Conseil d'État
N° 503163
ECLI:FR:CEORD:2025:503163.20250425
Inédit au recueil Lebon
Juge des référés
M. Rémi Bouchez, président
M. R Bouchez, rapporteur
Lecture du vendredi 25 avril 2025
Vu la procédure suivante :
Par une requête, un nouveau mémoire et un mémoire en réplique, enregistrés les 9, 14 et 22 avril 2025 au secrétariat du contentieux du Conseil d'Etat, l'association les Licornes Célestes, M. F... B... et M. D... A... demandent au juge des référés du Conseil d'Etat, statuant sur le fondement de l'article L. 521-1 du code de justice administrative :
1°) de suspendre l'exécution de la délibération n° 2025-014 du 13 février 2025 de la Commission nationale de l'informatique et des libertés (CNIL) autorisant l'Agence européenne des médicaments (EMA) à mettre en oeuvre des traitements automatisés de données à caractère personnel ayant pour finalité des études portant sur l'estimation d'incidence et de prévalence des pathologies dans la population générale en France dans le cadre du projet " DARWIN UE " ;
2°) à titre subsidiaire, de saisir la Cour de justice de l'Union européenne de questions tendant à l'appréciation de la validité, au regard des exigences de la Charte des droits fondamentaux de l'Union européenne, de la décision d'exécution (UE) n° 2023/1795 de la Commission du 10 juillet 2023 constatant le niveau de protection adéquat des données à caractère personnel assuré par le cadre de protection UE-Etats-Unis, en demandant à la Cour, compte tenu de l'urgence, de soumettre le renvoi préjudiciel à la procédure accélérée ;
3°) de mettre à la charge de la CNIL la somme de 3 500 euros au titre de l'article L. 761-1 du code de justice administrative.
Ils soutiennent que :
- la condition d'urgence est satisfaite dès lors que le traitement de données à caractère personnel autorisé concerne les données de santé de dix millions de Français et que ces données seront, en raison de leur hébergement par la société Microsoft, exposées à des risques de collecte extraterritoriale, notamment sur le fondement de plusieurs dispositions du droit des Etats-Unis, sans que cette collecte ne soit entourée de garanties suffisantes, ce qui porte une atteinte grave et immédiate aux intérêts qu'ils entendent défendre ainsi qu'au droit au respect de la vie privée des personnes concernées ;
- il existe un doute sérieux quant à la légalité de la décision contestée ;
- la délibération contestée est entachée d'erreur de droit et de fait en ce qu'elle retient que les données seront conservées sur le territoire français et qu'elles ne seront pas transférées hors du territoire de l'Union européenne alors que, en raison de l'organisation même de l'informatique en nuage qu'elle commercialise, qui implique inévitablement des transferts de données vers des serveurs situés aux Etats-Unis, la société Microsoft n'a pas la capacité technique de garantir l'hébergement et le traitement des données personnelles en cause sur le seul territoire européen, ce dont il résulte que l'autorisation accordée à l'EMA méconnaît les dispositions de l'article R. 1461-1 du code de la santé publique ;
- la décision est entachée d'erreur de droit, de fait et d'appréciation, ainsi que d'insuffisance de motivation, en ce qu'elle autorise les traitements des données après avoir retenu que seuls peuvent intervenir des transferts de " données techniques d'usage " de la plateforme vers des administrateurs situés aux Etats-Unis alors, d'une part, que ces données peuvent comporter des données personnelles, la notion de données techniques d'usage étant particulièrement large et stéréotypée, et, d'autre part, que la CNIL n'a pas examiné si l'EMA, responsable de traitement, et le groupement d'intérêt public Plateforme des données de santé (PDS), sous-traitant, disposent des informations minimales nécessaires pour déterminer les garanties applicables aux transferts de données sur la base des clauses contractuelles types ou si des mesures supplémentaires sont nécessaires pour assurer un niveau de protection adéquat ;
- dans le cas où, en réponse au moyen qui précède, la décision d'exécution n° 2023/1795 de la Commission du 10 juillet 2023 serait regardée comme garantissant que tout transfert de données vers les Etats-Unis depuis l'Union européenne bénéficie de garanties permettant d'assurer une protection suffisante, il y aurait lieu de renvoyer à la CJUE une question préjudicielle en appréciation de sa validité au regard des exigences de la Charte des droits fondamentaux de l'Union européenne, les conditions exigées pour ce renvoi étant réunies ;
- la décision contestée est entachée d'erreur de droit et d'erreur d'appréciation car l'autorisation accordée à l'EMA méconnaît les dispositions de l'article 31 de la loi n° 2024-449 du 21 mai 2024 visant à sécuriser et à réguler l'espace numérique, applicables même en l'absence à ce jour du décret d'application auquel renvoie cet article, en ce qu'elles imposent aux prestataires privés fournissant un service d'informatique en nuage de garantir la protection des données traitées ou stockées de tout accès par des autorités publiques d'Etats tiers non autorisées par le droit de l'Union européenne, ce que la société Microsoft ne fait pas.
