● Silicon.fr Télécom 📅 24/03/2026 à 10:18

Cybersécurité 👤 Clément Bohic

🏷️ Tags : cert réseau

Nouvel échec devant le Conseil d’État pour Les Licornes célestes. Cette association présidée par un des fondateurs de La Quadrature du Net a cherché à faire annuler une autorisation que la CNIL avait accordée au Health Data Hub en février 2025. Objet : l’extraction de données du SNDS (Système national des données de santé) et leur traitement dans le cadre de deux études. Respectivement sur les pathologies et sur l’utilisation des médicaments et des vaccins. En toile de fond, le projet DARWIN EU (Data Analysis and Real-World Interrogation Network), que l’Agence européenne des médicaments coordonne à l’appui d’un réseau d’institutions publiques et privées. Il y avait plus précisément eu deux demandes en annulation. Celle provenant de l’association Les Licornes célestes avait été soutenue par Clever Cloud, Nexedi, Rapid Space International, Cleyrop, le CNLL (Conseil national du logiciel libre) et l’association Open Internet Project. L’autre émanait des associations Interhop et Constances, du Syndicat de la médecine générale, de la Fédération Sud Santé et de la Ligue des droits de l’homme. La CNIL n’a pas autorisé de transferts de données de santé vers l’étranger Le Conseil d’État constate que la CNIL a seulement autorisé le traitement de données de santé hébergées dans des datacenters situés en France. Elle n’a pas donné son aval à un quelconque transfert vers les États-Unis. Notamment sur le fondement du Data Privacy Framework, dont Les Licornes célestes et al. ne peuvent donc invoquer l’illégalité. Dans le même esprit, en l’absence de transferts vers les USA, l’invocation de l’article R. 1461-1 du Code de la santé publique – dont le dernier alinéa prohibe les transferts de données de santé hors de l’UE – ne tient pas. Lire aussi : Le Health Data Hub vers un hébergement SecNumCloud Vu la valeur des données en question et leur hébergement sur des infrastructures Microsoft, difficile d’exclure des demandes d’accès de la part des autorités étatsuniennes, reconnaît le Conseil d’État. Qui estime toutefois que les traitements autorisés sont encadrés par des mesures de sécurité suffisantes. Dont : Pseudonymisation Limitation de la durée de conservation des données brutes extraites du SNDS Analyse des risques de réidentification lors de chaque export Analyse des traces d’utilisation par le Health Data Hub Le transfert de données techniques d’usage de la plate-forme vers les États-Unis n’est pas non plus à exclure. Mais il n’impliquent pas de données de santé, explique le Conseil d’État. Ils se basent par ailleurs sur des clauses contractuelles types qui « constituent des garanties appropriées ». Un autre demande en annulation rejetée en 2024 Clever Cloud, Nexedi, Rapid Space Internatoinal, Cleyrop, Open Internet Project, Les Licornes célestes et le CNLL avaient déjà saisi le Conseil d’État en 2024 au sujet d’une autre autorisation accordée au Health Data Hub. L’association Internet Society France avait fait de même en amont. Il s'agissait là aussi d'un contrat avec l'Agence européenne des médicaments. Mais pour des études en pharmaco-épidémiologie. Le Conseil d'État avait eu plus ou moins le même raisonnement. Il avait ainsi relevé que la CNIL n'avait pas autorisé de transferts de données de santé vers les USA. Et affirmé que les garanties techniques et juridiques étaient suffisantes : pseudonymisations multiples, certification HDS, autorisation limitée à 3 ans, etc. Illustration générée par IA

🔗 Lire l'article original 👁️ 1 lecture