- Administratif
- Toute la matière
- > Bien
- > Collectivité territoriale
- > Compétence
- > Contrat et marché
- > Droit fondamental et liberté publique
- > Election
- > Environnement
- > Finance et fiscalité
- > Fonction publique
- > Institution administrative
- > Pouvoir public
- > Procédure contentieuse
- > Responsabilité
- > Service public
- > Urbanisme
- Affaires
- Civil
- Toute la matière
- > Arbitrage - Médiation - Conciliation
- > Bien - Propriété
- > Contrat et obligations
- > Droit et liberté fondamentaux
- > Droit international et communautaire
- > Famille - Personne
- > Filiation
- > Loi et traité
- > Mariage - Divorce - Couple
- > Procédure civile
- > Profession juridique et judiciaire
- > Responsabilité
- > Société et association
- > Sûretés
- > Voie d'exécution
- Européen
- Immobilier
- IP/IT et Communication
- Pénal
- Toute la matière
- > Atteinte à l'autorité de l'état
- > Atteinte à la personne
- > Atteinte aux biens
- > Circulation et transport
- > Criminalité organisée et terrorisme
- > Droit pénal des affaires
- > Droit pénal général
- > Droit pénal international
- > Droit social
- > Enquête
- > Environnement et urbanisme
- > Instruction
- > Jugement
- > Mineur
- > Peine et exécution des peines
- > Presse et communication
- Social
- Avocat
Article
Le Système national des données de santé est déclaré conforme au RGPD
Le Système national des données de santé est déclaré conforme au RGPD
Le Conseil d’État a rendu le 23 novembre 2022 sa décision au fond sur le décret controversé relatif au SNDS, dont les données sont traitées sous la responsabilité conjointe du Health Data Hub et de la Caisse nationale de l’assurance maladie, et temporairement hébergées par Microsoft.
par Cécile Crichtonle 13 décembre 2022
Créé par la loi n° 2019-774 du 24 juillet 2019 relative à l’organisation et à la transformation du système de santé, le Système national des données de santé (SNDS) a vocation à rassembler un certain nombre de bases de données de santé (v. CSP, art. L. 1461-1). Ses modalités de gouvernance et de fonctionnement ont été précisées par le décret n° 2021-848 du 29 juin 2021, qui désigne notamment comme responsables conjoints du traitement la Caisse nationale de l’assurance maladie (CNAM) ainsi que la Plateforme des données de santé (PDS), plus connue sous le nom de Health Data Hub (HDH).
Saisi d’un recours en excès de pouvoir à l’encontre de ce décret par une association, le Conseil d’État considère qu’il ne méconnaît pas les exigences du règlement général sur la protection des données (UE) 2016/679 du 27 avril 2017 (RGPD). Les moyens peuvent être regroupés en trois grandes catégories : les risques pour les données, l’accès aux bases par l’administration et les droits des personnes.
Des données de santé à risque
Transfert international des données (pts 5 à 9)
Afin de contester le choix temporaire de la solution Azure de Microsoft pour l’hébergement des données du SNDS, l’association requérante attaquait le dernier alinéa de l’article R. 1461-1 du code de la santé publique, tel qu’issu du décret du 29 juin 2021. Cet alinéa prohibe tout transfert international de données, sauf traitements visés à l’article L. 1641-1, III, du code de la santé publique et pour un motif d’intérêt public.
Les craintes de la requérante peuvent apparaître fondées au regard de la teneur des règles américaines. L’arrêt Schrems II révélait effectivement que le droit américain, en particulier l’article 702 du Foreign Intelligence Surveillance Act et l’Executive Order 12333, ne garantit pas un niveau de protection adéquat en raison de la possible ingérence des programmes de renseignement et de surveillance (CJUE 16 juill. 2020, aff. C-311/18, Dalloz actualité, 22 juill. 2020, obs. C. Crichton ; D. 2020. 2432 , note C. Castets-Renard ; ibid. 2022. 2002, obs. W. Maxwell et C. Zolynski ; AJ contrat 2020. 436 , obs. T. Douville ; Dalloz IP/IT 2020. 640, obs. B. Bertrand et J. Sirinelli ; Rev. crit. DIP 2020. 874, Éclairages A. d’Ornano ; ibid. 2022. 287, étude U. Kohl ; RTD eur. 2021. 175, obs. B. Bertrand ; ibid. 973, obs. F. Benoît-Rohmer ). Une demande de suspension de l’hébergement par Microsoft des données de santé en lien avec l’épidémie de covid-19 avait déjà fait l’objet d’un référé, dont la solution rendue en urgence n’avait pas donné entière satisfaction (CE, ord., 13 oct. 2020, n° 444937, Le Conseil national du logiciel libre (Assoc.), AJDA 2021. 741 , note L. Cluzel-Métayer ; AJ fam. 2020. 546, obs. A. Dionisi-Peyrusse ; Dalloz IP/IT 2020. 590, obs. N. Maximin ; ibid. 2021. 103, obs. O. de Maison Rouge ).
En l’espèce, le Conseil d’État ne pouvait accueillir la demande. D’une part, le décret attaqué ne prévoit pas la désignation de Microsoft en tant qu’hébergeur. D’autre part, le Conseil d’État rappelle que le RGPD demeure applicable. Il cite à ce titre l’article 49, § 1, d) du RGPD qui autorise un transfert international en l’absence d’une décision d’adéquation ou de...
Sur le même thème
-
Panorama rapide de l’actualité « Technologies de l’information » de la semaine du 7 octobre 2024
-
« ll s’agit non seulement de former des juristes qui soient à la hauteur de la machine, mais plus encore qui soient capables de la dominer » - Entretien avec le Doyen Guylain Clamour
-
Première décision en Europe sur l’exception de fouille de textes et de données : l’affaire LAION c/ Robert Kneschke
-
Après deux fuites de données en 2020, la licorne Ledger attaquée au civil par des clients mécontents
-
Prêt en bibliothèque de livres numérisés : pas de fair use selon les juridictions américaines
-
Décret hongrois contre la « propagande LGBT » relatif aux produits vendus en ligne destinés aux enfants : la Commission européenne juge le texte contraire au droit de l’Union
-
Panorama rapide de l’actualité « Technologies de l’information » de la semaine du 30 septembre 2024
-
La protection du design d’une gamme de canapés
-
Cybercriminalité: les pistes pour booster l’action judiciaire
-
Tour de France/Tour de X