Portfolio#Data
14 octobre 2020

Le Conseil d’État exige des garanties sur l’hébergement des données de santé par Microsoft

Le Conseil d'État n'a pas suspendu le Health Data Hub mais a jugé que des mesures protectrices devaient être mises en place durant le temps où Microsoft hébergerait les données avant qu'une solution pérenne ne soit envisagée.

Le Health Data Hub, plateforme française de données de santé pour la recherche, ne sera pas suspendu, mais son hébergement par la firme américaine Microsoft nécessite de prendre des mesures protectrices avant que l’État ne trouve une solution pérenne, a décidé mercredi le Conseil d’État. Le juge administratif a considéré que le « risque » que Microsoft ne puisse pas s’opposer à une demande d’accès aux données de santé par les administrations américaines à des fins de renseignement ne constituait pas un « cas d’atteinte grave et manifestement illégale » à une liberté fondamentale, notamment au regard de « l’intérêt public important » de disposer de cette plateforme en pleine crise sanitaire. En revanche, « il appartient à la Plateforme des données de santé de continuer de rechercher (…) la mise en oeuvre par Microsoft des mesures techniques et organisationnelles appropriées pour garantir au mieux la protection des droits » .

Le juge des référés était saisi d’une requête en suspension par un collectif rassemblant une vingtaine d’organisations et de personnalités, dont le Conseil national du logiciel libre et le Syndicat de la médecine générale. Ils arguaient que la plateforme n’avait plus de base légale, après l’annulation en juillet par la justice européenne de l’accord « Privacy Shield » qui organisait les transferts de données entre l’UE et les États-Unis. « Le changement de la solution d’hébergement (du Health Data Hub) et des autres entrepôts de santé hébergés par les sociétés soumises au droit étasunien devrait intervenir dans un délai aussi bref que possible » , avait considéré la Cnil, gendarme des données personnelles, dans un mémoire communiqué lors de l’audience du 8 octobre.

Le secrétaire d’État au numérique, Cédric O, avait le même jour annoncé qu’il travaillait avec le ministre de la Santé Olivier Véran à rapatrier cette plateforme sur des infrastructures françaises ou européennes. Un arrêté ministériel pris le 9 octobre dispose également « qu’aucun transfert de données à caractère personnel ne peut être réalisé en dehors de l’Union européenne » dans le cadre du Health Data Hub. Le Conseil d’État se veut ainsi rassurant, en expliquant que les données du Health Data Hub sont stockées par Microsoft aux Pays-Bas « avant de l’être prochainement en France » , et que le contrat interdit les transferts de données personnelles vers les États-Unis.

L’entrepôt français de données de santé pour la recherche, ou Health Data Hub, doit permettre aux scientifiques d’accéder aux montagnes de données de santé françaises, sous forme pseudonymisée, pour faire de la recherche en utilisant en particulier l’intelligence artificielle.

Maddyness avec AFP