Vu les procédures suivantes :
1° Sous le n° 491644, par une requête et un nouveau mémoire, enregistrés les 9 février et 26 septembre 2024 au secrétariat du contentieux du Conseil d'Etat, l'association Internet Society France demande au Conseil d'Etat :
1°) d'annuler pour excès de pouvoir la délibération de la Commission nationale de l'informatique et des libertés n° 2023-146 du 21 décembre 2023 autorisant le groupement d'intérêt public " Plateforme des données de santé " à mettre en œuvre un traitement automatisé de données à caractère personnel ayant pour finalité la constitution d'un entrepôt de données dans le domaine de la santé, dénommé " EMC2 " ;
2°) de mettre à la charge de l'État la somme de 3 000 euros au titre de l'article L. 761-1 du code de justice administrative.
2° Sous le n° 492368, par une requête sommaire, un mémoire complémentaire, un mémoire en réplique et un nouveau mémoire, enregistrés les 5 mars, 25 avril, 29 juin et 11 septembre 2024 au secrétariat du contentieux du Conseil d'Etat, la société Clever Cloud, la société Nexedi, la société Rapid Space International, l'association Open Internet Projet, l'Association de défense des libertés constitutionnelles, l'association Les Licornes célestes, M. F... B..., M. C... E..., M. D... A..., la société Cleyrop et le Conseil national du logiciel libre demandent au Conseil d'Etat :
1°) d'annuler pour excès de pouvoir la délibération de la Commission nationale de l'informatique et des libertés n° 2023-146 du 21 décembre 2023 autorisant le groupement d'intérêt public " Plateforme des données de santé " à mettre en œuvre un traitement automatisé de données à caractère personnel ayant pour finalité la constitution d'un entrepôt de données dans le domaine de la santé, dénommé " EMC2 " ;
2°) à titre subsidiaire, de saisir la Cour de justice de l'Union européenne d'une question relative à l'appréciation de la validité de la décision d'exécution (UE) 2023/1795 de la Commission européenne du 10 juillet 2023 constatant le niveau de protection adéquat des données à caractère personnel assuré par le cadre de protection des données UE - Etats-Unis, ainsi que de plusieurs autres questions préjudicielles, en lui demandant, eu égard à l'urgence, de soumettre le renvoi préjudiciel à la procédure accélérée ;
3°) de mettre à la charge de la CNIL la somme de 2 000 euros au bénéfice de chacun des requérants au titre de l'article L. 761-1 du code de justice administrative.
....................................................................................
Vu les autres pièces du dossier ;
Vu :
- la Constitution, notamment son Préambule ;
- la convention européenne de sauvegarde des droits de l'Homme et des libertés fondamentales ;
- la Charte des droits fondamentaux de l'Union européenne ;
- le traité sur le fonctionnement de l'Union européenne ;
- le règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 ;
- la décision d'exécution (UE) 2023/1795 de la Commission du 10 juillet 2023 ;
- le code de la santé publique ;
- la loi n° 78-17 du 6 janvier 1978 ;
- le code de justice administrative ;
Après avoir entendu en séance publique :
- le rapport de Mme Alexandra Poirson, auditrice,
- les conclusions de Mme Esther de Moustier, rapporteure publique ;
La parole ayant été donnée, après les conclusions, à Me Guermonprez-Tanner, avocat de la société Clever Cloud et de la société Cleyrop ;
Vu les notes en délibéré, enregistrées le 17 octobre 2024, présentées par la société Clever Cloud et autres et le Conseil national du logiciel libre et autres ;
Considérant ce qui suit :
1. Les requêtes de l'association Internet Society France et de la société Clever Cloud et autres sont dirigées contre la même délibération. Il y a lieu de les joindre pour statuer par une seule décision.
