L'hébergement des données de santé en France : entre certification SecNumCloud, souveraineté numérique et exigences du RGPD
La question de l'hébergement des données de santé constitue un enjeu majeur de souveraineté numérique et de protection des droits fondamentaux. Le recours croissant aux solutions d'informatique en nuage (cloud computing) par les acteurs du système de santé, qu'il s'agisse des hôpitaux, des plateformes de télémédecine ou des organismes de sécurité sociale, pose la question de la localisation et de la sécurité des données les plus sensibles des citoyens. En France, la création du Health Data Hub en 2019, plateforme nationale des données de santé, a cristallisé le débat : l'hébergement initial confié à Microsoft Azure, opérateur américain soumis au droit extraterritorial des États-Unis, a suscité une vive controverse juridique et politique. Le Conseil d'État, la CNIL et le Parlement européen ont été amenés à se prononcer sur les garanties exigées pour la protection de ces données particulièrement sensibles.
Le cadre juridique de l'hébergement des données de santé
Les données de santé bénéficient d'un régime de protection renforcé en droit français et européen. Le règlement général sur la protection des données (RGPD, règlement UE 2016/679) classe les données de santé parmi les "catégories particulières de données" dont le traitement est en principe interdit (article 9), sauf exceptions strictement encadrées (consentement explicite, intérêt public dans le domaine de la santé, recherche scientifique). Le droit français ajoute une couche supplémentaire de protection à travers le code de la santé publique. L'article L. 1111-8 du code de la santé publique impose que l'hébergement de données de santé à caractère personnel soit réalisé par un hébergeur certifié. Cette certification, dite "HDS" (hébergeur de données de santé), a remplacé l'ancien régime d'agrément ministériel depuis le décret n° 2018-137 du 26 février 2018. Elle est délivrée par des organismes certificateurs accrédités par le COFRAC et repose sur les normes ISO 27001 et ISO 20000.
La loi n° 2016-41 du 26 janvier 2016 de modernisation de notre système de santé a par ailleurs créé le Système national des données de santé (SNDS), dont la gouvernance a été confiée à la Caisse nationale de l'assurance maladie, sous le contrôle de la CNIL. La loi n° 2019-774 du 24 juillet 2019 relative à l'organisation et à la transformation du système de santé a élargi le périmètre du SNDS et institué la Plateforme des données de santé (Health Data Hub), groupement d'intérêt public chargé de faciliter l'accès aux données de santé à des fins de recherche.
Le risque lié aux transferts internationaux et au droit extraterritorial américain
Le choix de Microsoft Azure comme hébergeur du Health Data Hub a soulevé un problème juridique fondamental : la soumission des opérateurs américains au Cloud Act (Clarifying Lawful Overseas Use of Data Act, 2018) et au Foreign Intelligence Surveillance Act (FISA, section 702). Ces législations permettent aux autorités américaines d'exiger l'accès aux données détenues par des entreprises américaines, y compris lorsque ces données sont stockées sur des serveurs situés en Europe. L'arrêt de la Cour de justice de l'Union européenne "Schrems II" (CJUE, grande chambre, 16 juillet 2020, aff. C-311/18, Data Protection Commissioner c/ Facebook Ireland et Maximillian Schrems) a invalidé le Privacy Shield, le mécanisme encadrant les transferts de données entre l'UE et les États-Unis, au motif que le droit américain n'offrait pas un niveau de protection "essentiellement équivalent" à celui garanti par le RGPD et la Charte des droits fondamentaux de l'Union européenne (articles 7 et 8).
Saisi en référé, le Conseil d'État, dans une ordonnance du 13 octobre 2020 (CE, ord., 13 octobre 2020, n° 444937), a refusé d'ordonner la suspension du Health Data Hub hébergé par Microsoft, estimant que les risques de transfert de données vers les États-Unis étaient "extrêmement faibles" compte tenu des garanties contractuelles apportées, tout en relevant que ce risque ne pouvait être totalement écarté. Le juge des référés a pris acte de l'engagement du gouvernement de migrer vers une solution européenne. La CNIL, dans ses observations, avait recommandé de confier cet hébergement à un prestataire non soumis au droit américain.
La doctrine de souveraineté numérique et la certification SecNumCloud
Face à ces enjeux, la France a développé une doctrine de souveraineté numérique appliquée aux données sensibles. La circulaire du Premier ministre du 5 juillet 2021 relative à la doctrine d'utilisation de l'informatique en nuage par l'État (dite "Cloud au centre") impose le recours à des offres qualifiées SecNumCloud, référentiel de sécurité élaboré par l'Agence nationale de la sécurité des systèmes d'information (ANSSI), pour les données d'une "sensibilité particulière", incluant les données de santé. La qualification SecNumCloud, dans sa version 3.2, intègre des critères d'immunité aux législations extraterritoriales extra-européennes, ce qui exclut de facto les opérateurs dont le capital ou la gouvernance relève d'entités soumises au droit américain.
Cette exigence a été renforcée par la mise à jour de la doctrine Cloud au centre en 2023, qui précise que les données de santé collectées par les administrations publiques doivent être hébergées sur des infrastructures qualifiées SecNumCloud. Au niveau européen, le projet de schéma européen de certification des services cloud (EUCS), porté par l'ENISA dans le cadre du Cybersecurity Act (règlement UE 2019/881), a fait l'objet de débats similaires sur l'opportunité d'inclure des critères de souveraineté.
Données de santé, vie privée et droits fondamentaux
La protection des données de santé s'inscrit dans le cadre plus large du droit au respect de la vie privée. L'article 8 de la Convention européenne de sauvegarde des droits de l'homme protège la vie privée, y compris les données à caractère personnel. La Cour européenne des droits de l'homme a jugé que la collecte et la conservation de données médicales relèvent de la vie privée (CEDH, 25 février 1997, Z. c/ Finlande, n° 22009/93). Le Conseil constitutionnel a pour sa part rattaché la protection des données personnelles au droit au respect de la vie privée garanti par l'article 2 de la Déclaration des droits de l'homme et du citoyen de 1789 (CC, décision n° 2012-652 DC du 22 mars 2012). Plus récemment, le Conseil constitutionnel a consacré, dans sa décision n° 2020-800 DC du 11 mai 2020 relative à la loi prorogeant l'état d'urgence sanitaire, des réserves d'interprétation sur le traitement des données de santé dans le cadre du dispositif "StopCovid", rappelant les exigences de nécessité et de proportionnalité.
Enjeux pour les concours
Le candidat doit maîtriser l'articulation entre le RGPD (articles 9, 44 à 49 sur les transferts internationaux), le code de la santé publique (article L. 1111-8 sur la certification HDS) et la doctrine nationale de souveraineté numérique (circulaire "Cloud au centre" de 2021, qualification SecNumCloud de l'ANSSI). L'arrêt "Schrems II" de la CJUE (2020) constitue une référence incontournable sur l'incompatibilité entre le droit américain de surveillance et les standards européens de protection des données. L'ordonnance du Conseil d'État du 13 octobre 2020 sur le Health Data Hub illustre la mise en balance concrète entre urgence opérationnelle et exigences de protection des données sensibles. Le sujet mobilise plusieurs problématiques transversales essentielles en droit public : la souveraineté numérique comme composante de la souveraineté nationale, la tension entre innovation technologique et protection des libertés fondamentales, et la capacité de l'Europe à construire une autonomie stratégique dans le domaine du numérique. Le candidat gagnera à situer ces enjeux dans le contexte géopolitique actuel, où la dépendance aux infrastructures numériques étrangères constitue une vulnérabilité identifiée par la Revue nationale stratégique.