Validation des services Cloud Microsoft par le Conseil d’Etat
Le débat sur la souveraineté des données semble parfois faire oublier les garanties que peuvent représenter les services tiers, meilleures que les offres nationales disponibles. Le Conseil d’Etat valide, au prix d’une interprétation pragmatique et technique, l’hébergement des données de santé sur les services Azure de Microsoft hébergés en France.
6. Pour justifier l’urgence à suspendre l’exécution de la délibération contestée, les requérants font valoir que l’autorisation donnée par la CNIL, en ce qu’elle admet la légalité de l’hébergement de données sensibles par un sous-traitant, Microsoft Ireland, dont la société mère est soumise au droit des Etats-Unis, préjudicie de manière grave et immédiate aux intérêts qu’ils entendent défendre, en raison principalement du risque qui en résulte d’accès à ces données, qui concernent dix millions de personnes, par des autorités des Etats-Unis, dans un contexte d’instabilité juridique qui s’est accentué dans ce pays depuis 2024.
7. Toutefois, s’il ne peut être totalement exclu que les données du traitement autorisé, alors même qu’il est prévu qu’elles soient conservées dans des centres situés en France, fassent l’objet de demandes d’accès par les autorités des Etats-Unis, par l’intermédiaire de la société mère de l’hébergeur, et que celui-ci ne puisse s’y opposer, ce risque demeure hypothétique en l’état de l’instruction. En deuxième lieu, outre que la société Microsoft Ireland dispose de la certification » hébergeur de données de santé » (HDS) prévue par l’article L. 1111-8 du code de la santé publique, qui implique le respect d’un référentiel de sécurité et un audit régulier par un organisme accrédité, des garanties et mesures de sécurité entourent la mise en oeuvre du projet, notamment en ce que les données seront pseudonymisées à plusieurs reprises et non directement identifiantes, de sorte que la CNIL a estimé que ce risque était réduit à un niveau qui ne justifiait pas qu’elle refuse l’autorisation demandée, dont elle a au demeurant limité la durée à trois ans. En dernier lieu, l’intérêt public qu’il y a à ne pas retarder la réalisation des études portant sur l’estimation d’incidence et de prévalence des pathologies en population générale prévues dans le cadre du projet DARWIN EU doit également, dès lors qu’il ne résulte pas de l’instruction que des solutions pouvant offrir à la PDS les mêmes fonctionnalités et une meilleure sécurité globale que celle commercialisée par Microsoft soient d’ores et déjà disponibles, être pris en compte. Dans ces conditions, l’exécution de la délibération attaquée ne peut être regardée comme portant une atteinte suffisamment grave et immédiate aux intérêts défendus par les requérants, ainsi qu’au droit au respect de la vie privée des personnes concernées, de nature à caractériser une urgence justifiant que, sans attendre le jugement de la requête au fond, l’exécution de la délibération contestée soit suspendue
