Le projet de création de la plateforme nationale d’exploitation des données de santé à des fins de recherche, dénommé « Health Data Hub » ou « plateforme des données de santé », a été officiellement acté dans le cadre de la loi n° 2019-774 du 24 juillet 2019 relative à l’organisation et à la transformation du système de santé modifiant l’article L.1462-1 du code de la santé publique. L’entreprise américaine Microsoft a été sélectionnée pour assurer l’hébergement des données de santé du Health Data Hub.
Dès le 31 janvier 2019, saisie pour avis portant sur l’élargissement du système national des données de santé opéré par la création du Health Data Hub, la Cnil énonçait déjà de sérieuses mises en garde concernant le projet, en raison notamment de sa dimension, contenant l’ensemble des données de santé médicales françaises, questionnant son respect du principe de minimisation et de limitation des finalités de traitement, mais également en raison de leur caractère extrêmement sensible, posant des réserves en particulier en matière d’information des patients et de sécurité des systèmes d’information concernés.
Le 16 juillet 2020, une importante décision jurisprudentielle de la Cour de justice européenne a fait infléchir le droit applicable en matière de transfert de données à caractère personnel vers les Etats-Unis (CJUE 16 juill. 2020, DPC c. Facebook Ireland Ltd et M. Schrems, aff. C-311/18).
Dans le cadre de l’examen de la validité de la décision de la commission 2016/1250 sur le Privacy shield, la Cour a relevé notamment que les atteintes à la protection des données à caractère personnel – qui découlaient de la réglementation interne des Etats-Unis portant sur l’accès et l’utilisation, par les autorités publiques américaines, de telles données transférées depuis l’Union vers ce pays tiers, et que la commission a évaluées dans la décision 2016/1250 – n’étaient pas encadrées de manière à répondre à des exigences substantiellement équivalentes à celles requises, en droit de l’Union, par le principe de proportionnalité, en ce que les programmes de surveillance fondés sur cette réglementation n’étaient pas limités au strict nécessaire. La Cour a ajouté que, si la même réglementation prévoyait des exigences que les autorités américaines devaient respecter lors de la mise en œuvre des programmes de surveillance concernés, elle ne conférait pas aux personnes concernées des droits opposables aux autorités américaines devant les tribunaux. Par conséquent, la Cour a invalidé la décision 2016/1250, le Privacy shield.
Depuis, les engagements des membres du gouvernement à quitter la plateforme technique Microsoft dans le cadre de l’hébergement des données de santé ont été rapportés publiquement, sans équivoque et à de nombreuses reprises. Pourtant, depuis 2020, aucun changement de solution technique n’a été opéré.
Le 10 juillet 2023, la Commission européenne a validé une nouvelle décision d’adéquation dite « Data Privacy Framework » selon laquelle la législation américaine garantissait un niveau de protection des données à caractère personnel substantiellement équivalent à celui du droit de l’Union concernant les données transférées de l’Union européenne vers les organisations certifiées dans le cadre de ce nouveau bouclier de protection (décision d’adéquation 2023/1795 du 10 juillet 2023).
Dans ce contexte, saisie le 24 octobre 2024 par l’Agence européenne des médicaments d’une demande d’autorisation concernant des traitements automatisés de données à caractère personnel ayant pour finalité des études portant sur l’estimation d’incidence et de prévalence des pathologies dans la population générale en France dans le cadre du projet Darwin EU, la Cnil a considéré qu’elle pouvait autoriser le traitement (délibération n° 2025-014 du 13 février 2025). Il s’agit d’une autorisation qui, par son envergure, est inédite sur la quantité de données traitées et le nombre de personnes concernées.
Au regard des risques d’atteintes considérables à la protection de la vie privée, au droit à la protection des données personnelles, la LDH, Interhop, Constances, le Syndicat de la médecine générale et la fédération Sud santé sociaux contestent cette décision auprès du Conseil d’Etat et sollicitent le renvoi d’une question préjudicielle auprès de la Cour de justice de l’Union européenne en considération d’un moyen tiré de l’exception d’invalidité d’un acte de la Commission européenne.
