Base de jurisprudence

Ariane Web: Conseil d'État 492369, lecture du 22 mars 2024, ECLI:FR:CEORD:2024:492369.20240322

Décision n° 492369
22 mars 2024
Conseil d'État

N° 492369
ECLI:FR:CEORD:2024:492369.20240322
Inédit au recueil Lebon
Juge des référés
M. Jean-Yves Ollier, président
M. J-Y Ollier, rapporteur


Lecture du vendredi 22 mars 2024
REPUBLIQUE FRANCAISE

AU NOM DU PEUPLE FRANCAIS




Vu la procédure suivante :
Par une requête et trois nouveaux mémoires, enregistrés les 5, 15, 18 et 19 mars 2024 au secrétariat du contentieux du Conseil d'Etat, la société Clever Cloud, la société Nexedi, la société Rapid. Space International, l'association Open Internet Project, l'association de défense des libertés constitutionnelles, l'association les Licornes Célestes, M. F... B..., M. C... E..., M. D... A..., la société Cleyrop et l'association le Conseil national du Logiciel Libre demandent au juge des référés du Conseil d'Etat, statuant sur le fondement de l'article L. 521-1 du code de justice administrative :

1°) de suspendre l'exécution de la délibération n° 2023-146 du 21 décembre 2023 de la commission nationale de l'information et des libertés (CNIL) autorisant le groupement d'intérêt public " Plateforme des données de santé " à mettre en oeuvre un traitement automatisé de données à caractère personnel ayant pour finalité la constitution d'un entrepôt de données dans le domaine de la santé dénommé " EMC2 " ;

2°) de saisir la Cour de justice de l'Union européenne d'une question préjudicielle sur l'appréciation de la validité de la décision d'exécution (UE) 2023/1795 de la Commission européenne du 10 juillet 2023, et à tout le moins des questions suivantes :
- Compte tenu de ce que le droit états-unien continue de prévoir une réglementation permettant aux autorités publiques d'accéder de manière généralisée et sans contrôle judiciaire au contenu de communications électroniques de ressortissants de l'Union qui seraient hébergées sur ou en transit vers le territoire états-unien, ces atteintes aux droits garantis par les articles 7 et 8 de la charte des droits fondamentaux de l'Union européenne sont-elles encadrées d'une manière à répondre à des exigences substantiellement équivalentes à celles requises, en droit de l'Union, à l'article 52, paragraphe 1, seconde phrase, de la charte '
- Compte tenu de ce que le droit états-unien n'assure aucune possibilité pour le justiciable d'exercer des voies de droit afin de prévenir l'accès à des données à caractère personnel le concernant ou d'obtenir la communication, la rectification ou la suppression de telles données, celui-ci offre-t-il aux personnes dont les données sont transférées vers les Etats-Unis des garanties substantiellement équivalentes à celles requises à l'article 47 de la charte '
- La décision d'exécution (UE) 2023/1795 de la Commission du 10 juillet 2023 viole-t-elle les articles 7, 8 ou 47 de la charte '
3°) de mettre à la charge de la CNIL le versement de la somme de 2 000 euros à chacun des exposants au titre de l'article L. 761-1 du code de justice administrative.


