La plateforme française pour les données de santé (Health Data Hub) replonge dans la polémique. Ce mercredi 16 septembre, un nouveau recours a été adressé au Conseil d’État, soutenu par dix-huit associations et personnalités. Leur reproche ? Que cette structure qui traite les données médicales de Françaises et de Français soit hébergée par Microsoft, une entreprise américaine.
Ce n’est pas la première fois que le Health Data Hub est l’objet d’un recours devant la plus haute juridiction de l’ordre administratif français. Elle avait déjà été attaquée en justice, à ceci près que le résultat n’avait pas été jugé satisfaisant par les demandeurs : le Conseil d’État s’est en effet montré réservé sur les risques effectifs de transfert de données de santé aux USA, parce que Microsoft est dans la boucle.
Sauf que depuis cette décision, rendue le 19 juin, un arrêt est venu rebattre les cartes : celui du Cour de justice de l’Union européenne, le 16 juillet. L’instance a invalidé un accord de 2016 (le « Privacy Shield ») pris entre Bruxelles et Washington sur le transfert des données personnelles entre les deux rives de l’Atlantique. La raison ? Un encadrement insuffisant des programmes de surveillance aux USA.
Or, l’argumentaire juridique du Conseil d’État pour trancher l’affaire qui a été portée à sa connaissance repose justement en partie sur le Privacy Shield, aussi appelé bouclier de protection des données UE-États-Unis. De fait, pour les opposants à un hébergement du Health Data Hub par un géant américain du cloud, cela justifie de reposer la question à l’instance administrative.
Dans leur communiqué de presse, les demandeurs décrivent un « transfert illégal de données personnelles et sensibles ». Ils évoquent des données transférées aux USA alors que la justice européenne a cassé le Privacy Shield « au motif d’une protection inadéquate sur le sol américain », et demandent au Conseil d’État « de suspendre le traitement et la centralisation des données au sein du Health Data Hub ».
Quels sont les transferts en cause ?
Dans l’analyse du Conseil d’État sur le Health Data Hub, deux cas de figure ont été évoqués pour envisager un éventuel transfert de données.
- Le recours à une législation américaine très spécifique, le Cloud Act, qui autorise la justice américaine à demander la saisie de données hébergées à l’étranger, si l’hébergeur est une société américaine. Mais le Conseil d’État suggérait qu’il n’y aurait pas de cas pratique pour utiliser ce levier — il faudrait une requête d’un juge américain pour une affaire criminelle, ce qui restreindrait de fait les possibilités de transfert.
- Des transmissions d’ordre technique, « dans le cadre du fonctionnement courant » de la plateforme, pour des opérations d’administration standards. En somme, de la résolution d’incident et de la maintenance. Les données de santé ne seraient jamais transférées, de fait de mesures de contrôle interdisant tout accès aux employés de Microsoft sans le feu vert du Health Data Hub.
Dans le cadre de l’accord actuel, la plateforme de santé française passe par Microsoft, mais les données sont stockées sur le territoire européen, dans un centre situé aux Pays-Bas. Il est de fait soumis au Règlement général sur la protection des données. Mais des voix s’élèvent pour basculer le Health Data Hub sur un hébergeur français ou européen, au nom de la souveraineté des données, via un appel d’offres.
Parmi les signataires du recours au Conseil d’État figurent l’association CNLL (Le Conseil national du logiciel libre), le Syndicat national des journalistes, des syndicats du monde médical et hospitalier, des associations citoyennes ainsi que des personnalités du secteur de la santé, dont un médecin et professeur de médecine et la représentante des patients au sein du Conseil de surveillance de l’AP-HP.
+ rapide, + pratique, + exclusif
Zéro publicité, fonctions avancées de lecture, articles résumés par l'I.A, contenus exclusifs et plus encore.
Découvrez les nombreux avantages de Numerama+.
Vous avez lu 0 articles sur Numerama ce mois-ci
Tout le monde n'a pas les moyens de payer pour l'information.
C'est pourquoi nous maintenons notre journalisme ouvert à tous.
Mais si vous le pouvez,
voici trois bonnes raisons de soutenir notre travail :
- 1 Numerama+ contribue à offrir une expérience gratuite à tous les lecteurs de Numerama.
- 2 Vous profiterez d'une lecture sans publicité, de nombreuses fonctions avancées de lecture et des contenus exclusifs.
- 3 Aider Numerama dans sa mission : comprendre le présent pour anticiper l'avenir.
Si vous croyez en un web gratuit et à une information de qualité accessible au plus grand nombre, rejoignez Numerama+.
Abonnez-vous gratuitement à Artificielles, notre newsletter sur l’IA, conçue par des IA, vérifiée par Numerama !