Le juge des référés du Conseil d’État ne relève pas d’illégalité grave et manifeste qui justifierait la suspension immédiate du traitement des données par la plateforme PDS hébergé sur Azure et ne voit pas d’urgence à transférer les données sur un autre hébergeur européen.
Saisi par plusieurs associations, syndicats et autres entités exigeant l’arrêt immédiat de la plateforme des données de santé – considérant illégal l’hébergement sur Azure depuis la suppression du Privacy Shield par CJUE cet été –, le juge du Conseil d’État ne leur a pas donné raison, ne voyant aucune illégalité ni urgence.
Le Conseil d’État se montre bien plus mesuré que les débats violents des dernières semaines.
Ainsi le juge des référés du Conseil d’État relève que « la Plateforme des données de santé et Microsoft se sont engagés, par contrat, à refuser tout transfert de données de santé en dehors de l’Union européenne. Un arrêté ministériel pris le 9 octobre 2020 interdit, en outre, tout transfert de données à caractère personnel dans le cadre de ce contrat. »
Il rappelle que le traitement de données par Microsoft sur le territoire de l’Union européenne n’est pas, en lui-même, une illégalité grave et manifeste et que la CJUE n’a pas, à ce jour, jugé que le droit européen de la protection des données interdisait de confier le traitement de données, sur le territoire de l’Union européenne, à une société américaine.
Microsoft trouve ainsi un allié de poids dans sa défense. L’éditeur a toujours expliqué que la suppression du Privacy Shield n’avait pas d’impact direct, les accords l’unissant à la PDS étant régis par des clauses contractuelles types reconnues comme valides par la CJUE.
Le juge estime par ailleurs qu’une violation du règlement général sur la protection des données (RGPD) demeure dans un tel cas hypothétique. Elle supposerait que Microsoft ne soit pas en mesure de s’opposer à une éventuelle demande des autorités américaines ce qui n’est pas le cas.
Il rappelle que les données de santé sont, par ailleurs, pseudonymisées avant leur hébergement par la Plateforme et qu’il existe un intérêt public important à permettre la poursuite de l’utilisation des données de santé pour les besoins de l’épidémie de covid-19 grâce aux moyens techniques dont dispose la Plateforme.
Bref, l’intérêt prime ici sur des risques jugés plus hypothétiques que réels. Un avis qui tranche très nettement avec celui de la CNIL qui voyait une urgence à héberger les données sur un cloud européen tout en rappelant que ce cloud ne devrait pas avoir d’activités sur le sol américain pour être vraiment à l’abri du Patriot Act.
Cependant, face à l’existence d’un risque, et compte tenu du fait qu’il ne peut prononcer que des mesures de très court terme, le juge des référés demande au Health Data Hub de continuer, sous le contrôle de la CNIL, à travailler avec Microsoft pour renforcer la protection des droits des personnes concernées sur leurs données personnelles. Ce risque impose de prendre des précautions particulières, sous le contrôle de la CNIL.
Ces précautions devront être prises dans l’attente d’une solution permettant d’éliminer tout risque d’accès aux données personnelles par les autorités américaines, comme le choix potentiel d’un nouveau sous-traitant, le recours à un accord de licence suggéré par la CNIL, etc.
Enfin, il rappelle à ceux qui veulent bien l’entendre et l’écouter que « les projets recourant au Health Data Hub sont ceux pour lesquels il n’existe pas d’autre solution technique satisfaisante compte tenu de l’urgence de la situation », un point très largement contesté par les associations et par de nombreux acteurs européens comme OVHcloud notamment.