Le Conseil d’État ordonne au Health Data Hub de se mettre en conformité devant la CNIL, et d’informer les usagers que leurs données peuvent être transférées aux Etats-Unis

  • 19 Juin 2020
adobestock-177951197_0_729_486.jpg

Paris, le 19 juin 2020 - pour diffusion immédiate.

Suite au dépôt d’un référé liberté par un collectif inédit d’organisations et associations issues du logiciel libre, du secteur médical et de la santé, de syndicats d’ingénieurs et techniciens et de journalistes[1], le juge des référés du Conseil d’Etat a rendu une décision particulièrement lourde concernant le Health Data Hub.

Pour rappel, le 28 mai dernier, les requérants avaient saisi en urgence le Conseil d’État afin de dénoncer la collecte et le traitement massifs des données de santé au sein du Health Data Hub, mis en place en urgence au nom de la crise du Covid19, en l’absence de garanties suffisantes et en dépit d’un avis sévère de la CNIL.

Les requérants dénonçaient une atteinte grave au droit au respect de la vie privée et à la protection des données, renforcée par le risque de transfert de ces données sensibles sur le sol américain à travers l’entreprise choisie pour assurer la plateforme technique : la société Microsoft.

Ce vendredi 19 juin, à l’issue d’une instruction particulièrement poussée, d’une audience de plus de 3 heures, et alors que plusieurs des conventions en cause n’ont été régularisées en catastrophe qu’après l’audience, le Conseil d’État a finalement ordonné à la plateforme des Données de Santé / Health Data Hub de se mettre en conformité.

Plus particulièrement, le Conseil d’État ordonne au Health Data Hub de retourner sous 5 jours devant la CNIL pour lui communiquer les éléments relatifs à la pseudonymisation afin que celle-ci puisse se prononcer sur ce point.

Egalement, le Conseil d’Etat impose au Health Data Hub de prévenir les citoyens de la possibilité que les données de santé qu’il héberge soient transférées vers des pays étrangers dont les Etats-Unis.

Par ailleurs, le juge précise, contrairement à ce qu’avait annoncé la responsable du projet lors de l’audience, que les données en lien avec l’épidémie de Covid19 devront être détruites à l’issue de l’état d’urgence sanitaire et qu’elles ne pourront en aucun cas être simplement « archivées ».

Concernant les risques liés au Cloud Act, le Conseil d’État rappelle qu’un litige est en cours devant la Cour de Justice de l’Union Européenne et qu’il convient d’en attendre le résultat.

Enfin, le Conseil d’Etat pointe une importante faille juridique en indiquant que le Health Data Hub ne relève pas du régime des « Hébergeur de données de santé ». Concrètement, pour peu qu’il ne s’agisse pas d’un usage médical des données, il est aujourd’hui possible de laisser un «entrepôt de données », recueillir des données couvertes par le secret médical sans que cet entrepôt dispose des certifications obligatoires pour les hébergeurs de santé. Etant donné l’importance de ce point, et alors que les données sont potentiellement traitées hors de l’Union Européenne, il est envisageable qu’une QPC soit rapidement déposée afin de clarifier cette question.

Cette décision de 16 pages, particulièrement motivée, est un signal fort envoyé contre le projet Health Data Hub. Elle révèle que par-delà un discours consistant à s’alarmer au nom d’une crise sanitaire – qui d’ailleurs touche à sa fin - pour forcer le cadre légal, les garanties attendues en termes de protection des données de santé ne peuvent être bafouées. Elle laisse entrevoir pour les requérants plusieurs actions potentielles, qu’il s’agisse de se pourvoir directement devant la Cour de Justice de l’Union Européenne ou de déposer une potentielle QPC.

A propos du CNLL

Le CNLL, Union des Entreprises du Logiciel Libre et du Numérique Ouvert, est l’instance représentative de la filière du logiciel libre en France. Issu du groupement de 12 clusters régionaux, il représente plus de 300 entreprises “pure players” (spécialisées ou avec une activité significative dans le logiciel libre et l’open source): éditeurs, intégrateurs, sociétés de conseil, etc. Il assure la promotion de l´écosystème professionnel du logiciel libre, de son offre de logiciels et de services, de ses atouts spécifiques, et de ses besoins, notamment en termes d’emploi et de formation. Il permet à la communauté des acteurs de la filière d’échanger et de travailler ensemble au développement du marché, dans le respect de valeurs communes. Visitez : http://www.cnll.fr/

Contacts

Contact juridique : Jean-Baptiste Soufron / jbsoufron@fwpa-avocats.com – Juliette Alibert‬ / jalibert@fwpa-avocats.com

Contact CNLL : contact@cnll.fr

[1]: Le collectif SanteNathon, Collectif Interhop, Représentante des usagers du Conseil de surveillance de l'APHP, le Syndicat National des Jeunes Médecins Généralistes, le Syndicat National des Journalistes, le Syndicat de la Médecine Générale, l’Union Française pour une Médecine Libre, Bernard Fallery, Professeur émérite en systèmes d’information, Université de Montpellier, Monsieur Didier Sicard, médecin et professeur de médecine à l’Université Paris Descartes, l’Union Générale des Ingénieurs, Cadres et Techniciens CGT, l’Union Fédérale Médecins, Ingénieurs, Cadres, Techniciens CGT Santé et Action Sociale, l’Observatoire de la Transparence dans les Politiques de Médicament.