Ils soutiennent que :
- ils justifient, respectivement comme personnes physiques susceptibles de voir leurs données de santé traitées par l'entrepôt EMC2, comme sociétés commercialisant des solutions sécurisées d'hébergement de données en nuage apte à répondre aux besoins du projet sans être exposées à l'application extra-territoriale de droit des Etats-Unis, et comme associations, au regard de leur objet social, d'un intérêt leur donnant qualité pour agir ;
- la délibération de la CNIL autorisant un traitement de données personnelles constitue une décision faisant grief ;
- la condition d'urgence est satisfaite dès lors, d'une part, que le traitement de données à caractère personnel autorisé concerne la quasi-totalité des données de santé des Français, qu'il existe un risque de transmission aux services de renseignement des Etats-Unis, et que le traitement est susceptible d'être mis en oeuvre à tout moment, portant une atteinte grave et immédiate à la protection de la vie privée des personnes physiques requérantes et aux intérêts défendus par les associations requérantes, d'autre part, que la délibération attaquée remet en cause les offres proposées par les sociétés requérantes ;
- il existe un doute sérieux quant à la légalité de la décision contestée ;
- la décision contestée, en ce qu'elle autorise la Plateforme des données de santé à mettre en oeuvre le traitement EMC2 alors que celui-ci prévoit de confier l'hébergement des données qu'il traite à la société Microsoft, soumise au droit des Etats-Unis, méconnaît le droit au respect de la vie privée garanti par l'article 2 de la Déclaration des droits de l'homme et du citoyen de 1789, autorise une ingérence dans le droit au respect de la vie privée contraire à l'article 8 de la convention européenne de sauvegarde des droits de l'homme et des libertés fondamentales et méconnaît les exigences constitutionnelles inhérentes à la sauvegarde des intérêts fondamentaux de la Nation ;
- cette décision méconnaît les dispositions de l'article R. 1461-1 du code de la santé publique selon lesquelles aucun transfert de données du système national des données de santé (SNDS) ne peut être réalisé en dehors de l'Union européenne ;
- la décision contestée méconnaît la règle n° 9 de la circulaire n° 6404/SG du 31 mai 2023, en autorisant l'hébergement de données à caractère personnel d'une sensibilité particulière, y compris de données issues du SNDS, sur les serveurs de la société Microsoft, qui ne bénéficie pas de la certification SecNumCloud ;
- la légalité de la décision contestée repose sur l'appréciation de la validité de la décision d'exécution (UE) 2023/1795 de la Commission européenne du 10 juillet 2023 qui, en ce qu'elle constate que les Etats-Unis assurent un niveau adéquat de protection des données à caractère personnel transférées depuis l'Union européenne, alors que le droit des Etats-Unis permet aux autorités publiques d'accéder de façon générale au contenu des communications électroniques, sans possibilité effective de recours pour les personnes concernées, sans obligation pour les services de renseignement d'obtenir l'autorisation préalable d'une autorité administrative indépendante ou d'une autorité judiciaire pour collecter des données en vrac, et en se bornant à mettre en place un organe para-juridictionnel sur le fondement d'un décret présidentiel, d'une part, méconnaît les articles 7 et 8 de la charte des droits fondamentaux de l'Union européenne, d'autre part, est incompatible avec l'article 45, paragraphe 1, du règlement (UE) 2016/679 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, lu à la lumière des articles 7, 8 et 47 de cette charte, ainsi qu'avec les articles 28 et 32 de ce règlement.
Par un mémoire en défense, enregistré le 14 mars 2024, la Commission nationale de l'informatique et des libertés conclut au rejet de la requête. Elle soutient que la condition d'urgence n'est pas satisfaite et que les moyens soulevés ne sont pas fondés.

Par un mémoire en défense, enregistré le 18 mars 2024, la Plateforme des données de santé conclut au rejet de la requête. Elle soutient que la condition d'urgence n'est pas satisfaite et que les moyens soulevés ne sont pas fondés.

La ministre du travail, de la santé et des solidarités a présenté des observations, enregistrées le 19 mars 2024.

Vu les autres pièces du dossier ;

Vu :
- la Constitution, notamment son Préambule ;
- la convention européenne de sauvegarde des droits de l'homme et des libertés fondamentales ;
- la charte des droits fondamentaux de l'Union européenne ;
- le règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 ;
- le code de la santé publique ;
- la loi n° 78-17 du 6 janvier 1978 ;
- le code de justice administrative ;

Après avoir convoqué à une audience publique, d'une part, la société Clever Cloud et les autres requérants et, d'autre part, la CNIL, la Plateforme des données de santé, ainsi que la ministre du travail, de la santé et des solidarités ;

