Conditions for the legality of a platform managed by an American company hosting European health data: French Conseil d'Etat decision

On October 13, 2020, The Conseil d'Etat (French Supreme Administrative Court) has released a very important decision, Conseil National du Logiciel libre, on the legal condition for the State to give the platform management to an American enterprise if the data concern personal health.

In France, a state of emergency has been declared since March 2020 to fight against the Covid-19.

The French law of July 24, 2019 relative à l'organisation et à la transformation du système de santé ("on the organization and the transformation of Heath System") , modified in 2020, has modified the article L.1462-1 of the Code de la santé publique (French Public Health Code) admitting the creation of a Public Interest Group, named Plateforme des données de santé, between the State and significant bodies representing health system users, health data producers, health researchers. This creation has been approved and structured by an administrative decree in November 2019. More precisely, the French government has decided to centralize and process data related to the Covid-19 epidemic. The decision has taken the form of a platform, the Health data hub (directly designated by these English words) and has chosen Microsoft as platform manager.

By a contract concluded on Avril 15, 2020, the Plateforme des données de santé has organized this task with the Irish company Microsoft Ireland Operations Limited, subsidiary of the American company Microsoft Corporation. This contract gives to Microsoft Ireland Operations Limited access to a set of digital services, named "Microsoft Azure", including the health data hosting and the software licences necessary for the processing.

Several associations have filed a request before the Conseil d'Etat. The different purposes of these associations are the defense of freedom, the defense of press or the defense of the share of interoperability in hospitals.

They acted on the basis of the article L.521-2 of the Code de la justice administrative ("French Code of Administrative Justice"), which says: "Saisi d'une demande en ce sens justifiée par l'urgence, le juge des référés peut ordonner toutes mesures nécessaires à la sauvegarde d'une liberté fondamentale à laquelle une personne morale de droit public ou un organisme de droit privé chargé de la gestion d'un service public aurait porté, dans l'exercice d'un de ses pouvoirs, une atteinte grave et manifestement illégale. Le juge des référés se prononce dans un délai de quarante-huit heures." (that can be translated as: "Required with a request to this effect justified by urgency, the juge des référés may order all measures necessary to protect a fundamental freedom to which a legal person governed by Public Law or an entity governed by Private Law responsible for the management of a public service would have caused, in the exercise of one of its powers, a serious and manifestly illegal attack. The juge des référés releases a decision within forty-eight hours.").

They asked the Court to order the suspension of the constitution of this platform in order to preserve the right to privacy, to protect personal data and to take any necessary measure to protect them.

They affirmed the centralization project of data is very large and the data concerned are very sensible, the Court of Justice of the European Union underlying in its judgement of July 16,2020, called Schrems 2, the risk of these data capturing when they become under the American Law, what it will be with a management operated by an American firm (through the data transfer and through the extraterritorial application of American Law).

Before the Conseil d'Etat, the Minister answered that no violation exists, the Commission Informatique et Libertés - CNIL (French Personal Data Protection Regulatory Body) presented its observations (as it will comment the Conseil d'Etat decision, the day after) and the entreprise Microsoft and the platform did not present any comment.

To find the chosen solution, the Conseil d'Etat refers to the European Charter of Fundamental Right and the General Regulation on Personal Data of 2016, the Code de la santé publique (French Health Public Code) and the French laws adopted to fight against the Covid-19.

The Court reminds the general function of the juge des référés is the following"... il constate une atteinte grave et manifestement illégale portée par une personne morale de droit public à une liberté fondamentale, résultant de l’action ou de la carence de cette personne publique, de prescrire les mesures qui sont de nature à faire dispara?tre les effets de cette atteinte, dès lors qu’existe une situation d’urgence caractérisée justifiant le prononcé de mesures de sauvegarde à très bref délai et qu’il est possible de prendre utilement de telles mesures. Celles-ci doivent, en principe, présenter un caractère provisoire, sauf lorsque aucune mesure de cette nature n'est susceptible de sauvegarder l’exercice effectif de la liberté fondamentale à laquelle il est porté atteinte" (what can be translated as: "... he finds a serious and manifestly illegal interference by a legal person governed by Public Law to a fundamental freedom, resulting from the action or failure of this public person, to prescribe the measures which are likely to eliminate the effects of this violation, when there is a situation of serious emergency justifying the pronouncement of protective measures at very short term and if it is possible to take such measures usefully. These measures must, in principle, be of a provisional nature, except when no measure of this nature is capable of safeguarding the effective exercise of the fundamental freedom which is infringed.").

