Le recours : Plusieurs organisations, syndicats et associations ont demandé au juge des référés de suspendre l’arrêté du 21 avril 2020 du Gouvernement qui autorise la plateforme « Health Data Hub » à récolter différentes données de santé pour la gestion de l'urgence sanitaire et l'amélioration des connaissances sur le covid-19. Les requérants contestaient la mise en œuvre de cet arrêté notamment au regard des modalités d’hébergement des données, de leur anonymisation, de leur possible transfert vers des pays tiers et de la sécurité de la Plateforme.
La décision du Conseil d’État :
Le juge des référés a rappelé que le ministre chargé de la santé a autorisé la Plateforme à collecter et traiter les données de santé pseudonymisées nécessaires à la poursuite de projets ayant un intérêt public, en lien avec l’épidémie de covid-19 et seulement durant l’état d’urgence sanitaire. Le recours à la Plateforme doit être justifié par l’urgence s’attachant à la conduite du projet et par l’absence de solution technique alternative satisfaisante permettant d’y procéder dans les délais utiles, et les projets sont, le cas échéant, soumis à l’autorisation de la Commission nationale de l’informatique et libertés (CNIL). Dans ces conditions, le juge des référés a estimé que la collecte des données prévue par l’arrêté poursuivait des finalités légitimes et était proportionnée pour les atteindre.
Concernant la sécurité de la Plateforme, le juge des référés a relevé qu’elle a été homologuée conformément au référentiel en vigueur. Elle a fait l’objet d’un contrôle externe par une société en novembre 2019, et sera à nouveau auditée par un prestataire qualifié par l’Agence nationale de la sécurité des systèmes d’information. L’hébergeur des données, Microsoft, héberge les données en Europe – actuellement aux Pays-Bas et prochainement en France - dans des centres qui bénéficient de la certification « hébergeur de données de santé » conformément au code de la santé publique. Le juge a observé que Microsoft est soumis aux exigences de la réglementation française en matière d’hébergement des données de santé conformément au contrat qu’il a signé, et doit respecter le règlement général sur la protection des données (RGPD) en ce qui concerne le transfert de données à caractère personnel vers un pays tiers. En particulier, s’agissant de possibles transferts de données aux Etats-Unis pour des besoins de maintenance, ils s’inscrivent dans le cadre autorisé par une décision de la Commission européenne de 2016, ainsi que le permet le RGPD.
S’agissant de la pseudonymisation des données, le juge des référés a estimé que les modalités prévues par l’arrêté étaient appropriées. Il a néanmoins relevé que la Commission nationale de l’informatique et libertés (CNIL), lorsqu’elle avait été consultée sur le projet d’arrêté, n’avait pas eu le temps de vérifier que les mesures concrètes adoptées par la Plateforme étaient suffisantes. C’est pourquoi, le juge a ordonné à la Plateforme de communiquer sous cinq jours à la CNIL tous les éléments relatifs aux procédés de pseudonymisation utilisés afin qu’elle les vérifie.
Enfin, le juge des référés a relevé que l’information fournie par la Plateforme sur les données collectées était incomplète. Il a donc enjoint à la Plateforme de mentionner sur son site internet certaines précisions, tenant au possible transfert des données hors de l’Union européenne et aux informations relatives aux droits des personnes concernées.