Plusieurs organisations, syndicats et associations ont demandé au Conseil d’Etat statuant comme juge des référés de suspendre l’arrêté du 21 avril 2020 du Gouvernement autorisant la plateforme « Health Data Hub » (HDH) à récolter différentes données de santé pour la gestion de l’urgence sanitaire et l’amélioration des connaissances sur le covid-19. Notamment, les requérants contestaient la mise en œuvre de cet arrêté au regard des modalités d’hébergement des données, de leur anonymisation, de leur possible transfert vers des pays tiers et de la sécurité de la Plateforme.
D’abord, le juge a rappelé que le ministre de la santé a autorisé la Plateforme à collecter et traiter des données de santé pseudonymisées qui sont nécessaires à la poursuite de projets ayant un intérêt public, en lien avec l’épidémie de covid-19 et uniquement durant l’état d’urgence sanitaire (données de pharmacie, données de prise en charge en ville telles que diagnostics ou données déclaratives de symptômes issues d’applications mobiles de santé et d’outils de télésuivi, télésurveillance ou télémédecine, résultats d’examens biologiques réalisés par les laboratoires hospitaliers et les laboratoires de biologie médicale de ville, données relatives aux urgences collectées par l’Agence nationale de santé publique dans le cadre du réseau de surveillance coordonnée des urgences, données relatives aux appels recueillis au niveau des services d’aide médicale urgente et des services concourant à l’aide médicale urgente, données relatives à l’activité et à la consommation de soins dans les établissements ou services médico-sociaux, notamment dans les établissements d’hébergement pour personnes âgées dépendantes, enquêtes réalisées auprès des personnes pour évaluer leur vécu, données non directement identifiantes issues du système d’identification unique des victimes, données cliniques telles que d’imagerie, de pharmacie, de biologie, de virologie, comptes rendus médicaux de cohortes de patients pris en charge dans des centres de santé en vue de leur agrégation).
Ensuite, il a précisé que la collecte des données prévue par l’arrêté poursuivait des finalités légitimes et était proportionnée pour les atteindre. En effet, le recours à la Plateforme doit être justifié par l’urgence s’attachant à la conduite du projet et par l’absence de solution technique alternative satisfaisante permettant d’y procéder dans les délais utiles, et les projets sont, le cas échéant, soumis à l’autorisation de la Commission nationale de l’informatique et libertés (CNIL).
Ensuite, concernant la sécurité de la Plateforme, le juge des référés a relevé qu’elle a été homologuée conformément au référentiel en vigueur fixé par arrêté du ministre de l’économie et des finances et de la ministre des affaires sociales et de la santé du 22 mars 2017 en vertu du 3° du IV de l’article L. 1461-1 du code de la santé publique, qui précise les exigences générales pesant sur chaque gestionnaire de systèmes du système national des données de santé et les exigences à respecter pour le transfert de données, l’accès aux données, leur pseudonymisation, la traçabilité des accès, le contrôle, les droits des personnes et l’homologation du système par le responsable du traitement. Par ailleurs, la Plateforme a fait l’objet d’un contrôle externe par une société en novembre 2019, et fera l’objet d’un nouvel audit par un prestataire qualifié par l’Agence nationale de la sécurité des systèmes d’information (ANSSI). Enfin, toujours en termes de sécurité, l’hébergeur des données, Microsoft, héberge les données en Europe – actuellement aux Pays-Bas et prochainement en France – dans des centres qui bénéficient de la certification « hébergeur de données de santé » conformément au code de la santé publique. A cet égard, le juge a observé que Microsoft est soumis aux exigences de la réglementation française en matière d’hébergement des données de santé conformément au contrat qu’il a signé, et doit respecter le règlement général sur la protection des données (RGPD) en ce qui concerne le transfert de données à caractère personnel vers un pays tiers. En effet, le contrat conclu entre la Plateforme des données de santé et la société Microsoft prévoit la soumission « aux exigences de la réglementation française en matière d’hébergement de données de santé ». Enfin, s’agissant de possibles transferts de données aux Etats-Unis pour des besoins de maintenance, ils s’inscrivent dans le cadre autorisé par une décision de la Commission européenne de 2016, ainsi que le permet le RGPD.
S’agissant de la pseudonymisation des données, le juge des référés a estimé que les modalités prévues par l’arrêté étaient appropriées. Il a néanmoins relevé que la CNIL, lorsqu’elle avait été consultée sur le projet d’arrêté, n’avait pas eu le temps de vérifier que les mesures concrètes adoptées par la Plateforme étaient suffisantes. C’est pourquoi, le juge a ordonné à la Plateforme de communiquer sous cinq jours à la CNIL tous les éléments relatifs aux procédés de pseudonymisation utilisés afin qu’elle les vérifie.
Enfin, le juge des référés a relevé que l’information fournie par la Plateforme sur les données collectées était incomplète. Il a donc enjoint à la Plateforme de mentionner sur son site internet certaines précisions, tenant au possible transfert des données hors de l’Union européenne et aux informations relatives aux droits des personnes concernées.
