Après un rejet intérimaire, un rejet sur le fond : le Conseil d’État a décidé de valider le fait que Microsoft, société américaine soumise aux lois extraterritoriales américaines, héberge les données de santé des Français et des Européens, dans le cadre du développement d’une plateforme européenne. pour la recherche, l’EMC2. Et ce, même s’il n’est pas exclu que les autorités américaines aient accès à ces données de santé qui seront stockées sur cette plateforme destinée à la recherche.
Après la CNIL, le Conseil d’État donne son feu vert à EMC2, cet entrepôt européen de données de santé qui sera hébergé chez Microsoft. Dans une décision publiée sur son site mardi 19 novembre, la plus haute juridiction administrative valide sur le fond cette plateforme européenne destinée à la recherche, et surtout son hébergement par le géant américain du logiciel… même si les juges reconnaissent que les autorités américaines pourraient avoir accès à données de santé des Français et des Européens.
En début d’année, plusieurs associations et entreprises comme Internet Society France et Clever Cloud ont saisi le Conseil d’Etat en référé et sur le fond. Tous visaient à faire annuler la décision prise par la CNIL le 21 décembre. L’autorité française, garante de nos libertés, a validé, à regret et depuis trois ans, l’hébergement par la société américaine Microsoft de « EMC2 » – une version européenne du français. plateforme de données de santé HDH.
A lire aussi : La CNIL valide Microsoft comme hébergeur des données de santé françaises, mais avec des regrets
Un premier recours, le suspension renvoyéequi visait à suspendre en urgence la décision de la CNIL, a été rejetée en mars dernier par le Conseil d’Etat. Un deuxième appel, essentiellement, visait à faire Annuler la décision de la CNIL. C’est cette affaire sur le fond qui vient d’être rejetée.
Pourquoi l’hébergement Microsoft a-t-il été contesté ?
Au cœur de cette action en justice se trouve Microsoft. Le géant du logiciel et aussi du cloud, avec Azure, a été choisi pour héberger le HDH et EMC2, sa version européenne – un point validé par la CNIL le 21 décembre. De quoi constituer un non-sens pour de nombreuses associations et fournisseurs de cloud français, qui ont regretté que l’administration n’a pas favorisé un fournisseur de cloud européen non soumis aux lois extraterritoriales américaines.
A lire aussi : Health Data Hub : le cloud français sous le feu des critiques… pour mieux aider Microsoft à gagner ?
Microsoft est en fait une société américaine soumise à la loi FISA. Avec cette réglementation, les agences de renseignement américaines peuvent avoir accès aux données stockées par les hébergeurs américains, y compris en Europe. Et pour certains, confier « cette mine d’or » à un acteur non européen était un renoncement franc et massif à la souveraineté européenne – en plus d’être une occasion manquée d’aider les acteurs locaux à se développer, via les marchés publics.
Quel est l’argument du Conseil d’Etat ?
Si le Conseil d’Etat avait rejeté la demande de référé déposée en mars dernier, le juge administratif a fait de même, cette fois sur le fond. D’une part, il reconnaît que « il ne peut être totalement exclu que des données de traitements autorisés, particulièrement sensibles compte tenu de leur nature de données de santé mais également du potentiel scientifique et économique de leur exploitation, puissent faire l’objet de demandes d’accès de la part des autorités des États-Unis. « .
Mais d’un autre côté, écrit-il, ces données seront « fait l’objet de multiples pseudonymisations, par la Caisse Nationale d’Assurance Maladie ainsi que par le GIP PDS, avant d’être mis à disposition au sein de l’entrepôt « EMC2 »« . De plus, si Microsoft n’est pas certifié SecNumCloud, la plus haute certification Cloud française réservée à l’hébergement des données les plus sensibles, il dispose de la certification « hébergeur de données de santé ». Enfin, écrivent les juges administratifs, le projet n’a été autorisé que pour trois ans, c’est-à-dire une durée limitée.
Pas de question préliminaire sur l’accord sur les données entre les États-Unis et l’UE devant la CJUE
Pour toutes ces raisons, le plus haut tribunal de l’État décide de rejeter les demandes des associations et des entreprises – y compris celle qui demandait au Conseil d’État de saisir la Cour de Justice de l’UE, concernant l’accord USA-UE. transfert de données adopté en juillet 2023, le DPF.
A lire aussi : Comment l’Europe a cédé vos données personnelles aux espions américains
Ce texte, qui encadre le transfert de données personnelles de l’Europe vers les Etats-Unis, est contesté par de nombreuses associations de défense des droits, ainsi que par des politiques français comme le député Philippe Latombe.
🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google News et WhatsApp.
Source :
Décision du Conseil d’État n° 491644