Ont été entendus lors de l'audience publique du 19 mars 2024, à 11 heures :

- les représentants de la société Clever Cloud et des autres requérants ;

- les représentants de la CNIL ;

- les représentants de la Plateforme des données de santé ;

- les représentants de la ministre du travail, de la santé et des solidarités ;

à l'issue de laquelle le juge des référés a clos l'instruction ;

Considérant ce qui suit :

1. Aux termes de l'article L. 521-1 du code de justice administrative : " Quand une décision administrative, même de rejet, fait l'objet d'une requête en annulation ou en réformation, le juge des référés, saisi d'une demande en ce sens, peut ordonner la suspension de l'exécution de cette décision, ou de certains de ses effets, lorsque l'urgence le justifie et qu'il est fait état d'un moyen propre à créer, en l'état de l'instruction, un doute sérieux quant à la légalité de la décision ".
2. Aux termes de l'article 66 de la loi du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés, relatif aux traitements de données à caractère personnel dans le domaine de la santé : " I.- Les traitements relevant de la présente section ne peuvent être mis en oeuvre qu'en considération de la finalité d'intérêt public qu'ils présentent. (...) / III.- Les traitements mentionnés au I qui ne sont pas conformes à un référentiel mentionné au II ne peuvent être mis en oeuvre qu'après autorisation de la Commission nationale de l'informatique et des libertés. (...) ".

3. Selon l'article L. 1462-1 du code de la santé publique, le groupement d'intérêt public dénommé " Plateforme des données de santé " est notamment chargé de réunir, organiser et mettre à disposition les données du système national des données de santé (SNDS) mentionné à l'article L. 1461-1 du même code et de promouvoir l'utilisation des données dans le domaine de la santé.

4. Il résulte de l'instruction que la Plateforme des données de santé souhaite mettre en oeuvre un traitement automatisé de données à caractère personnel ayant pour finalité la constitution d'un entrepôt de données de santé dénommé EMC2, dans le cadre d'une convention de prestations de services conclue le 13 décembre 2021 avec l'Agence européenne des médicaments pour la constitution d'une base de données afin de conduire des études en pharmaco-épidémiologie. Le traitement envisagé n'étant pas conforme, sur certains points, au référentiel relatif aux traitements des données à caractère personnel mis en oeuvre à des fins de création d'entrepôts de données dans le domaine de la santé adopté par la Commission nationale de l'informatique et des libertés (CNIL) dans sa délibération n° 2021-118 du 7 octobre 2021, la Plateforme des données de santé a saisi celle-ci d'une demande d'autorisation, en application des dispositions de l'article 66 de la loi du 6 janvier 1978 citées au point 2. La société Clever Cloud et les autres requérants demandent au juge des référés du Conseil d'Etat, statuant sur le fondement de l'article L. 521-1 du code de justice administrative, de suspendre l'exécution de l'exécution de la délibération du 21 décembre 2023 par laquelle la CNIL a autorisé la Plateforme des données de santé à mettre en oeuvre ce traitement.

5. L'urgence justifie que soit prononcée la suspension d'un acte administratif lorsque l'exécution de celui-ci porte atteinte, de manière suffisamment grave et immédiate, à un intérêt public, à la situation du requérant ou aux intérêts qu'il entend défendre. Il appartient au juge des référés d'apprécier concrètement, compte tenu des justifications fournies par le requérant, si les effets de l'acte litigieux sont de nature à caractériser une urgence justifiant que, sans attendre le jugement de la requête au fond, l'exécution de la décision soit suspendue. L'urgence doit être appréciée objectivement et compte tenu de l'ensemble des circonstances de l'espèce.

