Avoconseil

Contact
Toutes les
actualités Actualités
juridiques Actualités
Avoconseil

13
10 2020

  .  Par Maxime BUREAU

Données de santé : la CNIL sonne la charge contre les hébergeurs américains

Le 8 octobre 2020, la Commission nationale de l’informatique et des libertés (CNIL) a transmis au Conseil d’Etat un mémoire visant à trancher sur la viabilité technique du projet Health Data Hub (en français « Plateforme des Données de Santé ») actuellement porté par l’entreprise américaine Microsoft en qualité d’hébergeur de données de santé (HDS). Sa conclusion : le rejet exprès de tout hébergeur « soumis au droit étasunien ».

Très controversé depuis de nombreux mois, le projet du gouvernement français bat désormais de l’aile suite à ce nouveau rebondissement. Probablement un coup de grâce pour Microsoft, dont les répercussions pourraient être plus lourdes encore pour tout hébergeur basé outre-Atlantique…

Pour rappel, le « Heath Data Hub » est un projet du gouvernement français introduit par la loi de santé du 24 juillet 2019 visant à créer une base de données rassemblant l’ensemble des données de santé des français. Le « Hub », ou « Plateforme », devrait notamment servir au croisement et à la réutilisation des données de santé françaises à des fins de recherches scientifiques.

Si la création d’une telle plateforme pouvait susciter quelques craintes d’atteintes à la vie privée (non sans rappeler celles de l’Affaire S.A.F.A.R.I et les origines de la CNIL), c’est bien la désignation du géant américain du cloud, Microsoft, qui a fait couler le plus d’encre. Au printemps 2020, le gouvernement français a en effet choisi de confier l’hébergement de la Plateforme Health Data hub à la société Microsoft, au détriment de candidatures françaises dont celle de la société OVH. Malgré les nombreux recours à l’encontre de ce projet à la tournure franco-américaine, le Conseil d’État a validé le Health Data Hub par une ordonnance du 19 juin 2020, tout en renvoyant cependant « la balle dans le camp » de la CNIL pour l’analyse des aspects techniques de sécurisation des données (et plus concrètement : « expertiser la robustesse des mesures de pseudonymisation »). C’est ce que la CNIL a fait, ce jeudi 8 octobre, au travers de ce mémoire remis au juge administratif. Elle est même allée plus loin dans sa prise de position.

Dans son mémoire, la Commission fait part de ses inquiétudes quant aux transferts de données vers les États-Unis depuis l’invalidation du Privacy Shield, le 16 juillet 2020, par la Cour de Justice de l’Union Européenne (« Affaire SCHREMS II », CJUE 16 juill. 2020, DPC c. Facebook Ireland Ltd et M. Schrems, aff. C-311/18). Vous pouvez par ailleurs consulter notre article du 17/07/2020 consacré à ce sujet, en cliquant  =>  ici.

Les arguments avancés par la CNIL se rapprochent très clairement de ceux invoqués par la CJUE dans son arrêt SCHREMS II. Ainsi, la Commission française aligne les lois américaines de « surveillance », telles que le FISA (Foreign Intelligence Surveillance Act) ou l’Executive Order (EO) 12333, en ce qu’elles soumettent toute société américaine, comme Microsoft, à de possibles injonctions de divulgation d’informations des services de renseignements américains. Cela est d’ailleurs repris par le contrat liant Microsoft à l’État français dans le cadre du projet Health Data Hub. Celui-ci précise que la société américaine s’autorise à transférer des données sur le sol américain « si la loi l’exige ». La CNIL pointe alors l’illégalité de telles injonctions de la part des autorités américaines, qui « devraient être considérées comme des divulgations [d’informations] non autorisées par le droit de l’Union, en application de l’article 48 du RGPD ».

