En 2018, le Président de la République annonçait sa volonté pour la France de devenir l’un des leaders de l’intelligence artificielle notamment dans le secteur de la santé, supposant dès lors une maîtrise des données pour nourrir ces algorithmes.
Cette ambition s’est notamment concrétisée par la mise en place d’une infrastructure dédiée à la gestion des données de santé de la population française : la plateforme de données de santé, ou « Health Data Hub » (HDH), créée le 30 novembre 2019[1] sous la forme d’un groupement d’intérêt public (GIP) entre l’État, des organismes représentant les malades et usagers du système de santé, des producteurs de données de santé et des utilisateurs publics et privés de ces données (par exemple, des organismes de recherche).
Les données ayant vocation à être gérées par la plateforme sont les suivantes :
Les données de l'assurance maladie ;
Les données des hôpitaux ;
Les causes médicales de décès ;
Les données relatives au handicap ;
Certaines données des organismes complémentaires.
Actuellement, ces données sont éparpillées auprès de différents organismes dont les systèmes d’information ne sont pas coordonnés : sécurité sociale, hôpitaux, chercheurs, universités…
Le HDH a pour ambition de les centraliser pour les mettre plus aisément à disposition des chercheurs, mais aussi des associations de patients et citoyens, des institutions, des start ups, et des différentes parties prenantes du secteur de la santé.
Les intérêts sont multiples : faciliter la recherche, l’appui au personnel de santé, le pilotage et la coordination du système de santé, le suivi du parcours de soin et l’information des patients, notamment par le biais de l’intelligence artificielle.
Or, ces données sont non seulement protégées par le secret médical, mais qualifiées de « sensibles » par le RGPD, elles bénéficient également ainsi d’une protection renforcée par le droit à la protection des données[2].
L’hébergement de ces données dès 2019 sur les solutions Cloud proposées par Microsoft a soulevé de nombreuses critiques et interrogations quant à la protection effective de ces données en raison notamment du risque, réel ou supposé, de perte de notre souveraineté numérique au profit d’une société américaine.
L’inquiétude a résonné publiquement et plus largement à l’occasion de la crise sanitaire, lorsqu’il a été pris conscience que l’ensemble des données de santé liées à la gestion du Covid-19 seraient également gérées par la plateforme comme en a décidé le gouvernement[3].
Le Conseil d’État[4], saisi en référé, a d’abord conclu à l’absence d’illégalité manifeste d’un hébergement par Microsoft, qui reposait sur l’adhésion du groupe américain au Privacy Shield, décision d’adéquation entre la Commission européenne et les États-Unis qui autorise le transfert de données à caractère personnel hors de l’Union Européenne, dispensant par là-même de recourir à d’autres outils d’encadrement.
La très attendue décision Schrems II[5] ayant finalement invalidé ce dispositif, il convient de reconsidérer ces questions à la lumière de ses nouveaux enseignements :
Nos données de santé peuvent-elles être valablement hébergées par une société américaine qui ne transfert les données à caractère personnel que pour de simples considérations techniques ?
A supposer que les données soient exclusivement hébergées sur le territoire de l’Union européenne, peuvent-elles l’être par une société soumise à la législation américaine ?
Saisie d’un second recours en référé, la Haute juridiction administrative a relevé le 13 octobre 2020 que, si les données n’avaient pas vocation à être transférées aux États-Unis à des fins d’hébergement, il subsistait un risque de voir les autorités américaines y accéder, sans pour autant que cela justifie la suspension de la plateforme. Revenons sur ces enseignements.
Le choix de Microsoft au détriment de la souveraineté numérique
Contrairement à d’autres droits, le droit français ne prévoit aucune obligation générale de localisation des données personnelles sur le territoire français, et la certification « HDS » (hébergeur de données de santé) a succédé au régime de l’agrément pour, précisément, faciliter son obtention par des opérateurs étrangers.
Le transfert des données en-dehors de l’Union européenne est toutefois interdit par le RGPD[6] à moins qu’il ne soit fondé sur une décision d’adéquation, des garanties appropriées, ou entre dans le champ d’une dérogation[7].
Il existe également, dès 2009[8], une volonté politique de s’affranchir du leadership américain en créant un « cloud souverain » à disposition de toute personne publique pour l’exercice de ses missions, dont la dernière manifestation date de juin 2020.
En effet, le gouvernement français a annoncé avoir rejoint l’initiative allemande Gaia-X, dont l’ambition est d’offrir une alternative aux solutions cloud des GAFAM.
Pourtant, c’est Microsoft et son service de cloud Azure qui ont été sélectionnés pour héberger l’ensemble des données de santé disponibles de la population française.
A l’époque, le géant français OVH ne disposait pas de la certification HDS, obligatoire, contrairement à Microsoft qui l’avait obtenue peu de temps auparavant et était en capacité immédiate de supporter une telle masse de données tout en maintenant un très haut taux de disponibilité.
Microsoft se distinguait également par la facilité d’emploi de sa solution et sa portabilité (capacité à récupérer une partie de ces données dans un format ouvert et lisible par machine).
Les risques induits par le choix d’un hébergeur américain exposés par la CNIL
Dès avril 2020, la CNIL met en lumière les risques induits par ce choix et insiste sur la nécessité d’entourer le HDH de garanties techniques et juridiques suffisantes, recommandant même expressément que la plateforme assure un hébergement et un traitement des données sur le territoire de l’Union européenne qui soient, à long terme, « réservés à des entités relevant exclusivement des juridictions de l’Union européenne »[9].
Elle souligne le risque de réidentification substantielle des personnes concernées, dont les données ne sont que pseudonymisées.
