Le Conseil d’Etat valide l’hébergement de l’« EMC2 » du Health Data Hub par Microsoft

L’entrepôt de données de santé en question

Pour mémoire, le Health Data Hub était chargé de « la constitution d’un entrepôt de données de santé visant à permettre des recherches, études et évaluations en pharmaco-épidémiologie » en vertu d’un contrat conclu avec l’Agence européenne de médicaments (EMA). Il était notamment prévu « Un appariement entre une fraction des données de la base principale du système national des données de santé (SNDS) et les dossiers médicaux fournis par quatre établissements partenaires en France ».

Ce projet, dénommé « EMC2 », ne répondait pas à toutes les exigences prévues le référentiel CNIL relatif « aux traitements de données à caractère personnel mis en œuvre à des fins de création d’entrepôts de données de santé dans le domaine de la santé »² conduisant alors le Health Data Hub à saisir la CNIL d’une demande d’autorisation.

Une position de la CNIL discutée³

Le fait que le projet « EMC2 » prévoyait de recourir à l’hébergeur Microsoft Ireland Ltd (avec la solution Microsoft Azure), société irlandaise, dont la maison mère est situé aux Etats-Unis, a été un des points d’attention de la CNIL et ce, compte tenu du risque d’accès par des tiers à des données de santé personnelles.

La CNIL a relevé plusieurs éléments qui laissaient penser qu’elle allait refuser l’autorisation d’un tel traitement.

En effet, la CNIL a considéré qu’il y avait bien un risque que les autorités américaines puissent accéder aux données de santé personnelles, dans la mesure où la maison mère de la société Microsoft Ireland Ltd, située aux Etats-Unis, est régie par le droit de ce pays (et ce, en dépit de la décision d’adéquation « Data Privacy Framework » du 10 juillet 2023). La CNIL a également rappelé sa recommandation de recourir à un hébergeur européen et certifié « SecNumCloud » « pour les bases de données les plus sensibles ». Plus encore, s’agissant des entrepôts de données de santé appariés avec le SNDS, il convient, selon la CNIL, que l’hébergeur des données ne soit pas soumis à une loi extra-européenne. Cette position de la CNIL va dans le sens d’une circulaire de la Première Ministre du 31 mars 2023⁴.

Pour autant, et malgré la « très nette contradiction [du projet « EMC2 »] avec [ces] éléments », la CNIL a pris en compte (i) le fait qu’aucun prestataire n’était susceptible de répondre, actuellement, aux besoins du Health Data Hub au moyen d’une solution souveraine et (ii) la nécessité « que les engagements pris vis-à-vis de [l’Agence européenne du médicament] puissent être honorés ».

En conséquence, la CNIL a, in fine, autorisé la mise en œuvre de l’entrepôt de données de santé « EMC2 » avec un hébergement chez Microsoft pour une durée de 3 ans (durée de la migration de la plateforme).

Cette décision a été vivement critiquée conduisant notamment plusieurs organismes, dont l’association Internet Society France⁵, à la contester devant le Conseil d’Etat.

Une position du Conseil d’Etat au secours de la CNIL

Une des critiques élevées contre la décision de la CNIL concernait le respect de l’article 28.1 du RGPD selon lequel le sous-traitant d’un traitement de données personnelles – ici Microsoft Ireland Ltd – doit présenter des « garanties suffisantes quant à la mise en œuvre de mesures techniques et organisationnelles appropriées de manière à ce que le traitement réponde aux exigences du présent règlement et garantisse la protection des droits de la personne concernée ». A cet égard, le Conseil d’Etat a considéré que, effectivement le risque « ne peut être totalement exclu » que les autorités américaines, « sur le fondement des lois de ce pays, par l’intermédiaire de la société-mère de l’hébergeur », puissent faire des demandes d’accès aux données du traitement du projet « EMC2 » autorisé, « d’une sensibilité particulière ». Malgré cela, plusieurs éléments permettent de s’assurer du respect des dispositions de l’article 28.1 du RGPD, selon le Conseil d’Etat, à savoir : 

• La pseudonymisation multiple des données par la Caisse nationale d’assurance maladie et par le Health Data Hub « avant toute mise à disposition au sein de l’entrepôt « EMC2 » ;
  
  
• La certification « HDS » de Microsoft Ireland Ltd « qui implique un audit régulier par un organisme accrédité » (en ayant, par ailleurs, relevé que Microsoft Ireland Ltd « ne peut bénéficier de la certification « SecNumCloud » délivrée par (…) [l’ANSSI] dès lors qu’elle est la filiale d’une société soumise au droit des Etats-Unis ») ;
  
  
• La durée de l’autorisation de la CNIL, limitée à 3 ans.

Le Conseil d’Etat a également jugé que, compte tenu de ces éléments et des finalités d’intérêt public poursuivies par le traitement, il n’y avait pas « d’atteinte disproportionnée au droit à la vie privée ».

En conséquence, le Conseil d’Etat a rejeté les recours, validé la décision de la CNIL et donc la possibilité d’un hébergement temporaire de données de santé sur un cloud non-souverain, faute de mieux.

Des garanties telles que la pseudonymisation, la certification HDS (bien que moins exigeante que la certification « Secnumcloud ») et ce, pour des finalités spécifiques d’intérêt public et une durée limitée du traitement concerné peuvent donc permettre de « légaliser », dans une certaine mesure, un hébergement de données de santé sur un cloud non-souverain.

La prudence reste toutefois de mise compte tenu du contexte particulier du traitement objet du projet « EMC2 » et des travaux gouvernementaux à venir sur la mise en place / l’exigence d’un cloud souverain.

A suivre…

1. Conseil d’Etat, 13 novembre 2024, décision n°475297 ; Conseil d’Etat, 13 novembre 2024, décision n°492895 ; Conseil d’Etat, 19 novembre 2024, décision n°491644.

2. Voir notre précédent article https://dsih.fr/articles/5419/un-entrepot-de-donnees-de-sante-peut-il-etre-heberge-par-microsoft

3. Délibération CNIL 21 décembre 2023, publiée le 31 janvier 2024.

4. Selon laquelle les autorités publiques s’assurent que « les données ‘d’une sensibilité particulière’ hébergées dans le cloud ne soient pas soumises à des lois extra-européennes ».

5. A noter que d’autres recours ont été formés devant le Conseil d’Etat sur la même problématique, en l’occurrence concernant la décision de refus du ministère des solidarités et de la santé de prendre « les mesures propres à éliminer la violation du (…) (RGPD) résultant de l’hébergement des données de la Plateforme des données de santé par la société Microsoft ».