Accueil
Le quotidien du droit en ligne
-A+A
Article

Le Système national des données de santé est déclaré conforme au RGPD

Le Conseil d’État a rendu le 23 novembre 2022 sa décision au fond sur le décret controversé relatif au SNDS, dont les données sont traitées sous la responsabilité conjointe du Health Data Hub et de la Caisse nationale de l’assurance maladie, et temporairement hébergées par Microsoft.

par Cécile Crichtonle 13 décembre 2022

Créé par la loi n° 2019-774 du 24 juillet 2019 relative à l’organisation et à la transformation du système de santé, le Système national des données de santé (SNDS) a vocation à rassembler un certain nombre de bases de données de santé (v. CSP, art. L. 1461-1). Ses modalités de gouvernance et de fonctionnement ont été précisées par le décret n° 2021-848 du 29 juin 2021, qui désigne notamment comme responsables conjoints du traitement la Caisse nationale de l’assurance maladie (CNAM) ainsi que la Plateforme des données de santé (PDS), plus connue sous le nom de Health Data Hub (HDH).

Saisi d’un recours en excès de pouvoir à l’encontre de ce décret par une association, le Conseil d’État considère qu’il ne méconnaît pas les exigences du règlement général sur la protection des données (UE) 2016/679 du 27 avril 2017 (RGPD). Les moyens peuvent être regroupés en trois grandes catégories : les risques pour les données, l’accès aux bases par l’administration et les droits des personnes.

Des données de santé à risque

Transfert international des données (pts 5 à 9)

Afin de contester le choix temporaire de la solution Azure de Microsoft pour l’hébergement des données du SNDS, l’association requérante attaquait le dernier alinéa de l’article R. 1461-1 du code de la santé publique, tel qu’issu du décret du 29 juin 2021. Cet alinéa prohibe tout transfert international de données, sauf traitements visés à l’article L. 1641-1, III, du code de la santé publique et pour un motif d’intérêt public.

Les craintes de la requérante peuvent apparaître fondées au regard de la teneur des règles américaines. L’arrêt Schrems II révélait effectivement que le droit américain, en particulier l’article 702 du Foreign Intelligence Surveillance Act et l’Executive Order 12333, ne garantit pas un niveau de protection adéquat en raison de la possible ingérence des programmes de renseignement et de surveillance (CJUE 16 juill. 2020, aff. C-311/18, Dalloz actualité, 22 juill. 2020, obs. C. Crichton ; D. 2020. 2432 , note C. Castets-Renard ; ibid. 2022. 2002, obs. W. Maxwell et C. Zolynski ; AJ contrat 2020. 436 , obs. T. Douville ; Dalloz IP/IT 2020. 640, obs. B. Bertrand et J. Sirinelli ; Rev. crit. DIP 2020. 874, Éclairages A. d’Ornano ; ibid. 2022. 287, étude U. Kohl ; RTD eur. 2021. 175, obs. B. Bertrand ; ibid. 973, obs. F. Benoît-Rohmer ). Une demande de suspension de l’hébergement par Microsoft des données de santé en lien avec l’épidémie de covid-19 avait déjà fait l’objet d’un référé, dont la solution rendue en urgence n’avait pas donné entière satisfaction (CE, ord., 13 oct. 2020, n° 444937, Le Conseil national du logiciel libre (Assoc.), AJDA 2021. 741 , note L. Cluzel-Métayer ; AJ fam. 2020. 546, obs. A. Dionisi-Peyrusse ; Dalloz IP/IT 2020. 590, obs. N. Maximin ; ibid. 2021. 103, obs. O. de Maison Rouge ).

En l’espèce, le Conseil d’État ne pouvait accueillir la demande. D’une part, le décret attaqué ne prévoit pas la désignation de Microsoft en tant qu’hébergeur. D’autre part, le Conseil d’État rappelle que le RGPD demeure applicable. Il cite à ce titre l’article 49, § 1, d) du RGPD qui autorise un transfert international en l’absence d’une décision d’adéquation ou de...

Il vous reste 75% à lire.

Vous êtes abonné(e) ou disposez de codes d'accès :