Saisi par des associations et des particuliers, le Conseil d’État n’annule pas l’autorisation accordée à Health Data Hub d’extraire et de traiter des données de santé dans le cadre d’études sur la prévalence* et l’incidence** des pathologies dans la population française. Il juge que cette autorisation délivrée par la CNIL pour une durée de 3 ans ne permet que le traitement automatisé des données et n’autorise pas leur transfert vers les Etats-Unis. Les seules données personnelles qui pourraient être éventuellement transférées sont liées aux utilisateurs de la plateforme Health Data Hub et le contrat avec la société d’hébergement prévoit pour cela des garanties conformes au RGPD.
L’agence européenne des médicaments a mis en place un réseau d’institutions publiques et privées, dénommé « DARWIN EU », visant à recueillir des données permettant d’étudier l’emploi, la sécurité et l’efficacité des médicaments et vaccins à usage humain. Dans ce cadre, elle a été autorisée par la Commission nationale de l’informatique et des libertés (CNIL), le 13 février 2025, à mettre en œuvre des traitements automatisés de données personnelles, permettant l’exploitation des données personnelles de santé d’un échantillon de la population française, pour une durée de trois ans, afin de réaliser des études portant sur la prévalence et l’incidence des pathologies dans la population française. Ces traitements nécessitent l’extraction de ces données du Système national des données de santé (SNDS) par le Groupement d’intérêt public (GIP) « Plateforme des données de santé » (PDS), aussi dénommé « Health Data Hub », qui agit en tant que partenaire de l’agence européenne des médicaments. Pour l’hébergement des données ainsi extraites, le GIP a recours à la société Microsoft Ireland Operations, Ltd.
Plusieurs associations et des particuliers ont demandé au Conseil d’Etat d’annuler cette délibération de la CNIL, estimant qu’il existe un risque de transfert de données personnelles vers les Etats-Unis, Microsoft Ireland Operations, Ltd étant une filiale de droit irlandais de la société Microsoft, établie aux Etats-Unis.
Le Conseil d’État relève, en premier lieu, que l’autorisation de la CNIL a pour seul objet d’autoriser le traitement de données de santé hébergées dans des centres de données situés en France, et non d’autoriser le transfert de ces données vers les Etats-Unis. Elle n’entre pas dans le champ de la décision de la Commission européenne du 10 juillet 2023, dite « décision d’adéquation », qui autorise de tels transferts. L’argumentation des requérants relative à l’illégalité de cette décision de la Commission ne peut donc être retenue.
S’il est possible, compte tenu des modalités d’exécution du contrat passé avec Microsoft, que certaines données personnelles relatives aux utilisateurs de la plate-forme - et non aux personnes incluses dans le champ des études - soient transférées vers des administrateurs de la société situés aux Etats-Unis, le Conseil d’État relève que le contrat prévoit des garanties conformes au RGPD.
Enfin, si le risque que les autorités américaines, sur le fondement de leur propre législation, demandent à la société Microsoft d’accéder à des données personnelles de santé ne peut être totalement exclu, le Conseil d’Etat juge que l’autorisation contesté est assortie de garanties permettant d’assurer la sécurité de ces données, notamment leur pseudonymisation et la limitation de leur durée de conservation.
Pour ces raisons, le Conseil d’État juge que la CNIL n’a pas commis d’erreur d’appréciation et rejette la demande des requérants.
*prévalence : nombre total de cas d’une maladie au sein d’une population donnée et sur une période définie
**incidence : nombre de cas nouveaux d’une maladie au sein d’une population donnée et sur une période définie
Lire la décision n°503159-504171