Heath Data Hub : le Conseil d’Etat demande des mesures pour protéger nos données de santé

Le Conseil d’Etat a nuancé le risque que Microsoft ne puisse pas s’opposer à une demande d’accès aux données par les administrations américaines à des fins de renseignement.

 Le Conseil d’Etat a refusé de suspendre le Heath Data Hub, plateforme française des données de santé pour la recherche.
Le Conseil d’Etat a refusé de suspendre le Heath Data Hub, plateforme française des données de santé pour la recherche.  LE PARISIEN/OLIVIER BOITET

Le Heath Data Hub ne sera pas suspendu, mais son hébergement actuel par l'américain Microsoft nécessite de prendre des garanties supplémentaires, a décidé mercredi le Conseil d'Etat. Cette plateforme a pour vocation de permettre aux scientifiques d'accéder à des fins de recherche aux montagnes de données de santé françaises, sous forme pseudonymisée, en utilisant en particulier l'intelligence artificielle.

Le Conseil d'Etat a considéré que le « risque » que Microsoft ne puisse pas s'opposer à une demande d'accès à ces données par les administrations américaines à des fins de renseignement ne constituait pas un « cas d'atteinte grave et manifestement illégale » à une liberté fondamentale et qu'il ne justifiait pas « à très court terme » la suspension du dispositif, notamment au regard de son « intérêt public important » en pleine crise sanitaire.

« Garantir au mieux la protection des droits »

En revanche, « il appartient à la plateforme des données de santé de continuer de rechercher […] la mise en œuvre par Microsoft des mesures techniques et organisationnelles appropriées pour garantir au mieux la protection des droits ».

Le juge des référés était saisi d'une requête en suspension par le collectif Santenathon, rassemblant une vingtaine d'organisations et de personnalités, dont le Conseil national du logiciel libre et le Syndicat de la médecine générale. Ces derniers arguaient que la plateforme n'avait plus de base légale après l'annulation en juillet par la justice européenne de l'accord « Privacy Shield », qui organisait les transferts de données entre l'UE et les Etats-Unis.

« Le Conseil d'Etat reconnaît que le Heath Data Hub hébergé chez Microsoft ne protège pas les données de santé des Français contre les intrusions du gouvernement américain », ont-ils relevé dans un communiqué, souhaitant désormais saisir le Conseil d'Etat sur le fond et la Cnil, gendarme des données personnelles, sur « les infractions en cours et passées ».

Les données stockées aux Pays-Bas puis en France

Dans un mémoire communiqué lors de l'audience du 8 octobre, cette dernière recommandait de changer la solution d'hébergement « dans un délai aussi bref que possible ». « La Cnil va analyser avec attention la position du juge des référés pour l'instruction des demandes d'autorisations de projets de recherche utilisant le Heath Data Hub ainsi que pour conseiller les autorités publiques sur la mise en place de garanties pérennes appropriées », a-t-elle réagi mercredi dans un communiqué.

Elle « accueille également favorablement les déclarations du secrétaire d'État au numérique (Cédric O) qui a indiqué, le 8 octobre dernier devant le Sénat, la volonté du gouvernement de transférer le Heath Data Hub sur des plateformes françaises ou européennes ».

En attendant, le Conseil d'Etat se veut rassurant, expliquant que les données du Heath Data Hub sont stockées par Microsoft aux Pays-Bas « avant de l'être prochainement en France », et que le contrat interdit les transferts de données personnelles vers les Etats-Unis.

Un arrêté ministériel dispose qu'« aucun transfert de données à caractère personnel ne peut être réalisé en dehors de l'Union européenne » dans le cadre du Heath Data Hub. « Le recours aux solutions Cloud de Microsoft a été fait sur la base de leurs fonctionnalités et garanties en matière de sécurité et de protection de la vie privée. Ces solutions répondent aux exigences de la règlementation française relative au stockage et au traitement des données de santé », a souligné de son côté le groupe américain auprès de l'AFP.