After that and Firstly, the Conseil d'Etat refers to the European Union legal rules.

The Conseil d'Etat reminds: "Le droit au respect de la vie privée, qui comprend le droit à la protection des données personnelles, constitue une liberté fondamentale" (what can be translated as: "The right to privacy, which includes the right to personal data protection, constitutes a fundamental freedom"), protected in French and European legal orders, notably when they are transferred to a third country, which requires a specific treatment by the data controller and processor to obtain a similar level of protection, evaluated by the European Commission in jure and in facto.

Expressively referring to the case Schrems 2 (judgment of the Cour of Justice of the European Union, Data Protection Commissioner contre Facebook Ireland Ltd et Maximillian Schrems, the Conseil d'Etat reminds that this judgment has imposed that the GDPR must be interpreted "... en ce sens que les garanties appropriées, les droits opposables et les voies de droit effectives requis par ces dispositions doivent assurer que les droits des personnes dont les données à caractère personnel sont transférées vers un pays tiers sur le fondement de clauses types de protection des données bénéficient d’un niveau de protection substantiellement équivalent à celui garanti au sein de l’Union européenne par ce règlement, lu à la lumière de la charte des droits fondamentaux de l’Union européenne. A cet effet, l’évaluation du niveau de protection assuré doit, notamment, prendre en considération tant les stipulations contractuelles convenues entre le responsable du traitement ou son sous-traitant établis dans l’Union européenne et le destinataire du transfert établi dans le pays tiers concerné que, en ce qui concerne un éventuel accès des autorités publiques de ce pays tiers aux données à caractère personnel ainsi transférées, les éléments pertinents du système juridique de celui-ci, notamment ceux énoncés à l’article 45, paragraphe 2, du règlement" (that can be translated as: "... in the sense that the appropriate guarantees, enforceable rights and effective legal remedies required by these provisions must ensure that the rights of persons whose personal data are transferred to a third country on the basis of standard data protection clauses benefit from a level of protection substantially equivalent to what is guaranteed within the European Union by this regulation, read in the light of the Charter of Fundamental Rights of the European Union. For that, the assessment of the protection level provided must, in particular, take into account both the contractual provisions agreed between the controller or his subcontractor established in the European Union and the recipient of the transfer established in the third country concerned that, as regards possible access by the public authorities of that third country to the personal data thus transferred, the relevant elements of its legal system, in particular those set out in Article 45 (2) of the Regulation.").

