- Administratif
- Affaires
- Civil
- Toute la matière
- > Arbitrage - Médiation - Conciliation
- > Bien - Propriété
- > Contrat et obligations
- > Droit et liberté fondamentaux
- > Droit international et communautaire
- > Famille - Personne
- > Filiation
- > Mariage - Divorce - Couple
- > Procédure civile
- > Responsabilité
- > Succession - Libéralité
- > Sûretés
- > Voie d'exécution
- Européen
- Immobilier
- IP/IT et Communication
- Pénal
- Toute la matière
- > Atteinte à l'autorité de l'état
- > Atteinte à la personne
- > Atteinte aux biens
- > Circulation et transport
- > Criminalité organisée et terrorisme
- > Droit pénal des affaires
- > Droit pénal général
- > Droit pénal international
- > Droit social
- > Enquête
- > Environnement et urbanisme
- > Etranger
- > Informatique
- > Instruction
- > Jugement
- > Mineur
- > Peine et exécution des peines
- > Presse et communication
- > Santé publique
- Social
- Toute la matière
- > Accident, maladie et maternité
- > Contrat de travail
- > Contrôle et contentieux
- > Droit de la sécurité sociale
- > Hygiène - Sécurité - Conditions de travail
- > IRP et syndicat professionnel
- > Négociation collective
- > Protection sociale
- > Rémunération
- > Rupture du contrat de travail
- > Santé publique
- > Statuts particuliers
- > Temps de travail
- > Travailleurs handicapés
- Avocat
Article

Le Système national des données de santé est déclaré conforme au RGPD
Le Système national des données de santé est déclaré conforme au RGPD
Le Conseil d’État a rendu le 23 novembre 2022 sa décision au fond sur le décret controversé relatif au SNDS, dont les données sont traitées sous la responsabilité conjointe du Health Data Hub et de la Caisse nationale de l’assurance maladie, et temporairement hébergées par Microsoft.
par Cécile Crichtonle 13 décembre 2022

Créé par la loi n° 2019-774 du 24 juillet 2019 relative à l’organisation et à la transformation du système de santé, le Système national des données de santé (SNDS) a vocation à rassembler un certain nombre de bases de données de santé (v. CSP, art. L. 1461-1). Ses modalités de gouvernance et de fonctionnement ont été précisées par le décret n° 2021-848 du 29 juin 2021, qui désigne notamment comme responsables conjoints du traitement la Caisse nationale de l’assurance maladie (CNAM) ainsi que la Plateforme des données de santé (PDS), plus connue sous le nom de Health Data Hub (HDH).
Saisi d’un recours en excès de pouvoir à l’encontre de ce décret par une association, le Conseil d’État considère qu’il ne méconnaît pas les exigences du règlement général sur la protection des données (UE) 2016/679 du 27 avril 2017 (RGPD). Les moyens peuvent être regroupés en trois grandes catégories : les risques pour les données, l’accès aux bases par l’administration et les droits des personnes.
Des données de santé à risque
Transfert international des données (pts 5 à 9)
Afin de contester le choix temporaire de la solution Azure de Microsoft pour l’hébergement des données du SNDS, l’association requérante attaquait le dernier alinéa de l’article R. 1461-1 du code de la santé publique, tel qu’issu du décret du 29 juin 2021. Cet alinéa prohibe tout transfert international de données, sauf traitements visés à l’article L. 1641-1, III, du code de la santé publique et pour un motif d’intérêt public.
Les craintes de la requérante peuvent apparaître fondées au regard de la teneur des règles américaines. L’arrêt Schrems II révélait effectivement que le droit américain, en particulier l’article 702 du Foreign Intelligence Surveillance Act et l’Executive Order 12333, ne garantit pas un niveau de protection adéquat en raison de la possible ingérence des programmes de renseignement et de surveillance (CJUE 16 juill. 2020, aff. C-311/18, Dalloz actualité, 22 juill. 2020, obs. C. Crichton ; D. 2020. 2432 , note C. Castets-Renard
; ibid. 2022. 2002, obs. W. Maxwell et C. Zolynski
; AJ contrat 2020. 436
, obs. T. Douville
; Dalloz IP/IT 2020. 640, obs. B. Bertrand et J. Sirinelli
; Rev. crit. DIP 2020. 874, Éclairages A. d’Ornano
; ibid. 2022. 287, étude U. Kohl
; RTD eur. 2021. 175, obs. B. Bertrand
; ibid. 973, obs. F. Benoît-Rohmer
). Une demande de suspension de l’hébergement par Microsoft des données de santé en lien avec l’épidémie de covid-19 avait déjà fait l’objet d’un référé, dont la solution rendue en urgence n’avait pas donné entière satisfaction (CE, ord., 13 oct. 2020, n° 444937, Le Conseil national du logiciel libre (Assoc.), AJDA 2021. 741
, note L. Cluzel-Métayer
; AJ fam. 2020. 546, obs. A. Dionisi-Peyrusse
; Dalloz IP/IT 2020. 590, obs. N. Maximin
; ibid. 2021. 103, obs. O. de Maison Rouge
).
En l’espèce, le Conseil d’État ne pouvait accueillir la demande. D’une part, le décret attaqué ne prévoit pas la désignation de Microsoft en tant qu’hébergeur. D’autre part, le Conseil d’État rappelle que le RGPD demeure applicable. Il cite à ce titre l’article 49, § 1, d) du RGPD qui autorise un transfert international en l’absence d’une décision d’adéquation ou de...
Sur le même thème
-
Pour rester indépendants avec l’IA, l’indispensable « maîtrise des outils » (table ronde)
-
Le juge pénal : meilleur allié des titulaires de droit de propriété intellectuelle ?
-
Quel usage de l’IA générative par les clients des avocats ?
-
Panorama rapide de l’actualité « Propriété intellectuelle » des semaines 1er juin au 30 juin 2025
-
Après plusieurs années à retenir son souffle, Decathlon obtient confirmation de la validité de son modèle de masque de plongée
-
Intelligence artificielle : le ministère table sur un premier assistant IA pour 2025
-
Panorama rapide de l’actualité « Technologies de l’information » de la semaine du 16 juin 2025
-
L’intelligence artificielle à la Cour de cassation : les cas d’usage
-
[PODCAST] « Quid Juris » – Pornhub, Youporn : protection des mineurs contre protection de la vie privée
-
Panorama rapide de l’actualité « Technologies de l’information » de la semaine du 9 juin 2025