Par un mémoire en intervention, enregistré le 14 avril 2025, les sociétés Clever Cloud, Nexedi, Rapid. Space International et Cleyrop, les associations Conseil national du logiciel libre et Open Internet Project et M. C... E... concluent à la recevabilité de leur intervention volontaire et demandent au juge des référés du Conseil d'Etat de faire droit aux conclusions de la requête. Ils soutiennent qu'ils ont intérêt à intervenir et s'associent aux moyens et conclusions développés par les demandeurs.
Par un mémoire en défense, enregistré le 16 avril 2025, l'EMA indique qu'elle n'est pas habilitée à intervenir dans la présente procédure et que, en conséquence, elle ne présentera pas d'observations et n'assistera pas à l'audience publique.
Par un mémoire en défense et un nouveau mémoire, enregistrés les 17 et 23 avril 2025, la PDS conclut au rejet de la requête. Elle soutient que la condition d'urgence n'est pas satisfaite et que les moyens soulevés ne sont pas fondés.
Par un mémoire en défense, enregistré le 17 avril 2025, la CNIL conclut au rejet de la requête. Elle soutient que la condition d'urgence n'est pas satisfaite et que les moyens soulevés ne sont pas fondés.
Vu les autres pièces du dossier ;
Vu :
- la Constitution, notamment son Préambule ;
- la convention européenne de sauvegarde des droits de l'homme et des libertés fondamentales ;
- la Charte des droits fondamentaux de l'Union européenne ;
- le règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 ;
- le code de la santé publique ;
- la loi n° 2024-449 du 21 mai 2024 ;
- le code de justice administrative ;
Après avoir convoqué à une audience publique, d'une part, l'association les Licornes Célestes, M. B... et M. A..., et, d'autre part, la CNIL, la PDS et l'EMA ainsi que les sociétés Clever Cloud, Nexedi, Rapid. Space International et Cleyrop, les associations Conseil national du logiciel libre et Open Internet Project et M. C... E... ;
Ont été entendus lors de l'audience publique du 23 avril 2025, à 11 heures :
- les représentants de l'association Les Licornes Célestes et M. F... B..., qui ont notamment soulevé un moyen nouveau tiré de la méconnaissance, par la délibération contestée, de l'article 28 du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 et de l'article R. 1461-1 du code de la santé publique ;
- les représentants de la CNIL, qui ont notamment soutenu que ce nouveau moyen n'était pas fondé ;
- le représentant de la PDS ;
à l'issue de laquelle le juge des référés a prononcé la clôture de l'instruction ;
Considérant ce qui suit :
Sur l'intervention des sociétés Clever Cloud, Nexedi, Rapid. Space International et Cleyrop, des associations Conseil national du logiciel libre et Open Internet Project et de M. C... E... :
1. Les sociétés Clever Cloud, Nexedi, Rapid. Space International et Cleyrop, les associations Conseil national du logiciel libre et Open Internet Project et M. C... E... justifient d'un intérêt suffisant pour intervenir au soutien de la demande de suspension de l'exécution de la délibération attaquée et sont intervenus dans l'instance au fond au soutien de la demande d'annulation pour excès de pouvoir de cette délibération. Leur intervention est donc recevable et doit, par suite, être admise.
Sur la demande en référé :
2. Aux termes de l'article L. 521-1 du code de justice administrative : " Quand une décision administrative, même de rejet, fait l'objet d'une requête en annulation ou en réformation, le juge des référés, saisi d'une demande en ce sens, peut ordonner la suspension de l'exécution de cette décision, ou de certains de ses effets, lorsque l'urgence le justifie et qu'il est fait état d'un moyen propre à créer, en l'état de l'instruction, un doute sérieux quant à la légalité de la décision ".
