Le juge des référés du Conseil d’Etat rejette la demande de suspension de l'exécution de la délibération de la Cnil qui autorise la constitution d'un entrepôt de données de santé dénommé "EMC2" hébergé par Microsoft, et donc potentiellement consultable par les autorités américaines de surveillance.
Plusieurs associations ont demandé au juge des référés du Conseil d'Etat de suspendre l'exécution de la délibération n° 2023-146 du 21 décembre 2023 de la Commission nationale de l'information et des libertés (Cnil) autorisant le groupement d'intérêt public "Plateforme des données de santé" à mettre en œuvre un traitement automatisé de données à caractère personnel ayant pour finalité la constitution d'un entrepôt de données dans le domaine de la santé dénommé "EMC2".
Les requérants ont soutenu que la mise en œuvre du traitement projeté, en ce qu'elle expose les données de santé concernant plusieurs millions de personnes à un risque non-négligeable de divulgation à des autorités administratives ou judiciaires des Etats-Unis, dans l'hypothèse où Microsoft ne serait pas en mesure de s'opposer aux demandes formulées par ces autorités dans le cadre, d'une part, de programmes de surveillance fondés sur l'article 702 du "Foreign Intelligence Surveillance Act" (FISA) ou de l'"Executive Order" (décret présidentiel) n° 12333, d'autre part, du "Stored Communications Act" tel que modifié par le "Clarifying Lawful Oversas Use of Data Act" (CLOUD Act), porterait une atteinte grave et immédiate aux intérêts des requérants personnes physiques et aux intérêts que défendent les associations requérantes.
Dans un arrêt du 22 mars 2024 (pourvoi n° 492369), le juge des référés du Conseil d’Etat rejette la demande.
D'une part, le Stored Communications Act, tel qu'amendé par le CLOUD Act, prévoit que les sociétés soumises au droit américain au sens de cette loi peuvent être tenues de fournir des données qu'elles contrôlent lorsque cette fourniture est autorisée par un juge pour les besoins d'une enquête pénale.
Si ces dispositions peuvent s'appliquer à la société Microsoft, comme d'ailleurs à certaines sociétés européennes exerçant une activité aux Etats-Unis, les requérants n'apportent pas d'éléments dont il ressortirait que les données de santé, pseudonymisées, que cette société héberge pour le compte de la (...)