The Conseil d'Etat enlightens that the European Court of Justice "a ... relevé des ingérences dans les droits fondamentaux des personnes dont les données à caractère personnel sont ainsi transférées, du fait des possibilités d’accès à ces données et d’utilisation de celles-ci par les autorités publiques américaines, dans le cadre de programmes de surveillance fondés sur l’article 702 du ? Foreign Intelligence Surveillance Act ? (FISA) ou loi sur la surveillance en matière de renseignement extérieur et, d’autre part, de l’ ? Executive Order (EO) 12333 ? ou décret présidentiel n° 12333, qui ne sont pas limitées au strict nécessaire. L’article 702 du FISA ne limite pas l’habilitation qu’il comporte et le tribunal de surveillance du renseignement extérieur des Etats-Unis vérifie seulement si ces programmes correspondent à l’objectif d’obtention d’informations en matière de renseignement extérieur, mais non si les personnes sont correctement ciblées à cette fin. Quant à l’EO 12333, il doit être mis en ?uvre dans le respect de la ? Presidential Policy Directive 28 ? (PPD-28), qui permet toutefois de procéder à une collecte ? en vrac ? d’un volume relativement important d’informations ou de données lorsque les services de renseignement ne peuvent pas utiliser d’identifiant associé à une cible spécifique pour orienter la collecte, rendant possible un accès à des données en transit vers les Etats-Unis sans surveillance judiciaire ni encadrement suffisant. Enfin, pour ces différents programmes de surveillance, il n’existe pas de texte conférant aux personnes concernées des droits opposables aux autorités américaines devant les tribunaux, leur permettant de bénéficier d’un droit de recours effectif. Dans ces conditions, les limitations de la protection des données à caractère personnel qui découlent de la réglementation interne des Etats-Unis ne sont pas encadrées de fa?on à répondre à des exigences substantiellement équivalentes à celles requises par la charte des droits fondamentaux de l’Union européenne, dont l’article 52 ne permet des limitations de l’exercice des droits et libertés qu’elle reconna?t que si elles sont nécessaires et répondent effectivement à des objectifs d'intérêt général reconnus par l'Union ou au besoin de protection des droits et libertés d'autrui (what can be translated as: "a ... noted interference with the fundamental rights of the persons whose personal data are thus transferred, due to the possibilities of access to these data and of use thereby by the American Public Authorities, within the framework of surveillance programs based on section 702 of the Foreign Intelligence Surveillance Act (FISA) or law on oversight in matters of foreign intelligence and, on the other hand, of the "Executive Order (EO) 12333" or Presidential decree N° 12333, which are not limited to what is strictly necessary. Section 702 of FISA does not limit the authorization it entails and the United States Foreign Intelligence Review Tribunal only verifies whether these programs correspond to the objective of obtaining foreign intelligence information, but not if people are properly targeted for this purpose. As for OE 12333, it must be implemented in compliance with the “Presidential Policy Directive 28” (PPD-28), which however allows for “bulk” collection of a relatively large volume of information or data when the intelligence services cannot use an identifier associated with a specific target to direct the collection, making it possible to access data in transit to the United States without judicial oversight or sufficient supervision. Finally, for these various monitoring programs, there is no text conferring on the persons concerned rights enforceable against the American Authorities in court, allowing them to benefit from an effective right of appeal. In these conditions, the limitations of the protection of personal data resulting from the internal regulations of the United States are not framed in such a way as to meet requirements substantially equivalent to those required by the Charter of Fundamental Rights of the Union. European Union, Article 52 of which only allows limitations on the exercise of rights and freedoms that it recognizes if they are necessary and effectively meet objectives of general interest recognized by the Union or the need to protect rights and freedoms of others.").

Secondly, the Conseil d'Etat refers to the French legal rules

The Court notices the article L. 3131-1 of the Code de la santé publique says: ? En cas de menace sanitaire grave appelant des mesures d'urgence, notamment en cas de menace d'épidémie, le ministre chargé de la santé peut, par arrêté motivé, prescrire dans l'intérêt de la santé publique toute mesure proportionnée aux risques courus et appropriée aux circonstances de temps et de lieu afin de prévenir et de limiter les conséquences des menaces possibles sur la santé de la population. Le ministre peut également prendre de telles mesures après la fin de l'état d'urgence sanitaire prévu au chapitre Ier bis du présent titre, afin d'assurer la disparition durable de la situation de crise sanitaire ? (what can be translated as: "In the event of a serious health threat requiring emergency measures, in particular in the event of a threat of an epidemic, the Minister responsible for health may, by motivated decree, prescribe in the interest of public health any measure proportionate to the risks incurred and appropriate to the circumstances of time and place in order to prevent and limit the consequences of possible threats to the health of the population. The Minister may also take such measures after the end of the state of health emergency, provided for in Chapter Ia of this Title, in order to ensure the lasting disappearance of the situation of health crisis.").

The new national legal rules has organized this new technical system of platform "pour faire face à l'épidémie de Covid-19 dans les territoires sortis de l'état d'urgence sanitaire et dans ceux où il a été prorogé" ("to cope with the Covid-19 epidemic in territories emerging from the state of health emergency and in those where it has been extended"), by the centralization of a lot of health personal data, necessary to protect the population, which is a "finalité d'intérêt public" ("public interest goal").