3. Aux termes de l'article 66 de la loi du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés, relatif aux traitements de données à caractère personnel dans le domaine de la santé : " I.- Les traitements relevant de la présente section ne peuvent être mis en oeuvre qu'en considération de la finalité d'intérêt public qu'ils présentent. (...) / III.- Les traitements mentionnés au I qui ne sont pas conformes à un référentiel mentionné au II ne peuvent être mis en oeuvre qu'après autorisation de la Commission nationale de l'informatique et des libertés. (...) ".
4. Il résulte de l'instruction que, sur le fondement de ces dispositions, la CNIL, par deux délibérations du 13 février 2025 publiées le 11 mars 2025, a autorisé l'EMA à mettre en oeuvre, pendant une durée limitée à trois ans, des traitements automatisés de données à caractère personnel ayant pour finalité, dans le cadre du projet DARWIN UE, des études portant sur l'estimation d'incidence et de prévalence des pathologies (délibération n° 2025-014) et de l'utilisation des médicaments (délibération n° 2025-013) dans la population générale en France. Ainsi que ces délibérations l'indiquent, la PDS interviendra en qualité de sous-traitant de l'EMA pour l'extraction des données pertinentes du système national des données de santé (SNDS), régi par les articles L. 1461-1 à L. 1461-7 du code de la santé publique, leur pseudonymisation, leur mise au format " OMOP-CDM " et leur stockage. L'association Les Licornes Célestes et les autres requérants demandent au juge des référés du Conseil d'Etat, statuant sur le fondement de l'article L. 521-1 du code de justice administrative, de suspendre l'exécution de la délibération n° 2025-014 du 13 février 2025, relative aux études portant sur les pathologies.
5. La condition d'urgence à laquelle est subordonné le prononcé d'une mesure de suspension doit être regardée comme remplie lorsque la décision administrative contestée préjudicie de manière suffisamment grave et immédiate à un intérêt public, à la situation du requérant ou aux intérêts qu'il entend défendre. Il appartient au juge des référés d'apprécier concrètement, compte tenu des justifications fournies par le requérant, si les effets de l'acte contesté sont de nature à caractériser une urgence justifiant que, sans attendre le jugement de la requête au fond, l'exécution de la décision soit suspendue. L'urgence doit être appréciée objectivement et compte tenu de l'ensemble des circonstances de l'affaire.
6. Pour justifier l'urgence à suspendre l'exécution de la délibération contestée, les requérants font valoir que l'autorisation donnée par la CNIL, en ce qu'elle admet la légalité de l'hébergement de données sensibles par un sous-traitant, Microsoft Ireland, dont la société mère est soumise au droit des Etats-Unis, préjudicie de manière grave et immédiate aux intérêts qu'ils entendent défendre, en raison principalement du risque qui en résulte d'accès à ces données, qui concernent dix millions de personnes, par des autorités des Etats-Unis, dans un contexte d'instabilité juridique qui s'est accentué dans ce pays depuis 2024.
7. Toutefois, en premier lieu, s'il ne peut être totalement exclu que les données du traitement autorisé, alors même qu'il est prévu qu'elles soient conservées dans des centres situés en France, fassent l'objet de demandes d'accès par les autorités des Etats-Unis, par l'intermédiaire de la société mère de l'hébergeur, et que celui-ci ne puisse s'y opposer, ce risque demeure hypothétique en l'état de l'instruction. En deuxième lieu, outre que la société Microsoft Ireland dispose de la certification " hébergeur de données de santé " (HDS) prévue par l'article L. 1111-8 du code de la santé publique, qui implique le respect d'un référentiel de sécurité et un audit régulier par un organisme accrédité, des garanties et mesures de sécurité entourent la mise en oeuvre du projet, notamment en ce que les données seront pseudonymisées à plusieurs reprises et non directement identifiantes, de sorte que la CNIL a estimé que ce risque était réduit à un niveau qui ne justifiait pas qu'elle refuse l'autorisation demandée, dont elle a au demeurant limité la durée à trois ans. En dernier lieu, l'intérêt public qu'il y a à ne pas retarder la réalisation des études portant sur l'estimation d'incidence et de prévalence des pathologies en population générale prévues dans le cadre du projet DARWIN EU doit également, dès lors qu'il ne résulte pas de l'instruction que des solutions pouvant offrir à la PDS les mêmes fonctionnalités et une meilleure sécurité globale que celle commercialisée par Microsoft soient d'ores et déjà disponibles, être pris en compte. Dans ces conditions, l'exécution de la délibération attaquée ne peut être regardée comme portant une atteinte suffisamment grave et immédiate aux intérêts défendus par les requérants, ainsi qu'au droit au respect de la vie privée des personnes concernées, de nature à caractériser une urgence justifiant que, sans attendre le jugement de la requête au fond, l'exécution de la délibération contestée soit suspendue.
