Passer au contenu

Données de santé : le Conseil d’Etat valide Microsoft comme hébergeur de données de santé des Français, même si…

Après un rejet en référé, un rejet au fond : le Conseil d’État a décidé de valider le fait que Microsoft, société américaine soumise aux lois extraterritoriales américaines, héberge les données de santé des Français et des Européens, dans le cadre du développement d’une plateforme européenne destinée à la recherche, l’EMC2. Et ce, même s’il n’est pas exclu que les autorités américaines aient accès à ces données de santé qui seront stockées sur cette plateforme destinée à la recherche.

Après la CNIL, le Conseil d’État donne son feu vert à l’EMC2, cet entrepôt européen des données de santé qui sera hébergé chez Microsoft. Dans une décision publiée sur son site Web mardi 19 novembre, la plus haute juridiction administrative valide au fond cette plateforme européenne destinée à la recherche, et surtout son hébergement chez le géant américain des logiciels… même si les juges reconnaissent que les autorités américaines pourront avoir accès aux données de santé des Français et des Européens.

Au début de l’année, le Conseil d’État avait été saisi en référé et au fond par plusieurs associations et entreprises comme Internet Society France et Clever Cloud. Toutes visaient à faire annuler la décision prise par la CNIL le 21 décembre dernier.  L’autorité française garante de nos libertés, validait, à regret et pour trois ans, l’hébergement par la société américaine Microsoft du « EMC2 » – une version européenne de la plateforme des données de santé française HDH.

A lire aussi : La CNIL valide Microsoft comme hébergeur de données de santé des Français, mais avec des regrets

Un premier recours, le référé suspension, qui visait à suspendre en urgence la décision de la CNIL, avait été rejeté en mars dernier par le Conseil d’État. Un second recours, au fond, avait pour objectif de faire annuler la décision de la CNIL. C’est cette affaire au fond qui vient d’être rejetée.

Pourquoi l’hébergement par Microsoft était-il contesté ?

Au cœur de cette action en justice, on trouve Microsoft. Le géant des logiciels et aussi du cloud, avec Azure, a été choisi pour héberger le HDH et l’EMC2, sa version européenne – un point validé par la CNIL le 21 décembre dernier. De quoi constituer un non-sens pour de nombreuses associations et fournisseurs de cloud français, qui regrettaient que l’administration ne privilégie pas un clouder européen non soumis aux lois extraterritoriales américaines.

À lire aussi : Health Data Hub : le cloud français est passé sur le grill… pour mieux faire gagner Microsoft ?

Microsoft est en effet une société américaine soumise à la loi FISA. Avec cette règlementation, les agences de renseignement américaines peuvent avoir accès aux données stockées par les hébergeurs américains, y compris en Europe. Et pour certains, confier « cette mine d’or » à un acteur non européen était un renoncement franc et massif à la souveraineté européenne – en plus d’être une occasion manquée de faire grandir les acteurs locaux, via la commande publique.

Quel est l’argumentaire du Conseil d’État ?

Si le Conseil d’État avait rejeté la demande déposée en référé en mars dernier, le juge administratif fait de même, cette fois sur le fond. D’un côté, il reconnaît qu’« il ne peut être totalement exclu que les données du traitement autorisé, d’une sensibilité particulière eu égard à leur nature de données de santé mais aussi au potentiel scientifique et économique de leur exploitation, fassent l’objet de demandes d’accès par les autorités des États-Unis ».

Mais de l’autre, écrit-il, ces données feront «  l’objet de pseudonymisations multiples, par la Caisse nationale d’assurance maladie ainsi que par le GIP PDS, avant toute mise à disposition au sein de l’entrepôt ” EMC2 “». En outre, si Microsoft n’est pas certifié SecNumCloud, la plus haute labellisation Cloud français réservé à l’hébergement de données les plus sensibles, elle dispose de la certification « hébergeur de données de santé ». Enfin, écrivent les juges administratifs, le projet n’a été autorisé que pour trois ans, soit une durée limitée.

Pas non plus de question préjudicielle sur l’accord US-UE sur les données devant la CJUE

Pour toutes ces raisons, la plus haute juridiction de l’État décide de rejeter les demandes des associations et entreprises – y compris celle qui demandait que le Conseil d’État saisisse la Cour de justice de l’UE, à propos de l’accord de transfert de données US-UE adopté en juillet 2023, le DPF.

À lire aussi : Comment l’Europe a abandonné vos données personnelles aux espions américains

Ce texte, qui encadre le transfert de données personnelles de l’Europe vers les États-Unis, est contesté par de nombreuses associations de défense des droits, ainsi que des politiques français comme le député Philippe Latombe.

🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.

Source : Décision du Conseil d'Etat n° 491644


Votre opinion
  1. Ah bah c’est bien, les américains pourront prendre des nouvelles de notre santé du coup, c’est “gentil” et “mignon” de leur part…surtout de la part des ces 🤬 de l’UE.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *