la sécurité et la gestion des données personnelles restent un défi majeur.

Dans un contexte de digitalisation croissante des systèmes de santé, ce cas illustre l’urgence pour l’Europe de renforcer son indépendance numérique tout en assurant une protection irréprochable des données de ses citoyens.

Publications similaires:

  1. La vidéosurveillance en ville
  2. Démarchage téléphonique & RGPD | Domaine des assurances
  3. IA : la CNIL dévoile ses recommandations
  4. RGPD et concurrence déloyale : ce que vous devez savoir
Retour aux actualités
Partager l'article

Articles similaires

RGPD et concurrence déloyale : ce que vous devez savoir
Actualité Article RGPD

RGPD et concurrence déloyale : ce que vous devez savoir

Respecter le RGPD (Règlement Général sur la Protection des Données) n’est pas une mince affaire. La conformité requiert des investissements économiques et humains considérables, et certains peuvent être tentés de contourner ces règles pour obtenir un avantage concurrentiel. Mais que se passe-t-il si un concurrent profite de son non-respect du RGPD pour proposer des prix plus attractifs ? Peut-on contester cette pratique pour concurrence déloyale ? La réponse de la CJUE est claire : oui !
Lire la suite
IA : la CNIL dévoile ses recommandations
Actualité Article RGPD

IA : la CNIL dévoile ses recommandations

Quelle est l'avenir de l'IA en Europe avec le RGPD ? Face à la montée en puissance des solutions , la CNIL dévoilent ses recommandations.
Lire la suite