2. Il ressort des pièces du dossier que le groupement d'intérêt public Plateforme des données de santé (GIP PDS) a conclu avec l'Agence européenne du médicament un contrat de prestation de services portant sur la constitution d'un entrepôt de données de santé visant à permettre des recherches, études et évaluations en pharmaco-épidémiologie. Cet entrepôt nécessite un appariement entre une fraction des données de la base principale du système national des données de santé (SNDS) et les dossiers médicaux fournis par quatre établissements partenaires en France. La Commission nationale de l'informatique et des libertés (CNIL) a, par une délibération du 21 décembre 2023, autorisé le GIP PDS à mettre en œuvre un traitement automatisé de données à caractère personnel ayant pour finalité la constitution d'un entrepôt de données dans le domaine de la santé, dénommé " EMC2 " dont l'hébergeur est la société Microsoft Ireland Operations Ltd, société de droit irlandais, filiale de la société Microsoft établie aux Etats-Unis. Les requérants demandent l'annulation pour excès de pouvoir de cette délibération.
Sur la légalité externe :
3. D'une part, aucun texte n'impose qu'une délibération de la CNIL indique la date de convocation de la séance ou que les règles relatives au quorum ont été respectées. La seule absence de ces mentions est donc sans incidence sur la régularité de la délibération attaquée.
4. D'autre part, aux termes de l'article 76 de la loi du 6 janvier 1978 : " L'autorisation du traitement est accordée par la Commission nationale de l'informatique et des libertés dans les conditions définies à l'article 66, après avis : / (...) 2. Du comité éthique et scientifique pour les recherches, les études et les évaluations dans le domaine de la santé, pour les demandes d'autorisation relatives à des études ou à des évaluations ainsi qu'à des recherches n'impliquant pas la personne humaine, au sens du 1° du présent article ". En s'abstenant de saisir ce comité pour un traitement relatif à la constitution d'un entrepôt de données de santé, qui ne constitue pas, par lui-même, un projet de recherche, d'étude ou d'évaluation, la CNIL n'a pas, contrairement à ce qui est soutenu, entaché sa délibération d'irrégularité.
Sur la légalité interne :
5. En premier lieu, il ressort de la délibération attaquée qu'elle a pour seul objet d'autoriser la création d'un entrepôt de données de santé, hébergées dans des centres de données situés en France. Elle n'a pas pour objet et ne saurait avoir pour effet d'autoriser un transfert de données à caractère personnel vers un État tiers, les seules données susceptibles de faire l'objet d'un transfert vers des administrateurs situés aux Etats-Unis étant des données techniques d'usage de la plateforme.
6. Il en résulte, d'une part, que les requérants ne peuvent utilement exciper de l'illégalité de la décision d'exécution de la Commission du 10 juillet 2023 constatant, conformément au RGPD, et notamment au 3. de son article 45, le niveau de protection adéquat des données à caractère personnel assuré par le cadre de protection des données UE - États-Unis (" la décision d'adéquation "), l'absence de décision d'adéquation ne faisant, au demeurant, pas par elle-même obstacle, ainsi qu'il ressort des articles 46 et 49 du RGPD, à tout transfert de données à caractère personnel vers des Etats tiers à l'Union européenne.
7. Il en résulte, d'autre part, que ces mêmes requérants ne peuvent davantage utilement soutenir que la délibération attaquée méconnaitrait les articles 44 à 48 du RGPD, qui régissent les transferts de données à caractère personnel vers des pays tiers, ainsi que le dernier alinéa de l'article R. 1461-1 du code de la santé publique selon lequel " Les données du système national des données de santé sont hébergées au sein de l'Union européenne. Aucun transfert de données à caractère personnel ne peut être réalisé en dehors de l'Union européenne, sauf dans le cas d'accès ponctuels aux données par des personnes situées en dehors de l'Union européenne, pour une finalité relevant du 1° du I de l'article L. 1461-3 ".