8. Il résulte de ce qui précède que la condition d'urgence requise par l'article L. 521-1 du code de justice administrative n'est pas remplie. Dès lors, et sans qu'il soit besoin de renvoyer les questions préjudicielles formulées ni de se prononcer sur l'existence d'un doute sérieux quant à la légalité de la délibération contestée, les conclusions à fin de suspension des requérants ainsi, en tout état de cause, que celles qu'ils ont présentées sur le fondement de l'article L. 761-1 du code de justice administrative, ne peuvent qu'être rejetées.
O R D O N N E :
------------------
Article 1er : L'intervention des sociétés Clever Cloud, Nexedi, Rapid. Space International et Cleyrop, des associations Conseil national du logiciel libre et Open Internet Project et de M. C... E... est admise.
Article 2 : La requête de l'association Les Licornes Célestes, M. B... et M. A... est rejetée.
Article 3 : La présente ordonnance sera notifiée à l'association les Licornes Célestes, à M. F... B... et à M. D... A... ainsi qu'à la Commission nationale de l'informatique et des libertés, au groupement d'intérêt public Plateforme des données de santé, à l'Agence européenne des médicaments et à la société Clever Cloud, première intervenante dénommée.
Fait à Paris, le 25 avril 2025
Signé : Rémi Bouchez
N° 503163
ECLI:FR:CEORD:2025:503163.20250425
Inédit au recueil Lebon
Juge des référés
M. Rémi Bouchez, président
M. R Bouchez, rapporteur
Lecture du vendredi 25 avril 2025
REPUBLIQUE FRANCAISE
AU NOM DU PEUPLE FRANCAIS
AU NOM DU PEUPLE FRANCAIS
Vu la procédure suivante :
Par une requête, un nouveau mémoire et un mémoire en réplique, enregistrés les 9, 14 et 22 avril 2025 au secrétariat du contentieux du Conseil d'Etat, l'association les Licornes Célestes, M. F... B... et M. D... A... demandent au juge des référés du Conseil d'Etat, statuant sur le fondement de l'article L. 521-1 du code de justice administrative :
1°) de suspendre l'exécution de la délibération n° 2025-014 du 13 février 2025 de la Commission nationale de l'informatique et des libertés (CNIL) autorisant l'Agence européenne des médicaments (EMA) à mettre en oeuvre des traitements automatisés de données à caractère personnel ayant pour finalité des études portant sur l'estimation d'incidence et de prévalence des pathologies dans la population générale en France dans le cadre du projet " DARWIN UE " ;
2°) à titre subsidiaire, de saisir la Cour de justice de l'Union européenne de questions tendant à l'appréciation de la validité, au regard des exigences de la Charte des droits fondamentaux de l'Union européenne, de la décision d'exécution (UE) n° 2023/1795 de la Commission du 10 juillet 2023 constatant le niveau de protection adéquat des données à caractère personnel assuré par le cadre de protection UE-Etats-Unis, en demandant à la Cour, compte tenu de l'urgence, de soumettre le renvoi préjudiciel à la procédure accélérée ;
3°) de mettre à la charge de la CNIL la somme de 3 500 euros au titre de l'article L. 761-1 du code de justice administrative.
