Craignant de possibles transferts de données de santé personnelles vers les États-Unis, le collectif SantéNathon – qui regroupe des associations, des syndicats et des personnalités, notamment le Conseil national du logiciel libre, le Syndicat National des Journalistes, le Syndicat de la médecine générale et le professeur Didier Sicard de l’université Paris Descartes – a demandé au juge des référés du Conseil d’État de suspendre en urgence la plateforme Health Data Hub. Le collectif estime qu’après l’annulation par la Cour de justice européenne en juillet dernier de l’accord « Privacy Shield » encadrant les transferts de données entre l’Union européenne et les Etats-Unis, la plateforme n’a plus de base légale.
Le juge des référés ne relève pas d’illégalité grave et manifeste qui justifierait la suspension immédiate. Il rappelle que la Plateforme des données de santé et Microsoft se sont engagés, par contrat, « à refuser tout transfert de données de santé en dehors de l’Union européenne » et que par ailleurs « un arrêté ministériel pris le 9 octobre 2020 interdit tout transfert de données à caractère personnel dans le cadre de ce contrat ». Il rappelle aussi que le Health Data Hub est hébergé aux Pays-Bas et le sera prochainement en France. Il estime enfin qu’il « existe un intérêt public important à permettre la poursuite de l’utilisation des données de santé pour les besoins de l’épidémie de covid-19 grâce aux moyens techniques dont dispose la plateforme ».
Le juge reconnaît toutefois qu’il ne peut être « totalement exclu que les autorités américaines, dans le cadre de programmes de surveillance et de renseignement, demandent à Microsoft et à sa filiale irlandaise l’accès à certaines données ». C’est pourquoi demande au Health Data Hub de continuer, sous le contrôle de la Cnil, à travailler avec Microsoft pour renforcer la protection des droits des personnes concernées sur leurs données personnelles. Ces précautions devront être prises « dans l’attente d’une solution qui permettra d’éliminer tout risque d’accès aux données personnelles par les autorités américaines, comme annoncé par le secrétaire d’Etat au numérique le jour même de l’audience au Conseil d’État ». Cédric O a en effet indiqué ce jour-là qu’il souhaitait rapatrier les données du hub sur des plateformes françaises ou européennes. Il avait indiqué qu’il travaillait sur ce transfert avec le ministre de la Santé, Olivier Véran, ajoutant que des discussions étaient prévues avec l’Allemagne.
La Cnil, qui s’oppose elle aussi à la gestion par Microsoft des données du Health Data Hub et partage la position du secrétaire d’Etat, a pris acte de la décision du Conseil d’Etat. Elle indique dans un communiqué qu’elle « conseillera les autorités publiques sur les mesures appropriées et veillera, pour l’autorisation des projets de recherche liées à la crise sanitaire, à ce que le recours à la plateforme soit réellement nécessaire ».