6. Pour justifier l'urgence à suspendre l'exécution de la délibération contestée, les requérants, qui comprennent des sociétés indiquant commercialiser des offres de services liés à l'hébergement de données en nuage sans être exposées au risque d'application extra-territoriale du droit des Etats-Unis, font valoir que l'autorisation donnée par la CNIL, en ce qu'elle admet la légalité de l'hébergement de données sensibles par un sous-traitant, Microsoft Ireland, dont la société mère est soumise au droit des Etats-Unis, constitue un précédent qui préjudicie gravement aux intérêts économiques de ces sociétés. Ils soutiennent en outre que, dans ces conditions, la mise en oeuvre du traitement projeté, en ce qu'elle expose les données de santé concernant plusieurs millions de personnes à un risque non-négligeable de divulgation à des autorités administratives ou judiciaires des Etats-Unis, dans l'hypothèse où Microsoft ne serait pas en mesure de s'opposer aux demandes formulées par ces autorités dans le cadre, d'une part, de programmes de surveillance fondés sur l'article 702 du " Foreign Intelligence Surveillance Act " (FISA) ou de l'" Executive Order " (décret présidentiel) n° 12333, d'autre part, du " Stored Communications Act " tel que modifié par le " Clarifying Lawful Oversas Use of Data Act " (CLOUD Act), porterait une atteinte grave et immédiate aux intérêts des requérants personnes physiques et aux intérêts que défendent les associations requérantes.

7. En premier lieu, d'une part, il résulte de l'instruction qu'au cours de l'instruction de la demande d'autorisation du traitement litigieux, à la demande de la CNIL, une mission d'expertise de la délégation du numérique en santé, de la délégation interministérielle du numérique et de l'agence du numérique en santé a été diligentée pour examiner la possibilité de mener le projet EMC2 en recourant à un hébergeur exempt de tout risque d'application extra-territoriale du droit d'un pays tiers. Cette mission a conclu le 13 décembre 2023 qu'il n'existait pas de solution disponible permettant de répondre à la fois à une telle exigence et aux besoins techniques de la Plateforme des données de santé dans le cadre des conditions, notamment de délai, fixées par la convention de prestations de services entre celle-ci et l'Agence européenne des médicaments. Si l'hypothèse d'une offre associant un fournisseur d'infrastructure sous forme de service (IaaS) disposant de la qualification SecNumCloud délivrée par l'Agence nationale de la sécurité des systèmes d'information à l'une des sociétés requérantes a été envisagée dans le cadre de cette étude, à laquelle celle-ci a participé, et si les requérants font valoir qu'une meilleure anticipation du projet par la Plateforme des données de santé lui aurait permis d'envisager une telle solution, il ne résulte pas de l'instruction qu'à la date de cette étude, cette société ou l'une des autres sociétés requérantes, dont la requête se borne à présenter l'activité en termes généraux, aurait été en mesure de présenter une offre de services liés à hébergement de données en nuage répondant aux besoins du projet EMC2 dans les délais requis.