Ils soutiennent que :
- la condition d'urgence est satisfaite dès lors que le traitement de données à caractère personnel autorisé concerne les données de santé de dix millions de Français et que ces données seront, en raison de leur hébergement par la société Microsoft, exposées à des risques de collecte extraterritoriale, notamment sur le fondement de plusieurs dispositions du droit des Etats-Unis, sans que cette collecte ne soit entourée de garanties suffisantes, ce qui porte une atteinte grave et immédiate aux intérêts qu'ils entendent défendre ainsi qu'au droit au respect de la vie privée des personnes concernées ;
- il existe un doute sérieux quant à la légalité de la décision contestée ;
- la délibération contestée est entachée d'erreur de droit et de fait en ce qu'elle retient que les données seront conservées sur le territoire français et qu'elles ne seront pas transférées hors du territoire de l'Union européenne alors que, en raison de l'organisation même de l'informatique en nuage qu'elle commercialise, qui implique inévitablement des transferts de données vers des serveurs situés aux Etats-Unis, la société Microsoft n'a pas la capacité technique de garantir l'hébergement et le traitement des données personnelles en cause sur le seul territoire européen, ce dont il résulte que l'autorisation accordée à l'EMA méconnaît les dispositions de l'article R. 1461-1 du code de la santé publique ;
- la décision est entachée d'erreur de droit, de fait et d'appréciation, ainsi que d'insuffisance de motivation, en ce qu'elle autorise les traitements des données après avoir retenu que seuls peuvent intervenir des transferts de " données techniques d'usage " de la plateforme vers des administrateurs situés aux Etats-Unis alors, d'une part, que ces données peuvent comporter des données personnelles, la notion de données techniques d'usage étant particulièrement large et stéréotypée, et, d'autre part, que la CNIL n'a pas examiné si l'EMA, responsable de traitement, et le groupement d'intérêt public Plateforme des données de santé (PDS), sous-traitant, disposent des informations minimales nécessaires pour déterminer les garanties applicables aux transferts de données sur la base des clauses contractuelles types ou si des mesures supplémentaires sont nécessaires pour assurer un niveau de protection adéquat ;
- dans le cas où, en réponse au moyen qui précède, la décision d'exécution n° 2023/1795 de la Commission du 10 juillet 2023 serait regardée comme garantissant que tout transfert de données vers les Etats-Unis depuis l'Union européenne bénéficie de garanties permettant d'assurer une protection suffisante, il y aurait lieu de renvoyer à la CJUE une question préjudicielle en appréciation de sa validité au regard des exigences de la Charte des droits fondamentaux de l'Union européenne, les conditions exigées pour ce renvoi étant réunies ;
- la décision contestée est entachée d'erreur de droit et d'erreur d'appréciation car l'autorisation accordée à l'EMA méconnaît les dispositions de l'article 31 de la loi n° 2024-449 du 21 mai 2024 visant à sécuriser et à réguler l'espace numérique, applicables même en l'absence à ce jour du décret d'application auquel renvoie cet article, en ce qu'elles imposent aux prestataires privés fournissant un service d'informatique en nuage de garantir la protection des données traitées ou stockées de tout accès par des autorités publiques d'Etats tiers non autorisées par le droit de l'Union européenne, ce que la société Microsoft ne fait pas.
Par un mémoire en intervention, enregistré le 14 avril 2025, les sociétés Clever Cloud, Nexedi, Rapid. Space International et Cleyrop, les associations Conseil national du logiciel libre et Open Internet Project et M. C... E... concluent à la recevabilité de leur intervention volontaire et demandent au juge des référés du Conseil d'Etat de faire droit aux conclusions de la requête. Ils soutiennent qu'ils ont intérêt à intervenir et s'associent aux moyens et conclusions développés par les demandeurs.
Par un mémoire en défense, enregistré le 16 avril 2025, l'EMA indique qu'elle n'est pas habilitée à intervenir dans la présente procédure et que, en conséquence, elle ne présentera pas d'observations et n'assistera pas à l'audience publique.
Par un mémoire en défense et un nouveau mémoire, enregistrés les 17 et 23 avril 2025, la PDS conclut au rejet de la requête. Elle soutient que la condition d'urgence n'est pas satisfaite et que les moyens soulevés ne sont pas fondés.
Par un mémoire en défense, enregistré le 17 avril 2025, la CNIL conclut au rejet de la requête. Elle soutient que la condition d'urgence n'est pas satisfaite et que les moyens soulevés ne sont pas fondés.
