Le Conseil d’État a rejeté, en novembre 2024, quatre recours contestant l’hébergement des données de santé des Français contenues dans le SNDS (système national des données de santé) par Microsoft ou l’entrepôt EMC2. Ces recours, initiés par plusieurs associations (Interhop, Constances, SMG, SUD santé sociaux, LDH et Aides, Clever Cloud, Nexedi ou encore le Conseil national du logiciel libre), visaient à déclarer illégal cet hébergement en raison des liens de Microsoft avec les États-Unis et des risques potentiels pour la sécurité des données.
1. Des garanties jugées suffisantes par le Conseil d’Etat
Bien que le Conseil d’État reconnaisse que des demandes d’accès aux données pourraient être formulées par les autorités américaines en vertu des lois locales, il estime que les garanties apportées par Microsoft sont conformes aux exigences de l’article 28 du RGPD. Les juges retiennent:
- Une pseudonymisation renforcée : Les données sont pseudonymisées à plusieurs niveaux avant leur hébergement.
- Une certification conforme : L’environnement d’hébergement bénéficie de la certification HDS (Hébergeur de Données de Santé).
2. Transfert des données et conformité au RGPD
Un des recours portait sur la possibilité de transferts illégaux de données personnelles vers des pays tiers. Le Conseil d’État a toutefois relevé que seuls des transferts de données techniques étaient effectués dans ce cas. Toutefois, il a pris le soin de rappeler :
- Les règles posées par le RGPD : L’absence de décision d’adéquation ne bloque pas systématiquement les transferts hors UE dès lors que des garanties appropriées sont mises en place (articles 46 à 49 du RGPD).
- Règlementations spécifiques : Les données du SNDS doivent rester dans l’UE, sauf pour des accès ponctuels justifiés par une finalité autorisée par la loi (dispositions de l’article L. 1461-3 auxquelles se réfère d’ailleurs le Référentiel de sécurité SNDS récemment modifié -06 mai 2024- qui précise que « Les gestionnaires ou les sous-traitants susceptibles d’être soumis à la législation d’un pays tiers n’assurant pas un niveau de protection adéquat au sens de l’article 45 du RGPD, ont pour obligation […] de mettre en œuvre des mesures pour atténuer les risques d’accès non autorisé induits par ces réglementations et d’identifier les risques résiduels qui demeureraient malgré ces mesures »).
3. Certification HDS et conformité SecNumCloud
Bien que Microsoft, en tant que filiale d’une société américaine, ne puisse obtenir la certification SecNumCloud de l’ANSSI, la certification HDS prévue par l’article L. 1111-8 du Code de la santé publique a été jugée suffisante. Cette certification implique des audits réguliers par un organisme accrédité, et son absence n’est pas un critère d’exclusion tant qu’elle n’est pas obligatoire.
4. Implications pour les responsables de traitement
Cette décision souligne deux aspects essentiels de conformité au RGPD que le responsable de traitement doit vérifier :
- Article 28 du RGPD : tout sous-traitant doit présenter des garanties suffisantes pour protéger les données.
- Transferts internationaux : Les transferts de données vers des pays tiers sont autorisés, sous réserve de garanties conformes aux articles 44 à 49 du RGPD.
Le Conseil d’État valide donc l’hébergement des données de santé par Microsoft, rappelant que les garanties présentées sont conformes aux réglementations européennes. Cette décision a le mérite de clarifier ce qui peut être exigé des responsables de traitement hébergeant les données de santé dans des conditions similaires au SNDS sur les attentes en termes de conformité et les certifications applicables.
Arrêt du Conseil d’Etat, 19 novembre 2024, décision n°491644
Arrêt du Conseil d’Etat, 13 novembre 2024, décisions n°475297 et n°492895
⇒ Claire LAURIA, avocate