In addition, the Conseil d'Etat notices this obtention and manipulation of sensible health data is operated by public bodies, limited in their access to health data: " Le groupement d'intérêt public et la Caisse nationale de l'assurance maladie ne peuvent collecter que les données nécessaires à la poursuite d'une finalité d'intérêt public en lien avec l'épidémie actuelle de covid-19. Ils sont responsables du stockage et de la mise à disposition des données. Ils sont autorisés à croiser les données mentionnées au I. / La Caisse nationale de l'assurance maladie est responsable des opérations de pseudonymisation dans le cadre du croisement des données et peut traiter le numéro d'inscription au répertoire national d'identification des personnes physiques à cette fin. ... Les données ne peuvent être traitées que sur la plateforme technologique du groupement d'intérêt public et sur la plateforme de la Caisse nationale de l'assurance maladie, et ne peuvent pas en être extraites. Au sein de ces plateformes, les données ci-dessus mentionnées ne peuvent contenir ni les noms et prénoms des personnes, ni leur numéro d'inscription au Répertoire national d'identification des personnes physiques, ni leur adresse." (what can be translated as: ""The public interest group and the Caisse nationale de l'assurance maladie - French National Health Insurance Fund - can only collect the data necessary for the pursuit of a purpose of public interest in connection with the current epidemic of covid-19. They are responsible for storage and provision of data. They are authorized to cross-reference the data mentioned in I. / The French National Health Insurance Fund is responsible for pseudonymization operations within the framework of data cross-referencing and may process the number of registration in the national directory of identification of natural persons for this purpose. ... Data can only be processed on the technological platform of the public interest group and on the platform of the National Health Insurance Fund, and can not be extracted. Within these platforms, the data mentioned above cannot contain either the names and surnames of persons, nor their registration number in the National Identity Directory of natural persons, nor their address.").

But the Conseil d'Etat notices that the Irish company chosen is the subsidiary of the American company. If by application of the European Union Court of Justice, it can not transfer any personal data on the basis of the article 45 of the European regulation, it could do it on the basis of the article 46.

The Conseil d'Etat affirms in abstracto: "Si un transfert reste possible sur le fondement de l’article 46, c’est à la condition que soient prévues des garanties appropriées et que les personnes concernées disposent de droits opposables et de voies de droit effectives." ("If a transfer remains possible on the basis of Article 46, this is on condition that appropriate guarantees are provided and the persons concerned have enforceable rights and effective remedies.").

In concreto, the court observes: "Il résulte de l’instruction, d’une part, que les données traitées par la Plateforme des données de santé sont hébergées dans des centres de données situés aux Pays-Bas, avant de l’être prochainement dans des centres de données situés en France. D’autre part, la Plateforme des données de santé et la société Microsoft Ireland Operations Limited ont conclu, le 3 septembre 2020, un avenant prévoyant, pour les services en ligne ? Azure ? qu’il énumère, que Microsoft ne traitera pas les données de la Plateforme en dehors de la zone géographique spécifiée par celle-ci sans son approbation et que dans l’hypothèse où un accès aux données serait nécessaire pour les besoins des opérations d’exploitation des services en ligne et de résolution d’incident menées par Microsoft depuis un lieu extérieur à cette zone, il serait soumis N° 444937 9 à l’autorisation préalable de la Plateforme. La Plateforme des données de santé s’est engagée à l’égard de la Commission nationale de l’informatique et des libertés à refuser tout transfert. Enfin, il résulte également de l’instruction que les seules données dont le transfert en dehors de l’Union européenne présente une utilité sont des données de télémétrie, pour contr?ler le bon fonctionnement des services offerts par Microsoft, ainsi que des données de facturation. Ainsi, il n’appara?t pas, en l’état de l’instruction, que la Plateforme des données de santé puisse se trouver contrainte, pour des raisons techniques, de donner son accord à un transfert de données de santé." (what can be translated as: "It results from the instruction, on the one hand, that the data processed by the Health Data Hub are hosted in data centers located in the Netherlands, before being hosted soon in data centers located in France. . On the other hand, the Health Data Hub and the company Microsoft Ireland Operations Limited concluded, on September 3, 2020, an amendment providing, for the “Azure” online services that it lists, that Microsoft will not process the data of the Platform outside the geographical area specified by it without its approval and that in the event that access to the data is necessary for the needs of the operations of online services and incident resolution carried out by Microsoft from a location outside this zone, it would be submitted to the prior authorization of the platform. The Health Data Hub is committed to the CNIL to refuse any transfer. Finally, it also results from the instruction that the only data whose transfer outside the European Union is useful are telemetry data, to control the proper functioning of the services offered by Microsoft, as well as billing data. Thus, it does not appear, at the state of the investigation, that the Health Data Platform could be forced, for technical reasons, to give its consent to a transfer of health data.").

