Par Haas Avocats
Le Système National de Données de Santé (SNDS) n’a de cesse de faire parler de lui.
Pour ses vertus d’abord, cet outil permettant l’analyse des données de santé et l’amélioration des connaissances médicales, mais aussi pour les enjeux qu’il soulève en termes de protection des données personnelles.
La dernière polémique en date concernait un décret du 29 juin 2021 qui avait notamment induit des changements dans la gouvernance et le fonctionnement de la base de données.
C’est dans ce contexte que le Conseil d’Etat a été saisi d’un recours en excès de pouvoir et s’est prononcé en faveur du SNDS dans une décision du 23 novembre 2022.
Le SNDS : une « mégabase » de données de santé
La genèse du projet remonte à 2016 lors de la publication de la loi de modernisation de notre système de santé. La volonté du gouvernement était alors de créer un entrepôt de données médico-administratives pseudonymisées, avec pour finalité l’utilisation des données collectées par les personnes publiques dans le cadre de la recherche et de l’amélioration des connaissances médicales.
Ce projet s’est concrétisé par la création du SNDS, une base de données regroupant la plupart des bases de données de santé publiques existantes.
A ce titre, le législateur a prévu un certain nombre de garde-fous, et notamment l’obtention d’une autorisation préalable de la CNIL par toute personne ou structure, publique ou privée qui souhaiterait accéder à ces données dans le cadre d’études, de recherches ou encore d’évaluations présentant un caractère d’intérêt public.
Si les objectifs du SNDS sont tout à fait louables, il n’en demeure pas moins que sa mise en œuvre a soulevé certaines inquiétudes concernant la vie privée des personnes et la sécurité de leurs données, et le décret du 29 juin 2021 a renforcé la défiance de certains à l’égard de cet outil.
Controverses autour de la gouvernance et de l’hébergement des données de santé
A son origine, le SNDS était géré par la Caisse nationale de l’Assurance Maladie (CNAM) qui était seule responsable du traitement des données. Ces dernières, anonymisées, étaient hébergées sur des serveurs certifiés HDS (hébergeur de données de santé).
Toutefois, face au constat de la multiplication des sources de données de santé, et dans l’objectif de faciliter les travaux de recherche, le législateur a créé par un arrêté du 29 novembre 2021 le Health Data Hub (ou Plateforme de Données de Santé (PDS) depuis l’invalidation de la terminologie anglaise par le Tribunal Administratif de Paris le 22 octobre dernier). Ce groupement d’intérêt public a été créé avec pour mission de faciliter le partage des données de santé.
La publication du décret du 29 juin 2021 est donc intervenue dans la suite logique du plan du gouvernement concernant le partage des données de santé. Ce texte a en effet désigné la PDS responsable de traitement conjoint avec la CNAM. Cette décision a immédiatement soulevé des inquiétudes dans la mesure où le champ d’action de la PDS se trouve considérablement étendu, lui permettant notamment de réaliser des extractions ou encore des croisements de données.
La désignation de Microsoft Azure en qualité d’hébergeur des données a fait apparaitre de nouveaux enjeux liés au transfert de données hors UE. Suite à l’invalidation du Privacy Shield par la CJUE et [1] en l’absence d’un nouvel accord transatlantique à date, la CNIL s’était elle-même prononcée sur les modalités de mise en œuvre de la plateforme et désignation du géant américain pour héberger les données de santé de la population française estimant que le choix de cette solution appelle une « vigilance particulière ».
C’est donc par la voie de l’association InterHop qu’un recours en excès de pouvoir contre le décret du 29 juin 2021 a été présenté devant le Conseil d’Etat.
InterHop fait état de risques pour les personnes concernées
Comme l’on pouvait s’y attendre l’association Interhop fait état de vives inquiétudes quant au choix de Microsoft Azure dénonçant les risques de transfert de données vers les Etats-Unis induits par le recours à cet hébergeur.
L’association soulève également des risques d’accès par la PDS à des données identifiantes, considérant que les mesures de pseudonymisation sont insuffisantes pour garantir l’anonymat des données du SNDS.
