La CNIL a très récemment publié la délibération n°2023-146 du 21 décembre 2023, qui autorise le groupement d’intérêt public « Plateforme des données de santé » (ci-après « PDS ») à mettre en œuvre un traitement automatisé de données à caractère personnel ayant pour finalité la constitution d’un entrepôt de données dans le domaine de la santé, dénommé « EMC2 », répondant ainsi à un appel d’offres de l’Agence européenne du médicament.
Dans le cadre de cette décision, la CNIL procède à l’analyse de la conformité du projet aux différentes exigences du RGPD. Par exemple, elle rappelle que le traitement est licite au sens de l’article 6 du RGPD, ou encore qu’il respecte les différentes exigences de l’article 5 du RGPD, que ce soit sur la pertinence des finalités déterminées, sur les bases légales, ou encore les durées de conservation des données collectées lors de ce dernier.
Poursuivant son analyse, la CNIL en arrive à la question centrale de l’hébergement des données de santé. La PDS choisit encore une fois et malgré les nombreux avertissements intervenus depuis 2020, de recourir à la société Microsoft Ireland Operations Ltd.
La CNIL se trouve donc face à une décision difficile et l’autorisation que finalement elle décide de délivrer exprime aussi un regret, celui « … que la stratégie mise en place pour favoriser l’accès des chercheurs aux données de santé n’ait pas fourni l’occasion de stimuler une offre européenne à même de répondre à ce besoin. »
Elle délivre son autorisation car même s’il existe des risques de transfert de données liés à l’administration de la plateforme vers les Etats-Unis, et que le droit de ce pays tiers pourrait venir à s’appliquer à l’hébergeur en raison de l’application de lois extraterritoriales, il existe un cadre juridique autorisant les transferts des données personnelles depuis l’UE vers les Etats-Unis : le Data Privacy Framework, adopté le 10 juillet 2023 par la Commission européenne censé justifier d’un niveau adéquat de protection des données personnelles à celui mis en œuvre au sein de l’UE.
Elle justifie également sa position par les conclusions d’une mission d’expertise menée par la DNS à qui il revenait de déterminer si le projet pouvait être réalisé en choisissant un hébergeur souverain, c’est-à-dire qui serait soumis exclusivement au droit européen. Le rapport de cette mission conclut qu’aucun prestataire répondant aux conditions posées par la CNIL et répondant aux exigences relatives au projet ne peut proposer une offre d’hébergement « dans un délai compatible avec les impératifs de ce dernier ».
L’autorisation est délivrée pour trois ans, période que devra respecter la PDS pour faire migrer sa plateforme vers un hébergeur respectueux des règles européennes en matière de protection de données personnelles, conformément aux orientations définies par les pouvoirs publics.