La demande de suspension de la décision de la Cnil sur l'hébergement de données de santé rejetée par le Conseil d'État
La décision de la Commission nationale de l'informatique et des libertés (Cnil) de valider "malgré elle" le choix d'une solution Microsoft pour héberger des données de santé par le consortium EMC2 - une version européenne du Health Data Hub français - le 31 janvier 2024 a provoqué une vague de protestations. Après l'Internet Society (1), trois sociétés françaises de cloud computing ont déposé mi-mars un référé au Conseil d'Etat demandant l'annulation en urgence de la décision de la Cnil. Au cœur de leur argumentation : les risques pesant sur les données des Français du fait de la soumission de Microsoft au Cloud Act, qui ouvre la possibilité au gouvernement américain d'accéder aux données que gère l'entreprise où qu'elles se trouvent.
La plateforme des données de santé a fait valoir que l'urgence et les préjudices allégués par les requérants n'étaient pas suffisamment démontrés. Elle a soutenu que les mesures prévues, notamment la pseudonymisation des données de santé et l'hébergement des données sur le territoire français, minimisaient les risques d'accès non autorisé par les autorités américaines. De plus, elle a mis en avant l'intérêt public du traitement EMC2 pour la recherche.
Après examen, le Conseil d'État a conclu que les requérants n'avaient pas apporté suffisamment d'éléments prouvant une "atteinte grave et immédiate" justifiant la suspension de l'exécution de la délibération. En particulier, il a considéré que les risques liés à l'hébergement des données par Microsoft étaient hypothétiques et atténués par les mesures de pseudonymisation et de protection des données. Enfin, et c'est sans doute le point le plus problématique pour les requérants, le Conseil d'État souligne que l'étude préalable au choix de la solution retenue par EMC2 – demandée par la Cnil - a établi que les sociétés françaises n'étaient pas en mesure de présenter dans les délais impartis une offre répondant aux critères d'EMC2.
Le Conseil d'État a donc rejeté la requête le 22 mars 2024.
(1) L'Internet Society est une association de droit américain à vocation internationale créée en janvier 1992 par les pionniers de l'Internet pour promouvoir et coordonner le développement des réseaux informatiques dans le monde.