8. D'autre part, et en tout état de cause, l'exécution de la délibération attaquée, qui limite l'autorisation à une durée de trois ans correspondant au délai nécessaire à la réalisation du projet de migration des données de la Plateforme des données de santé vers une solution d'hébergement répondant aux recommandations de la CNIL, et qui par suite ne fait nullement obstacle au développement de services d'hébergement de données en nuage susceptibles de répondre aux besoins de l'hébergement des données de santé sans être exposés aux risques liés à la soumission au droit d'un pays tiers, n'est susceptible d'avoir qu'un impact indirect et limité sur les activités de ces sociétés. Par suite, l'exécution de la délibération attaquée n'est pas de nature à porter une atteinte grave et immédiate aux intérêts des sociétés requérantes justifiant que cette exécution soit suspendue en référé dans l'attente du jugement de la requête au fond.
9. En second lieu, il résulte de l'instruction que l'entrepôt de données EMC2 a vocation à traiter, d'une part, des données issues des dossiers médicaux de 300 000 à 500 000 patients pris en charge chaque année dans quatre établissements hospitaliers, qui seront appariées aux données de la base principale du SNDS les concernant, d'autre part, les données concernant une population témoin d'environ 1,5 million de personnes, provenant de cette base. Il résulte des termes de l'autorisation contestée que seules des données pseudonymisées seront rassemblées au sein de l'entrepôt de données de santé EMC2. La pseudonymisation sera réalisée par les établissements hospitaliers et par la Caisse nationale d'assurance maladie avant le versement des données dans l'entrepôt, et le numéro d'inscription au répertoire national d'identification des personnes physiques (NIR) et la date de naissance complète des patients ne seront pas conservés après l'appariement. Les données de l'entrepôt de données de santé seront conservées dans des centres de données de Microsoft situés en France.
10. D'une part, le Stored Communications Act, tel qu'amendé par le CLOUD Act, prévoit que les sociétés soumises au droit américain au sens de cette loi peuvent être tenues de fournir des données qu'elles contrôlent, quel que soit leur lieu d'hébergement, lorsque cette fourniture est autorisée par un juge pour les besoins d'une enquête pénale. Si ces dispositions peuvent s'appliquer à la société Microsoft, comme d'ailleurs à certaines sociétés européennes exerçant une activité aux Etats-Unis, les requérants n'apportent pas d'éléments dont il ressortirait que les données de santé, pseudonymisées ainsi qu'il a été indiqué au point 9, que cette société héberge pour le compte de la Plateforme des données de santé, seraient susceptibles de faire l'objet de demandes sur ce fondement.

11. D'autre part, le risque que les autorités américaines formulent, dans le cadre des programmes de surveillance mentionnées au point 6, une demande d'accès à certaines données traitées et hébergées dans l'entrepôt EMC2, à supposer qu'elles y voient un intérêt au regard de l'objectif d'obtention d'informations en matière de renseignement extérieur poursuivi par ces programmes, ne peut en principe être totalement écarté. Toutefois, le risque d'accès de ces autorités à ces données, dans le cas où Microsoft ne s'opposerait pas à une telle demande, est, en l'état de l'instruction, hypothétique, au vu des garanties importantes dont la mise en oeuvre du projet est entourée, notamment du fait que les données seront pseudonymisées et non directement identifiantes, en considération desquelles la CNIL a estimé que ce risque était réduit à un niveau qui ne justifiait pas qu'elle refuse l'autorisation demandée. Eu égard aux précautions ainsi prises, l'exécution de la délibération attaquée ne peut être regardée comme portant une atteinte grave et immédiate au droit au respect de la vie privée des personnes concernées, de nature à caractériser une urgence justifiant que, sans attendre le jugement de la requête au fond, l'exécution de la délibération contestée soit suspendue. En outre, l'intérêt public qui s'attache à ce que la Plateforme des données de santé contribue sans retard excessif au projet de regroupement de bases de " données de vie réelle " mené par l'Agence européenne des médicaments, afin de permettre la réalisation de recherches, d'étude et d'évaluations sur l'utilisation, l'efficacité et les risques d'un panel important de médicaments et de dispositifs médicaux commercialisés en France, justifie que l'autorisation contestée ne soit pas suspendue.
12. Il résulte de ce qui précède que la condition d'urgence requise par l'article L. 521-1 du code de justice administrative n'est pas remplie. Dès lors, et sans qu'il soit besoin de renvoyer les questions préjudicielles formulées ni de se prononcer sur l'existence d'un doute sérieux quant à la légalité de la délibération contestée, les conclusions à fin de suspension des requérants ainsi, en tout état de cause, que celles qu'ils ont présentées sur le fondement de l'article L. 761-1 du code de justice administrative, ne peuvent qu'être rejetées.


O R D O N N E :
------------------
Article 1er : La requête de la société Clever Cloud et autres est rejetée.
Article 2 : La présente ordonnance sera notifiée à la société Clever Cloud, première requérante dénommée, à la Commission nationale de l'informatique et des libertés et à la Plateforme des données de santé.
Copie en sera adressée à la ministre du travail, de la santé et des solidarités.
Fait à Paris, le 22 mars 2024
Signé : Jean-Yves Ollier