Moreover, the French government has reacted, because by an administrative decree of October 9, 2020, after the begging of this trial and for giving satisfaction, a new legal disposition erased the initial contractual power of the Plateforme to give authorization to Microsoft to transfer personal health data to the U.S. The Conseil d'Etat notices that.

This is why the Court can conclude "dans ces conditions, en l'état de l'instruction"under these conditions, in the state of the investigation"), it is no longer possible to transfer these data to the U.S.: the Associations' requests have no longer a legal basis.

But, they also affirm that Microsoft's american nationality would be sufficient to justify its exclusion as manager, because by the FISA or EO 1233 mechanisms it would be obliged to transfer data to American public bodies. The Conseil d'Etat verifies this point: in the contract between the Plateforme and the Irish subsidiary of Microsoft, by an addendum concluded on September 2, 2020, the mention of ? Microsoft ne divulguera pas les données traitées aux pouvoirs publics, sauf si elle y est tenue par la loi ? (what can be translated as: "Microsoft will not disclose the processed data to public authorities, unless required by law.") is interpreted by the Court as: "il ne peut ainsi faire référence qu’au droit de l’Union européenne ou de l’un de ses Etats membres, ainsi qu’il conviendra de le préciser à l’occasion de la conclusion de l’avenant mentionné au point 13" (what can be translated as: ""it can therefore only refer to the European Union Law or of one of its member states, as should be specified when concluding the rider mentioned in point 13")...

If they say so...

In a first stage of its reasoning, the Court improves itself the legal and factual situation, giving de facto a sort of "Compliance program", obtained during the procedure, the decision remining that it is not sufficient: "En outre, la même annexe prévoit que Microsoft devra immédiatement informer la Plateforme si la société estime qu’une instruction constitue une violation du règlement général ou d’autres dispositions du droit de l’Union européenne ou d’un Etat membre relatives à la protection des données. Toutefois, la Commission nationale de l’informatique et des libertés, dans les observations qu’elle a produites à la suite de la communication de la requête, estime, en l’état des informations dont elle dispose, que le risque d’une demande telle que celles mentionnées au point 15 ne peut être totalement écarté. En outre, il résulte de l’instruction que les mesures techniques mises en ?uvre par Microsoft ou susceptibles de l’être à brève échéance n’écartent pas toute possibilité pour cette entreprise d’accéder aux données traitées sous la responsabilité de la Plateforme des données de santé, en dépit des précautions, limitant ce risque, qui entourent le chiffrement dont elles font l’objet et le stockage des clés de chiffrement utilisées. Il ne peut ainsi être totalement exclu, sur le plan technique, que Microsoft soit amenée à faire droit à une demande des autorités américaines fondée sur l’article 702 du FISA, ce qui méconna?trait alors les articles 28 et 48 du règlement général sur la protection des données, cités au point 5, qui interdisent qu’un sous-traitant transfère des données à caractère personnel vers un pays tiers si ce n’est sur instruction du responsable du traitement ou en vertu d’une obligation prévue par le droit de l’Union européenne ou d’un Etat membre, et que puisse être reconnue ou rendue exécutoire une décision d'une autorité administrative d'un pays tiers exigeant d'un responsable du traitement ou d'un sous-traitant qu'il transfère ou divulgue des données à caractère personnel, sauf sous certaines conditions qui ne seraient en l’espèce pas remplies." (what can be translated as: "In addition, the same contractual appendix provides that Microsoft must immediately inform the Platform if the company considers that an instruction constitutes a violation of the general regulations or of other provisions of the European Union Law or of a Member State relating to the protection. Datas. However, the CNIL, in the observations it produced following the communication of the request, considers, in the light of the information available to it, that the risk of a request such as those mentioned in point 15 cannot be completely ruled out. In addition, it results from the instruction that the technical measures implemented by Microsoft or likely to be implemented in the short term do not preclude all possibility for this company to access the data processed under the responsibility of the Data Platform Hub, despite the precautions limiting this risk, which surround the encryption to which they are subject and the storage of the encryption keys used. It cannot therefore be completely ruled out, from a technical point of view, that Microsoft may have to grant a request from the American authorities based on Article 702 of the FISA, which would then disregard Articles 28 and 48 of the General Protection Regulation Data, cited in point 5, which prohibit a processor from transferring personal data to a third country except on the instruction of the controller or by virtue of an obligation provided for by the European Union Law or a Member State, and that a decision of an administrative authority of a third country requiring a controller or a processor to transfer or disclose may be recognized or enforced. personal data, except under certain conditions which in this case are not met").