8. En deuxième lieu, l'article 28 du RGPD prévoit que : " 1. Lorsqu'un traitement doit être effectué pour le compte d'un responsable du traitement, celui-ci fait uniquement appel à des sous-traitants qui présentent des garanties suffisantes quant à la mise en œuvre de mesures techniques et organisationnelles appropriées de manière à ce que le traitement réponde aux exigences du présent règlement et garantisse la protection des droits de la personne concernée ". S'il ne peut être totalement exclu que les données du traitement autorisé, d'une sensibilité particulière eu égard à leur nature de données de santé mais aussi au potentiel scientifique et économique de leur exploitation, fassent l'objet de demandes d'accès par les autorités des Etats-Unis, sur le fondement des lois de ce pays, par l'intermédiaire de la société-mère de l'hébergeur, il ressort toutefois des pièces du dossier que les données décrites au point 2 comprises dans le traitement " EMC2 " font l'objet de pseudonymisations multiples, par la Caisse nationale d'assurance maladie ainsi que par le GIP PDS, avant toute mise à disposition au sein de l'entrepôt " EMC2 ". Par ailleurs, si la société Microsoft Ireland ne peut bénéficier de la certification " SecNumCloud " délivrée par l'Agence nationale de la sécurité des systèmes d'information (ANSSI) dès lors qu'elle est la filiale d'une société soumise au droit des Etats-Unis, elle dispose toutefois de la certification " hébergeur de données de santé " prévue par l'article L. 1111-8 du code de la santé publique, qui implique un audit régulier par un organisme accrédité. Eu égard à l'ensemble de ces circonstances et au vu des garanties dont est entourée la mise en œuvre du projet, lequel n'est en outre autorisé que pour une durée de trois ans, le moyen tiré de ce que la délibération attaquée méconnaîtrait l'article 28 du RGPD doit être écarté.
9. En troisième lieu, eu égard à ce qui a été dit au point précédent et aux finalités d'intérêt public poursuivies par le traitement, les moyens tirés de ce que la délibération attaquée porterait une atteinte disproportionnée au droit à la vie privée, tel que garanti par l'article 8 de la convention européenne de sauvegarde des droits de l'Homme et des libertés fondamentales, et méconnaitrait l'article 2 de la Déclaration des droits de l'Homme et du citoyen, doivent être écartés.
10. En quatrième lieu, les moyens tirés de la méconnaissance des prescriptions de la doctrine d'utilisation de l'informatique en nuage par l'État, mentionnées dans une circulaire du Premier ministre du 31 mai 2023, ne sauraient être utilement invoqués à l'appui d'un recours contre une délibération de la CNIL.
11. En dernier lieu, si la délibération attaquée fait état, d'une part, de ce que la création de l'entrepôt de données de santé résulte de la réponse du GIP PDS à un appel d'offres lancé par l'Agence européenne du médicament et, d'autre part, des conclusions d'une mission d'expertise relevant l'absence de prestataire soumis uniquement aux lois de l'Union européenne susceptible de répondre aux exigences techniques de mise en œuvre du traitement EMC2, ces observations, qui ont pour seul objet d'éclairer le contexte de la mise en place de cet entrepôt des données de santé, sont sans incidence sur la légalité de l'autorisation accordée.
12. Il résulte de tout ce qui précède que, sans qu'il soit besoin de saisir à titre préjudiciel la Cour de justice de l'Union européenne compte tenu de ce qui a été dit au point 6, les requérants ne sont pas fondés à demander l'annulation pour excès de pouvoir de la délibération qu'ils attaquent. Dès lors, l'ensemble de leurs conclusions doivent être rejetées, y compris celles présentées au titre de l'article L. 761-1 du code de justice administrative.
D E C I D E :
--------------
Article 1er : Les requêtes de l'association Internet Society France et de la société Clever Cloud et autres sont rejetées.
Article 2 : La présente décision sera notifiée à l'association Internet Society France, à la société Clever Cloud, première requérante dénommée sous le n° 492368 et à la Commission nationale de l'informatique et des libertés.
Copie en sera adressée au ministre de la santé et de l'accès aux soins et au groupement d'intérêt public Plateforme des données de santé
.