Pas de déménagement en vue pour les données de santé de millions de Français. Dans un nouveau rebondissement qui n’en est pas vraiment un, le Conseil d’État a invalidé le recours en référé, déposé le 4 avril dernier, d’un collectif demandant la mise en pause d’une délibération de la Commission nationale de l’informatique et des libertés (Cnil) sur l’hébergement des données du Health Data Hub chez Microsoft. Le collectif, composé de l’entreprise française de solution cloud Clever Cloud, du Conseil national du logiciel libre, de l’association Open Internet Project ou encore de l’éditeur de logiciels libres Nexedi, alertait notamment sur le risque de confier ces données, particulièrement sensibles puisque de santé, à une entreprise américaine. Or, dans son ordonnance rendue le 25 avril, le Conseil d’État a finalement rejeté le recours en référé de ce collectif, n’interférant ainsi pas avec la décision de la Commission nationale de l’informatique et des libertés (Cnil).
Un autre recours déposé
“La décision rendue ne porte cependant que sur le caractère d’urgence de la requête. Nous la regrettons, évidemment, car une fois les données de santé des Français aspirées par les Américains, elles ne pourront évidemment pas être « désaspirées »”, précise auprès d’Acteurs publics Stéfane Fermigier, co-président du Conseil national du logiciel libre. Ce dernier indique par ailleurs que le collectif a déposé un second recours, celui-ci portant désormais “sur le fond”, sans calendrier précis, mais dont l’aboutissement “risque de prendre du temps”.
Dans son recours, le collectif demandait la suspension de l’exécution de la délibération de la Cnil, soutenant que le caractère urgent de leur demande était satisfait en cela que les données de santé de 10 millions de Français étaient concernées – constituant une “atteinte grave et immédiate au droit au respect de la vie privée des personnes concernées”. Dans l’ordonnance du juge des référés, le législateur indique ne pas suivre le collectif sur ce point, et avance le caractère d’intérêt public du projet Darwin EU et le fait que Microsoft dispose déjà de la certification “hébergeur de données de santé”, donnant ainsi les garanties nécessaires au stockage de ces données sensibles.
Le projet Darwin EU
La décision concernée de la Cnil intervenait le 13 février dernier, date à laquelle la commission avait adoubé, faute de mieux, le projet du Health Data Hub visant à héberger les données de 10 millions de Français sur Azure, la solution de cloud de Microsoft. Cette délibération survient dans le cadre du projet Darwin EU, mené par l’Agence européenne du médicament (EMA), et que le Health Data Hub a rejoint en mars 2024. Ce projet, porté à l’échelle européenne, consiste pour l’EMA à tirer au sort les données de santé de 10 millions de Français – pseudonymisées – de façon à pouvoir conduire sur le long terme des études permettant de déterminer l’efficacité des médicaments et vaccins. Le Health Data Hub fonctionne dans ce projet comme sous-traitant des données, en mobilisant les ressources nécessaires pour en donner les accès. Ces données, majoritairement issues de la Caisse nationale d’assurance maladie pour la France, sont donc hébergées chez Microsoft.
Malgré les craintes de nombreux acteurs de la vie privée et de la protection des données, la Cnil a donné suite au projet de l’EMA. Plusieurs arguments ont motivé cette décision de la Commission, dont notamment l’impossibilité de trouver une équivalence souveraine “susceptible de répondre à ses besoins tout en protégeant les données du SNDS contre les accès des autorités publiques d’État tiers”. D’autre part, le caractère “d’intérêt public des recherches envisagées” a également motivé la demande de la Cnil.
Pas de solutions alternatives
“La CNIL ne peut qu’inciter à nouveau le Gouvernement et la Plateforme des données de santé à travailler activement à la mise en place d’une solution souveraine permettant aux organismes d’avoir accès rapidement aux données du SNDS à des fins de recherche scientifique”, conclut la commission sur le volet Microsoft. Et pour cause, sur le fond, la crainte reste toujours la même : peu importe où se trouve l’entrepôt de données, le législateur américain peut légalement obliger une entreprise américaine à fournir les données qu’elle détient. La Commission n’a ainsi toutefois pas manqué de rappeler dans sa délibération qu’aucun appel d’offres de l’État n’avait été lancé pour faire émerger des solutions souveraines alternatives. Et pour autant, si l’affaire de l’hébergement des données de santé chez Microsoft éveille les passions depuis quelques mois, la situation ne semble pas évoluer. C’est seulement le 8 avril dernier, à l’occasion des questions au gouvernement, que la ministre déléguée chargée au numérique, Clara Chappaz, a pris la parole pour confirmer l’intention du gouvernement de lancer l’appel d’offres attendu.
La polémique enfle d’autant plus que le Health Data Hub n’en est pas à son coup d’essai avec Microsoft. Si le projet Darwin EU met un peu plus en lumière ce choix controversé, le projet EMC2 avait ouvert la boîte de Pandore en faisant, déjà l’année dernière, héberger des données de santé chez le cloudeur américain, sur une décision approuvée à contrecœur par la Cnil. Un malaise dû, d’une part, au caractère extraeuropéen de la solution ; d’autre part, à un calendrier contraint qui n’avait pas permis de faire émerger des propositions de stockage de données françaises ou européennes qui conviendraient aux spécificités techniques du projet. Même son de cloche, donc, que pour le projet Darwin EU, et à l’horizon, pour l’instant, toujours pas de solution.