In a second stage of its reasoning, the French Court estimating the risk constituted, it will estimate this risk has not been envisaged by the European Union Court of Justice (letting it to take it in charge).

Indeed, the Conseil d'Etat adds: "Il convient cependant de relever, en premier lieu, que la Cour de justice s’est seulement prononcée, dans son arrêt du 16 juillet 2020, sur les conditions dans lesquelles peuvent avoir lieu des transferts de données à caractère personnel vers les Etats-Unis et non sur celles dans lesquelles de telles données peuvent être traitées, sur le territoire de l’Union européenne, par des sociétés de droit américain ou leurs filiales en qualité de sous-traitants, voire de responsables de traitement. A fortiori, elle ne s’est pas prononcée sur les conséquences que pourraient avoir les constats opérés par son arrêt sur de tels traitements, alors même que, s’agissant des transferts de données à caractère personnel vers des pays tiers, son arrêt en mentionne la possibilité sur le fondement de l’article 49 du règlement général sur la protection des données, qui permet notamment les transferts nécessaires pour des motifs importants d’intérêt public reconnus par le droit de l'Union ou le droit de l'Etat membre auquel le responsable du traitement est soumis. En deuxième lieu, les requérants n’invoquent pas de violation directe du règlement général sur la protection des données mais seulement le risque d’une telle violation, dans l’hypothèse où Microsoft ne serait pas en mesure de s’opposer à une demande d’accéder à certaines données formulée par les autorités américaines, si celles-ci y voyaient un intérêt au regard de l’objectif d’obtention d’informations en matière de renseignement extérieur poursuivi N° 444937 11 par les programmes de surveillance déjà mentionnés, alors au surplus que ces données sont pseudonymisées par la Caisse nationale de l'assurance maladie, conformément à l’arrêté du 22 mars 2017 relatif au référentiel de sécurité applicable au Système national des données de santé et à la convention conclue les 14 et 15 juin 2020 entre la Plateforme des données de santé et la Caisse nationale, avant d’être transmises à la Plateforme et chiffrées au moyen des outils mis à sa disposition par Microsoft."(what can be translated as: "However, it should be noted, first of all, that the Court of Justice only ruled, in its judgment of July 16, 2020, on the conditions under which transfers of personal data to the United States may take place and not on those in which such data may be processed, in the territory of the European Union, by companies incorporated under American Law or their subsidiaries in their capacity as subcontractors, or even as data controllers. A fortiori, it has not ruled on the consequences that the findings made by its judgment could have on such processing, even though, with regard to transfers of personal data to third countries, its judgment mentions this. the possibility on the basis of Article 49 of the General Data Protection Regulation, which allows in particular the transfers necessary for important reasons of public interest recognized by European Union Law or the law of the Member State to which the controller is submitted. Secondly, the applicants do not invoke a direct violation of the General Data Protection Regulation but only the risk of such a violation, in the event that Microsoft is not able to oppose a request for '' access certain data formulated by the American authorities, if they saw an interest in it with regard to the objective of obtaining information on foreign intelligence pursued N ° 444937 11 by the surveillance programs already mentioned, then in addition that these data are pseudonymized by the French National Health Insurance Fund, in accordance with the decree of 22 March 2017 relating to the safety reference system applicable to the French National Health Data System and the agreement concluded on 14 and 15 June 2020 between the Health Data Platform and the National Fund, before being transmitted to the Platform and encrypted using the tools made available to it by Microsoft.").

