- Administratif
- Toute la matière
- > Acte
- > Bien
- > Collectivité territoriale
- > Compétence
- > Contrat et marché
- > Droit économique
- > Droit fondamental et liberté publique
- > Environnement
- > Finance et fiscalité
- > Fonction publique
- > Institution administrative
- > Police
- > Pouvoir public
- > Procédure contentieuse
- > Responsabilité
- > Service public
- > Urbanisme
- Affaires
- Toute la matière
- > Assurance
- > Banque - Crédit
- > Commerce électronique
- > Compliance
- > Concurrence - Distribution
- > Consommation
- > Contrat - Responsabilité
- > Entreprise en difficulté
- > Fiscalité
- > Fonds de commerce et commerçants
- > Propriété intellectuelle
- > Société et marché financier
- > Sûretés et garantie
- > Transport
- Civil
- Toute la matière
- > Arbitrage - Médiation - Conciliation
- > Bien - Propriété
- > Contrat et obligations
- > Droit international et communautaire
- > Famille - Personne
- > Filiation
- > Loi et traité
- > Mariage - Divorce - Couple
- > Procédure civile
- > Profession juridique et judiciaire
- > Responsabilité
- > Société et association
- > Succession - Libéralité
- > Sûretés
- > Voie d'exécution
- Européen
- Immobilier
- IP/IT et Communication
- Pénal
- Toute la matière
- > Atteinte à l'autorité de l'état
- > Atteinte à la personne
- > Atteinte aux biens
- > Droit pénal des affaires
- > Droit pénal général
- > Droit pénal international
- > Droit social
- > Enquête
- > Environnement et urbanisme
- > Etranger
- > Instruction
- > Jugement
- > Mineur
- > Peine et exécution des peines
- > Presse et communication
- > Propriété intellectuelle
- > Santé publique
- Social
- Toute la matière
- > Accident, maladie et maternité
- > Contrat de travail
- > Contrôle et contentieux
- > Droit de la sécurité sociale
- > Droit international et communautaire
- > Etrangers
- > Grève
- > Hygiène - Sécurité - Conditions de travail
- > IRP et syndicat professionnel
- > Négociation collective
- > Protection sociale
- > Rémunération
- > Rupture du contrat de travail
- > Santé publique
- > Temps de travail
- Avocat
Article
Le Système national des données de santé est déclaré conforme au RGPD
Le Système national des données de santé est déclaré conforme au RGPD
Le Conseil d’État a rendu le 23 novembre 2022 sa décision au fond sur le décret controversé relatif au SNDS, dont les données sont traitées sous la responsabilité conjointe du Health Data Hub et de la Caisse nationale de l’assurance maladie, et temporairement hébergées par Microsoft.
par Cécile Crichtonle 13 décembre 2022
Créé par la loi n° 2019-774 du 24 juillet 2019 relative à l’organisation et à la transformation du système de santé, le Système national des données de santé (SNDS) a vocation à rassembler un certain nombre de bases de données de santé (v. CSP, art. L. 1461-1). Ses modalités de gouvernance et de fonctionnement ont été précisées par le décret n° 2021-848 du 29 juin 2021, qui désigne notamment comme responsables conjoints du traitement la Caisse nationale de l’assurance maladie (CNAM) ainsi que la Plateforme des données de santé (PDS), plus connue sous le nom de Health Data Hub (HDH).
Saisi d’un recours en excès de pouvoir à l’encontre de ce décret par une association, le Conseil d’État considère qu’il ne méconnaît pas les exigences du règlement général sur la protection des données (UE) 2016/679 du 27 avril 2017 (RGPD). Les moyens peuvent être regroupés en trois grandes catégories : les risques pour les données, l’accès aux bases par l’administration et les droits des personnes.
Des données de santé à risque
Transfert international des données (pts 5 à 9)
Afin de contester le choix temporaire de la solution Azure de Microsoft pour l’hébergement des données du SNDS, l’association requérante attaquait le dernier alinéa de l’article R. 1461-1 du code de la santé publique, tel qu’issu du décret du 29 juin 2021. Cet alinéa prohibe tout transfert international de données, sauf traitements visés à l’article L. 1641-1, III, du code de la santé publique et pour un motif d’intérêt public.
Les craintes de la requérante peuvent apparaître fondées au regard de la teneur des règles américaines. L’arrêt Schrems II révélait effectivement que le droit américain, en particulier l’article 702 du Foreign Intelligence Surveillance Act et l’Executive Order 12333, ne garantit pas un niveau de protection adéquat en raison de la possible ingérence des programmes de renseignement et de surveillance (CJUE 16 juill. 2020, aff. C-311/18, Dalloz actualité, 22 juill. 2020, obs. C. Crichton ; D. 2020. 2432 
, note C. Castets-Renard ; ibid. 2022. 2002, obs. W. Maxwell et C. Zolynski ; AJ contrat 2020. 436 , obs. T. Douville ; Dalloz IP/IT 2020. 640, obs. B. Bertrand et J. Sirinelli ; Rev. crit. DIP 2020. 874, Éclairages A. d’Ornano ; ibid. 2022. 287, étude U. Kohl ; RTD eur. 2021. 175, obs. B. Bertrand ; ibid. 973, obs. F. Benoît-Rohmer ). Une demande de suspension de l’hébergement par Microsoft des données de santé en lien avec l’épidémie de covid-19 avait déjà fait l’objet d’un référé, dont la solution rendue en urgence n’avait pas donné entière satisfaction (CE, ord., 13 oct. 2020, n° 444937, Le Conseil national du logiciel libre (Assoc.), AJDA 2021. 741 , note L. Cluzel-Métayer ; AJ fam. 2020. 546, obs. A. Dionisi-Peyrusse ; Dalloz IP/IT 2020. 590, obs. N. Maximin ; ibid. 2021. 103, obs. O. de Maison Rouge ).
En l’espèce, le Conseil d’État ne pouvait accueillir la demande. D’une part, le décret attaqué ne prévoit pas la désignation de Microsoft en tant qu’hébergeur. D’autre part, le Conseil d’État rappelle que le RGPD demeure applicable. Il cite à ce titre l’article 49, § 1, d) du RGPD qui autorise un transfert international en l’absence d’une décision d’adéquation ou de...
