Nouvel épisode dans le feuilleton pro et anti Gafam pour héberger les données de santé des Français dans le Health Data Hub (HDH) de l’Etat. Le Conseil d’État a refusé le 13 octobre une requête visant à interdire à Microsoft d’héberger ces données tant en France qu’aux… Pays-Bas.
Le juge des référés a débouté le 13 octobre le collectif SantéNathon, qui avait fait appel fin septembre devant le Conseil d’État de la décision de l’Etat de confier en 2019 à Microsoft l’hébergement des données de santé des Français dans son Health Data Hub (HDH). La plus instance juridique française déclare ne pas relever d’illégalité grave qui justifierait sa suspension immédiate, surtout dans cette période d’urgence sanitaire liée au Covid-19.
Un dispositif légal où le risque n’est pas exclu
Le Conseil d’État souligne d’ailleurs que les responsables du Health Data Hub et de Microsoft se sont engagés contractuellement « à refuser tout transfert de données de santé en dehors de l’Union européenne ». Il précise également dans sa décision qu’un arrêté ministériel pris le 9 octobre 2020 interdit tout transfert de données à caractère personnel dans le cadre de ce contrat.
Toutefois, le juge des référés reconnaît qu’on ne peut totalement exclure le fait que les autorités américaines, dans le cadre de leurs programmes de surveillance et de renseignement, demandent à Microsoft et à sa filiale irlandaise l’accès à certaines données, dont celles du HDH lancé en avril 2020 sur un périmètre limité.
La Cnil prend acte mais demande des garanties supplémentaires
La Commission nationale de l’informatique et des libertés (Cnil), qui s’oppose elle aussi à la gestion par Microsoft des données du Health Data Hub, indique dans un communiqué qu’elle « demande des garanties supplémentaires et qu’elle conseillera les autorités publiques sur les mesures appropriées et veillera, pour l’autorisation des projets de recherche liées à la crise sanitaire, à ce que le recours à la plateforme soit réellement nécessaire ». Rappelons que le Conseil d’État avait invité la CNIL à produire des observations sur ce recours.
Les données du Health Data Hub sont hébergées actuellement pour Microsoft aux Pays-Bas
Le jour de l’audience devant le Conseil d’État, le ministre Cédric O a indiqué de nouveau que les données du HDH seront rapatriées sur des plateformes françaises ou européennes. On apprend à cette occasion que les données du Health Data Hub sont hébergées actuellement pour Microsoft aux Pays-Bas… L’éditeur n’ayant pas vraiment de grands et coûteux data centers en propre dans la vieille Europe continental, Microsoft est hébergé par de grands spécialistes anglo-saxons comme Equinix ou Interxion dans leurs installations géantes.