However, in a third stage of its reasoning, the Conseil d'Etat accepts to approve expressively the governmental choice of this enterprise, this term and on a technological basis: "il existe un intérêt public important à permettre la poursuite de l'utilisation des données de santé pour les besoins de la gestion de l'urgence sanitaire et de l'amélioration des connaissances sur le SARS-CoV-2 et, à cette fin, de permettre le recours aux moyens techniques, sans équivalent à ce jour, dont dispose la Plateforme des données de santé par le biais du contrat passé avec Microsoft" ("There is a significant public interest in allowing the continued use of health data for the purposes of managing the health emergency and improving knowledge about SARS-CoV-2 and, for that, allow the use of technical means, unmatched to date, available to the Health Data Platform through the contract with Microsoft), and, speaking directly to the French Government, "...compte tenu, tout à la fois, de l’urgence s’attachant à sa conduite et de l’absence de solution technique alternative satisfaisante permettant d’y procéder dans les délais utiles" (... taking into account, both, the urgency attached to its conduct and the lack of a satisfactory alternative technical solution allowing it to be done within the necessary time frame").

Before that, the Plateforme , and the French Personal Data Regulatory Authority (CNIL) must control the respect of legal requirements.

This is how, in a "simple" ordonnance de référé, the Conseil d'Etat has organized the supervision of the digital centralization of Health Data, withou forbidding it before the management's transfer to an European enterprise.

"Coup de ma?tre".

THREE LESSONS FROM THE CASE FRENCH HEALTH DATA HUB

First lesson from the case French Health Data Hub: A perfect continuum between Ex Ante and Ex Post

This decision is perfect:

• In its redaction, so clear and simple.
• In its solution: let this platform work, preventing a lot of deaths and maintaining the personal data protection.
• In its times: the court has immediately reacted but moreover has obtained a modification of not only the legal requirements (new decree) but also modification of the contract itself. During the trial, the Minister affirms he will find solution to give the platform's management to an European enterprise, to result the aporia noticed by the Court (obligation to give this fonction to Microsoft, because this firm is the sole able to do it....).
• The Conseil d'Etat, even in Ex Post, is still the "Councillor of the Government", in a perfect continuum between Ex Ante and Ex Post, what Compliance Law must be. Because Compliance Law is an Ex Ante Law, all Ex Post mechanism, such as judicial one, be used on time.

Second lesson from the case French Health Data Hub: Protecting people, as core of Compliance Law

Protecting people must be the core of Compliance Law (for the practical utility of this definition of Compliance Law based on the person's protection, see The practical utility of having a firm definition of Compliance Law) This case is a perfect illustration of that.

Because the constitution of the "hub" is justified to protect people against the contamination and to find a medical solution to the pandemic. As the Court says, this is a "public interest goal". But at the same time, because this is personal data, this crucial information must be given and must not be given... (this paradoxal contradiction is in the center of Compliance Law).

But this case shows perfectly well how to manage this issue: by supervision. The CNIL has produced observations during the trial and has immediately produced new rules after the decision. The coordination between the court and the Regulatory body is perfect, the judge giving the Regulatory body the power to supervise the enterprises, and at the same time obtaining the new redaction of the contractual organization.

Before the State finds the technical means for a European solution, as for instance Thierry Breton asks for an Europe of Data.

Because what it is true for health data is also true for many other personal data.

Third lesson from the case French Health Data Hub: The European Union Court of Justice reasoning the Alpha & Omega of the future Compliance

The Conseil d'Etat build its own decision on the decisions of the Court of Justice of the European Union (see the presentation by the President of this Court of the importance of Compliance Law, specially about personal data, written in 2017 in the collective book, Frison-Roche, M.-A., Regulation, Supervision, Compliance).

The French Administrative Supreme Court anchors its own legitimacy in this European case law and more particularly the decisions Schrems, Schrems 1 and Schrems 2.

In these judicial decisions, the basis of Compliance obligations is the protection of persons, not in a narrow conception, but in general conception, because the European Union is built on the Rule of Law, e.i. the person's protection.

Strongly anchored in that, observing that the European Union Court of Justice has not decided about a secondary technical point, the Conseil d'Etat a completed the European reasoning.

Firstly, by the affirmation, so creative..., that the contractual commitment of Microsoft to the applicable Law is "necessarily" the European Law... , and can not be the American Law. When judges reinvent what parties wanted, all is possible, it is easier than to apply for instance the complex rules of the Private International Law.

Secondly, by the complementary solutions added to the European case law Schrems 1 and Schrems 2.

Before our eyes, a completed and autonomous European Compliance Law is being built.

______________________________________________________