Le juge des référés du Conseil d’Etat rejette la demande de suspension de l'exécution de la délibération de la Cnil qui autorise la constitution d'un entrepôt de données de santé dénommé "EMC2" hébergé par Microsoft, et donc potentiellement consultable par les autorités américaines de surveillance.
Plusieurs associations ont demandé au juge des référés du Conseil d'Etat de suspendre l'exécution de la délibération n° 2023-146 du 21 décembre 2023 de la Commission nationale de l'information et des libertés (Cnil) autorisant le groupement d'intérêt public "Plateforme des données de santé" à mettre en œuvre un traitement automatisé de données à caractère personnel ayant pour finalité la constitution d'un entrepôt de données dans le domaine de la santé dénommé "EMC2".
Les requérants ont soutenu que la mise en œuvre du traitement projeté, en ce qu'elle expose les données de santé concernant plusieurs millions de personnes à un risque non-négligeable de divulgation à des autorités administratives ou judiciaires des Etats-Unis, dans l'hypothèse où Microsoft ne serait pas en mesure de s'opposer aux demandes formulées par ces autorités dans le cadre, d'une part, de programmes de surveillance fondés sur l'article 702 du "Foreign Intelligence Surveillance Act" (FISA) ou de l'"Executive Order" (décret présidentiel) n° 12333, d'autre part, du "Stored Communications Act" tel que modifié par le "Clarifying Lawful Oversas Use of Data Act" (CLOUD Act), porterait une atteinte grave et immédiate aux intérêts des requérants personnes physiques et aux intérêts que défendent les associations requérantes.
Dans un arrêt du 22 mars 2024 (pourvoi n° 492369), le juge des référés du Conseil d’Etat rejette la demande.
D'une part, le Stored Communications Act, tel qu'amendé par le CLOUD Act, prévoit que les sociétés soumises au droit américain au sens de cette loi peuvent être tenues de fournir des données qu'elles contrôlent lorsque cette fourniture est autorisée par un juge pour les besoins d'une enquête pénale.
Si ces dispositions peuvent s'appliquer à la société Microsoft, comme d'ailleurs à certaines sociétés européennes exerçant une activité aux Etats-Unis, les requérants n'apportent pas d'éléments dont il ressortirait que les données de santé, pseudonymisées, que cette société héberge pour le compte de la Plateforme des données de santé, seraient susceptibles de faire l'objet de demandes sur ce fondement.
D'autre part, il existe en effet un risque que les autorités américaines formulent, dans le cadre des programmes de surveillance, une demande d'accès à certaines données traitées et hébergées dans l'entrepôt EMC2, à supposer qu'elles y voient un intérêt au regard de l'objectif d'obtention d'informations en matière de renseignement extérieur poursuivi par ces programmes.
Toutefois, le risque d'accès de ces autorités à ces données, dans le cas où Microsoft ne s'opposerait pas à une telle demande, est, en l'état de l'instruction, hypothétique, au vu des garanties importantes dont la mise en œuvre du projet est entourée, notamment du fait que les données seront pseudonymisées et non directement identifiantes, en considération desquelles la Cnil a estimé que ce risque était réduit à un niveau qui ne justifiait pas qu'elle refuse l'autorisation demandée.
Eu égard aux précautions ainsi prises, l'exécution de la délibération attaquée ne peut être regardée comme portant une atteinte grave et immédiate au droit au respect de la vie privée des personnes concernées, de nature à caractériser une urgence justifiant que, sans attendre le jugement de la requête au fond, l'exécution de la délibération contestée soit suspendue.
Il résulte de ce qui précède que la condition d'urgence requise n'est pas remplie.
Dès lors, les conclusions à fin de suspension des requérants ne peuvent qu'être rejetées.