Vu les autres pièces du dossier ;
Vu :
- la Constitution, notamment son Préambule ;
- la convention européenne de sauvegarde des droits de l'homme et des libertés fondamentales ;
- la Charte des droits fondamentaux de l'Union européenne ;
- le règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 ;
- le code de la santé publique ;
- la loi n° 2024-449 du 21 mai 2024 ;
- le code de justice administrative ;
Après avoir convoqué à une audience publique, d'une part, l'association les Licornes Célestes, M. B... et M. A..., et, d'autre part, la CNIL, la PDS et l'EMA ainsi que les sociétés Clever Cloud, Nexedi, Rapid. Space International et Cleyrop, les associations Conseil national du logiciel libre et Open Internet Project et M. C... E... ;
Ont été entendus lors de l'audience publique du 23 avril 2025, à 11 heures :
- les représentants de l'association Les Licornes Célestes et M. F... B..., qui ont notamment soulevé un moyen nouveau tiré de la méconnaissance, par la délibération contestée, de l'article 28 du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 et de l'article R. 1461-1 du code de la santé publique ;
- les représentants de la CNIL, qui ont notamment soutenu que ce nouveau moyen n'était pas fondé ;
- le représentant de la PDS ;
à l'issue de laquelle le juge des référés a prononcé la clôture de l'instruction ;
Considérant ce qui suit :
Sur l'intervention des sociétés Clever Cloud, Nexedi, Rapid. Space International et Cleyrop, des associations Conseil national du logiciel libre et Open Internet Project et de M. C... E... :
1. Les sociétés Clever Cloud, Nexedi, Rapid. Space International et Cleyrop, les associations Conseil national du logiciel libre et Open Internet Project et M. C... E... justifient d'un intérêt suffisant pour intervenir au soutien de la demande de suspension de l'exécution de la délibération attaquée et sont intervenus dans l'instance au fond au soutien de la demande d'annulation pour excès de pouvoir de cette délibération. Leur intervention est donc recevable et doit, par suite, être admise.
Sur la demande en référé :
2. Aux termes de l'article L. 521-1 du code de justice administrative : " Quand une décision administrative, même de rejet, fait l'objet d'une requête en annulation ou en réformation, le juge des référés, saisi d'une demande en ce sens, peut ordonner la suspension de l'exécution de cette décision, ou de certains de ses effets, lorsque l'urgence le justifie et qu'il est fait état d'un moyen propre à créer, en l'état de l'instruction, un doute sérieux quant à la légalité de la décision ".
3. Aux termes de l'article 66 de la loi du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés, relatif aux traitements de données à caractère personnel dans le domaine de la santé : " I.- Les traitements relevant de la présente section ne peuvent être mis en oeuvre qu'en considération de la finalité d'intérêt public qu'ils présentent. (...) / III.- Les traitements mentionnés au I qui ne sont pas conformes à un référentiel mentionné au II ne peuvent être mis en oeuvre qu'après autorisation de la Commission nationale de l'informatique et des libertés. (...) ".
4. Il résulte de l'instruction que, sur le fondement de ces dispositions, la CNIL, par deux délibérations du 13 février 2025 publiées le 11 mars 2025, a autorisé l'EMA à mettre en oeuvre, pendant une durée limitée à trois ans, des traitements automatisés de données à caractère personnel ayant pour finalité, dans le cadre du projet DARWIN UE, des études portant sur l'estimation d'incidence et de prévalence des pathologies (délibération n° 2025-014) et de l'utilisation des médicaments (délibération n° 2025-013) dans la population générale en France. Ainsi que ces délibérations l'indiquent, la PDS interviendra en qualité de sous-traitant de l'EMA pour l'extraction des données pertinentes du système national des données de santé (SNDS), régi par les articles L. 1461-1 à L. 1461-7 du code de la santé publique, leur pseudonymisation, leur mise au format " OMOP-CDM " et leur stockage. L'association Les Licornes Célestes et les autres requérants demandent au juge des référés du Conseil d'Etat, statuant sur le fondement de l'article L. 521-1 du code de justice administrative, de suspendre l'exécution de la délibération n° 2025-014 du 13 février 2025, relative aux études portant sur les pathologies.
