Etienne Papin, associé de NEXT avocats, revient sur l’ordonnance du Conseil d’Etat du 22 mars dernier sur laquelle les commentaires à formuler sont nombreux.
Health Data Hub – Le Conseil d’Etat ne suspend pas en référé l’autorisation donnée au HDH d’héberger des données de santé sur Microsoft Azure.
Nous pouvons continuer dans les proverbes pour commenter cette séquence judiciaire : il n’y a pas pire aveugle que celui qui ne veut pas voir. (Notre précédent post sur le sujet)
Le CE a été saisi en référé par un groupement d’associations, d’entreprises et de particuliers d’une demande d’annulation de la délibération de la CNIL du 21 décembre 2024 reconnaissant la légalité de l’hébergement de données sensibles du projet EMC2 par un sous-traitant, Microsoft Ireland, dont la société mère est soumise au droit des Etats-Unis.
Par une ordonnance du 22 mars 2024, le CE rejette ce recours.
Il considère que la condition d’urgence de la procédure de référé n’est pas remplie pour les raisons suivantes :
1️⃣ La décision de la CNIL a été motivée par le fait qu’aucune solution ne répondait aux exigences techniques du HDH dans les délais impartis par la convention signée avec l’Agence Européenne du Médicament.
Autrement dit : nécessité fait loi ! On préfère faire peser un risque sur les données de santé de millions de personnes plutôt que le HDH assume les conséquences d’être en retard dans l’exécution d’un marché… On me permettra de ne pas être convaincu par le raisonnement car ce sont des pans entiers de la protection des données personnelles, en particulier, mais des libertés fondamentales, en général, qui peuvent s’effacer devant une telle considération.
2️⃣ Le risque d’accès aux données par les autorités américaines dans le cadre de leurs programmes de surveillance est actuellement « hypothétique » compte tenu de la mesures de sécurité mise en place, à savoir la pseudonymisation des données.
Mais alors, pourquoi depuis la directive européenne du 24 octobre 1995 explique-t-on aux entreprises que les transferts de données personnelles en dehors de l’Union Européenne sont susceptibles de porter atteintes aux droits et libertés des personnes ? Car, le fait que les autorités américaines accèdent effectivement aux données est toujours « hypothétique » de notre côté de l’Atlantique. Aucun responsable de traitement n’est jamais informé par les services de renseignements américains qu’ils accèdent « effectivement » aux données ! Faut-il vraiment expliquer pourquoi ?
▶️Sur la base de ces considérations, le Conseil d’Etat juge que les requérantes ne démontrent pas que la délibération attaquée porte une atteinte grave et immédiate aux intérêts des requérantes.