L’association questionne également la sécurisation des données. Les requérants s’émouvaient du fait que le décret confiait à un arrêté le soin de définir les mesures techniques de sécurisation des données. Le décret aurait notamment dû prévoir des règles de sécurité informatique pour accéder aux données. La question de la sécurisation des données se pose notamment lorsque ces dernières sont exploitées par l’administration, et en particulier par la Cour des comptes. L’association pointe du doigt un accès non nécessaire et disproportionné aux données par une émanation de l’Etat n’étant pas directement liée à des recherches en santé.
Le décret prévoit que la PDS reçoive une copie de la base de données principale du SNDS, l’association considérait que cette déduplication des données interviendrait en contradiction avec le principe de minimisation des données.
Enfin, les requérants faisaient état de risques pour les droits des personnes considérant notamment que le décret portait atteinte au droit à l’effacement et au droit d’opposition, prévus par le RGPD.
Le Conseil d’Etat rejette le recours en excès de pouvoir
Le Conseil d’Etat a entendu répondre point par point aux moyens soulevés par l’association :
-
Sur le transfert des données : le Conseil d’Etat considère qu’il est saisi exclusivement d’un recours en annulation du décret, et qu’il ne lui appartient pas de statuer sur la décision ayant désigné Microsoft comme hébergeur des données.
-
Sur la pseudonymisation des données: le Conseil d’Etat rappelle qu’il appartient à la CNAM de pseudonymiser les données. Puis, lorsqu’elle met à la disposition de tiers des données de santé, la PDS est tenue de procéder à une nouvelle pseudonymisation. Le Conseil d’Etat considère donc que par ce processus, le décret ne permet pas à la PDS de disposer de données de santé directement nominatives. Par ailleurs, le décret attaqué ne prévoyant pas les méthodes de pseudonymisation, l’association ne pouvait pas invoquer cet argument à l’appui de son recours.
-
Sur la sécurisation des postes des utilisateurs susceptibles d’accéder au SNDS, le Conseil d’Etat considère que le renvoi vers les référentiels de sécurité de la CNIL permet d’assurer un niveau de sécurité suffisant.
-
Sur l’accès par la PDS à une copie de la base principale, le Conseil d’Etat se range derrière l’avis de la CNIL et y voit une « nécessité opérationnelle » afin de pouvoir répondre plus efficacement et plus rapidement aux demandes d’accès aux données.
-
Une réponse similaire est apportée sur le traitement des données du SNDS par l’administration, et notamment par la Cour des comptes. Cet accès est en effet nécessaire dans le cadre de l’évaluation des politiques publiques et des garanties apportées.
-
Le Conseil d’Etat se prononce par ailleurs sur le droit d’opposition, l’article 21 du RGPD ne s’appliquant pas dans le cadre de la constitution de la base principale et de la mise à disposition des données à l’administration. Après avoir réalisé un contrôle de proportionnalité, les juges ont finalement conclu à la conformité du décret sur ce point.
-
Enfin, l’association requérante reprochait au décret attaqué de priver d’effet le droit à l’effacement prévu par l’article 17 du RGPD. Le Conseil d’Etat écarte ce moyen, estimant que « les personnes concernées ont le droit d'obtenir l'effacement des données les concernant des bases inscrites au catalogue dans les cas prévus au paragraphe 1 de l'article 17 du RGPD, sans que les exceptions prévues au paragraphe 3 du même article leur soient opposables»
***
Le Cabinet HAAS Avocats, fort de son expertise depuis plus de vingt-cinq ans en matière de nouvelles technologies, accompagne ses clients dans différents domaines du droit et notamment en matière d’e-santé.
Dans un monde incertain, choisissez de vous faire accompagner par un cabinet d’avocats fiable. Pour nous contacter, cliquez ici.
[1] CJUE du 16 juillet 2020 (Data Protection Commissioner contre Facebook Ireland Ltd et Maximillian Schrems (C-311/18).