5. La condition d'urgence à laquelle est subordonné le prononcé d'une mesure de suspension doit être regardée comme remplie lorsque la décision administrative contestée préjudicie de manière suffisamment grave et immédiate à un intérêt public, à la situation du requérant ou aux intérêts qu'il entend défendre. Il appartient au juge des référés d'apprécier concrètement, compte tenu des justifications fournies par le requérant, si les effets de l'acte contesté sont de nature à caractériser une urgence justifiant que, sans attendre le jugement de la requête au fond, l'exécution de la décision soit suspendue. L'urgence doit être appréciée objectivement et compte tenu de l'ensemble des circonstances de l'affaire.
6. Pour justifier l'urgence à suspendre l'exécution de la délibération contestée, les requérants font valoir que l'autorisation donnée par la CNIL, en ce qu'elle admet la légalité de l'hébergement de données sensibles par un sous-traitant, Microsoft Ireland, dont la société mère est soumise au droit des Etats-Unis, préjudicie de manière grave et immédiate aux intérêts qu'ils entendent défendre, en raison principalement du risque qui en résulte d'accès à ces données, qui concernent dix millions de personnes, par des autorités des Etats-Unis, dans un contexte d'instabilité juridique qui s'est accentué dans ce pays depuis 2024.
7. Toutefois, en premier lieu, s'il ne peut être totalement exclu que les données du traitement autorisé, alors même qu'il est prévu qu'elles soient conservées dans des centres situés en France, fassent l'objet de demandes d'accès par les autorités des Etats-Unis, par l'intermédiaire de la société mère de l'hébergeur, et que celui-ci ne puisse s'y opposer, ce risque demeure hypothétique en l'état de l'instruction. En deuxième lieu, outre que la société Microsoft Ireland dispose de la certification " hébergeur de données de santé " (HDS) prévue par l'article L. 1111-8 du code de la santé publique, qui implique le respect d'un référentiel de sécurité et un audit régulier par un organisme accrédité, des garanties et mesures de sécurité entourent la mise en oeuvre du projet, notamment en ce que les données seront pseudonymisées à plusieurs reprises et non directement identifiantes, de sorte que la CNIL a estimé que ce risque était réduit à un niveau qui ne justifiait pas qu'elle refuse l'autorisation demandée, dont elle a au demeurant limité la durée à trois ans. En dernier lieu, l'intérêt public qu'il y a à ne pas retarder la réalisation des études portant sur l'estimation d'incidence et de prévalence des pathologies en population générale prévues dans le cadre du projet DARWIN EU doit également, dès lors qu'il ne résulte pas de l'instruction que des solutions pouvant offrir à la PDS les mêmes fonctionnalités et une meilleure sécurité globale que celle commercialisée par Microsoft soient d'ores et déjà disponibles, être pris en compte. Dans ces conditions, l'exécution de la délibération attaquée ne peut être regardée comme portant une atteinte suffisamment grave et immédiate aux intérêts défendus par les requérants, ainsi qu'au droit au respect de la vie privée des personnes concernées, de nature à caractériser une urgence justifiant que, sans attendre le jugement de la requête au fond, l'exécution de la délibération contestée soit suspendue.
8. Il résulte de ce qui précède que la condition d'urgence requise par l'article L. 521-1 du code de justice administrative n'est pas remplie. Dès lors, et sans qu'il soit besoin de renvoyer les questions préjudicielles formulées ni de se prononcer sur l'existence d'un doute sérieux quant à la légalité de la délibération contestée, les conclusions à fin de suspension des requérants ainsi, en tout état de cause, que celles qu'ils ont présentées sur le fondement de l'article L. 761-1 du code de justice administrative, ne peuvent qu'être rejetées.
O R D O N N E :
------------------
Article 1er : L'intervention des sociétés Clever Cloud, Nexedi, Rapid. Space International et Cleyrop, des associations Conseil national du logiciel libre et Open Internet Project et de M. C... E... est admise.
Article 2 : La requête de l'association Les Licornes Célestes, M. B... et M. A... est rejetée.
Article 3 : La présente ordonnance sera notifiée à l'association les Licornes Célestes, à M. F... B... et à M. D... A... ainsi qu'à la Commission nationale de l'informatique et des libertés, au groupement d'intérêt public Plateforme des données de santé, à l'Agence européenne des médicaments et à la société Clever Cloud, première intervenante dénommée.
Fait à Paris, le 25 avril 2025
Signé : Rémi Bouchez