Cette hypothétique – mais non moins improbable – ingérence des services de renseignements américains dans les bases de données de santé des français n’est bien évidemment pas du goût de la CNIL. D’autant qu’elle n’omet pas de souligner la « sensibilité » de telles données à caractère personnel, renvoyant ainsi à l’article 9 du RGPD.

Presque anecdotique, la CNIL relève également une faille technique et organisationnelle concernant le stockage et l’accès aux clés de chiffrement du Hub.

S’appuyant sur le RGPD, l’invalidation du Privacy Shield et l’ingérence des autorités américaines, ce mémoire rendu par la CNIL est donc lourd de conséquences pour le projet de plateforme de données de santé porté par Microsoft.

Mais l’impact de cette prise de position de la Commission dépasse largement le simple cadre du Health Data Hub et de Microsoft. La CNIL le dit elle-même dans son mémoire, cette décision vise à toucher l’ensemble des « entrepôts de données de santé qui sont hébergés par des sociétés soumises au droit étasunien ».

Toute la force de cette prise de position de l’autorité de contrôle française se trouve dans les termes « soumises au droit étasunien ». En effet, le droit étasunien, notamment par le biais du FISA et du CLOUD Act (Clarifyng Lawful Overseas Use of Data Act), s’impose à toute société ayant une activité sur le sol américain et ce sans tenir compte de la domiciliation de son siège social ou même de ses serveurs.

Il donc important d’en conclure que sont à évincer de tout projet d’hébergement de données de santé de ressortissants français les sociétés :

  • Domiciliées aux États-Unis, même si elles hébergent ces données en France ou sur le territoire de l’UE ;
  • Domiciliées au sein de l’UE mais disposant de serveurs aux États-Unis (ne s’applique pas aux groupes disposant d’une filiale US).

Face à ce constat, les questionnements vont bon train.

Que va-t-il advenir des entreprises, des centres hospitaliers ou des petites administrations qui hébergent actuellement leurs données de santé sous serveurs HDS chez Amazon Web Service ou chez Microsoft ? Des centaines de milliers de données de santé de ressortissants français sont déjà soumises aujourd’hui au droit « étasunien » via des dispositifs d’hébergement de données de santé appartenant à des sociétés américaines.

L’Agence du Numérique en Santé (ANS, anciennement ASIP Santé) doit-elle en tirer des conclusions sur les certifications HDS accordées aux hébergeurs américains ? Actuellement, l’agence gouvernementale autorise parfaitement l’accès à la certification « Hébergeur de donnée de santé » (HDS) aux sociétés soumises au droit étasunien. C’est le cas notamment d’Amazon Web Services.

Aujourd’hui, la CNIL appelle clairement à boycotter l’hébergement de bases de données de santé chez des sociétés soumises au droit américain. Un bon point sur le plan de la souveraineté numérique en France et en Europe. Les GAFAM, eux, se retrouvent dans une position inconfortable, pris en tenaille entre le RGPD et les lois de surveillance américaines. Si cette situation tend à se confirmer, de nombreux bouleversements sont encore à prévoir au niveau de l’hébergement de données de santé en France.

Le ministère de la Santé a d’ores et déjà pris acte de cette décision de la CNIL en modifiant l’article 30 de son arrêté du 10 juillet 2020, destiné aux mesures concernant le traitement des données à caractère personnel du système de santé, par l’ajout de la mention suivante : « Aucun transfert de données à caractère personnel ne peut être réalisé en dehors de l’Union européenne » (Arrêté ministériel du 9 octobre 2020).

 

Avoconseil et son département Droit du numérique restent à votre écoute et se tiennent prêts à vous accompagner dans l’ensemble de vos projets d’e-santé, d’hébergement HDS ou de mise en conformité aux exigences du RGPD.

#CNIL  #Mémoire  #Conseild’Etat  #Données  #Santé  #Plateforme #Hébergeur  #Médical  #Health #Data #Hub #HDH #Microsoft #RGPD  #FISA #Privacy  #Shield #USA #Souveraineté

 

Toutes
les actus >