En effet, avant d’être transférées sur les serveurs de Microsoft, les données sont partiellement chiffrées, remplacées par des données indirectement identifiantes (alias, numéro…), de sorte qu’on ne puisse pas identifier la personne sans informations supplémentaires. Cette technique complique donc l’identification mais ne la rend pas impossible, contrairement à l’anonymisation qui est, elle, irréversible (mais non obligatoire). Le traitement de données anonymisées serait par définition exclu du champ d’application du RGPD, tandis que le traitement de données pseudonymisées y demeure soumis.
Surtout, la Commission relève que l’accord conclu entre le HDH et Microsoft stipule un hébergement des données sur le sol européen sauf pour les opérations d’administration à distance (maintenance et résolution d’incidents techniques), au cours desquelles des données peuvent être transférées aux États-Unis, à destination d’ingénieurs de chez Microsoft.
Même à supposer que le traitement soit cantonné au territoire de l’Union européenne et que les transferts susmentionnés n’aient pas lieu, les législations FISA (Foreign Intelligence Surveillance Act), Executive Order 123333 et Cloud Act (Clarifying Overseas Use of Data Act) demeurent applicables.
Ainsi, par exemple sous l’empire du Cloud Act, si un mandat de recherche est délivré sur la base d’une forte probabilité que l’accès à ces données permette de prouver un crime, le gouvernement américain peut exiger de Microsoft la communication de toute donnée se trouvant en sa possession ou sous son contrôle.
L’invalidation du Privacy Shield par la CJUE
C’est notamment pour cette raison que la Cour de justice de l’Union européenne, relevant concomitamment l’absence de droits opposables et de voie de recours effective pour les citoyens européens dont les données seraient ainsi traitées, a invalidé le Privacy Shield, auquel Microsoft avait adhéré[10].
Sans cette décision d’adéquation (article 45 du RGPD), ne restent donc que des outils d’encadrement prévus aux articles 46 et 47 du RGPD tels que les clauses contractuelles types de la Commission européenne (CCT) ou les règles d’entreprises contraignantes (BCR) pour valablement transférer des données vers les États-Unis (ou le jeu éventuel mais éminemment restrictif, n’en déplaise à la Cour, des dérogations prévues à l’article 49[11]).
Les modèles de clauses contractuelles adoptés par la Commission européenne, dits « CCT », fournissent une certaine sécurité juridique aux responsables de traitements qui souhaitent transférer des données à des destinataires situés en-dehors de l’Union européenne.
Dans sa décision, la Cour confirme expressément leur validité mais en limite la portée. La mise en œuvre de ces clauses est explicitement subordonnée à la vérification, par le responsable du traitement de garanties appropriées dans le pays de destination des données.
A défaut d’un niveau de protection suffisant dans ce pays, il incombe au responsable de traitement ou au sous-traitant de mettre en place des mesures additionnelles, en général au moyen d’opérations de contrôle.
Aussi, la validité des CCT relève d’un examen au cas par cas.
Or, au regard de l’absence de garanties suffisantes dans le système outre-Atlantique précisément invoquée pour invalider le Privacy Shield, l’exploitation de ces dérogations pour recourir à un acteur américain semble de facto impossible, sauf à ce que ce dernier accepte de s’engager dans les CCT à s’opposer judiciairement à toute requête des services de renseignement américain (autorisé en droit américain) ou à introduire des third party claim (pour le bénéfice des citoyens européens, dépourvus de recours personnel).
Puisqu’il est peu probable d’obtenir de tels engagements, les transferts de données entre l’Union européenne et les États-Unis semblent dès lors compromis puisque dépourvus de base juridique suffisante.
Pourtant, dès le lendemain de la décision Schrems II, Microsoft annonçait sa volonté de poursuivre les transferts sur la base des CCT conclues et affirmait qu’elle circonscrirait les demandes des autorités américaines.
Les conséquences de l’invalidation du Privacy Shield sur l’hébergement du HDH par Microsoft selon le Conseil d’État saisi en référé
Avant la décision de la CJUE, le Conseil d’État, une première fois saisi en référé par des organisations, syndicats et associations qui contestaient l’arrêté du 21 avril 2020 au motif d’atteinte grave et manifestement illégale à la vie privée et à la protection des données personnelles, avait, ainsi qu’il a été dit, conclu à l’absence d’illécéité manifeste de l’hébergement du HDH par Microsoft.
D’une part, le Haute juridiction estimait que la décision attaquée était légitime et proportionnée car justifiée par l’urgence et l’absence d’alternative technique suffisante et soumis à une autorisation de la CNIL (pour chaque projet de recherche souhaitant exploiter le HDH).
D’autre part, elle relevait alors que le transfert des données d’administration prévu par l’accord conclu entre le HDH et Microsoft était encadré par le Privacy Shield et que des mesures appropriées de pseudonymisation avaient été mises en place.
Aussi, le Conseil exigeait seulement une mise en conformité immédiate en matière d’information aux personnes (publication sur son site de la possibilité de transfert hors Union européenne des données), et la communication à la CNIL des procédés de pseudonymisation utilisés afin que celle-ci en vérifie la suffisance[12].
Suite à l’invalidation du Privacy Shield, le Conseil d’État a été saisi d’un deuxième recours, par le collectif SantéNathon[13] cette fois, qui faisait également valoir une atteinte grave et manifestement illégale à la vie privée et à la protection des données personnelles pour obtenir une suspension de la plateforme.
La CNIL, invitée à produire des observations sur ce recours, relève d’abord que le HDH et Microsoft ont conclu un avenant limitant a priori fortement les risques de transferts de données mais souhaite approfondir l’étude de ces garanties.
Si des transferts devaient subsister, la CNIL indique qu’à la suite de la décision Schrems II, ils seraient illégaux.
Même à supposer que ces transferts soient effectivement exclus, reste la question des législations américaines évoquées, dont l’application ne dépend pas de la localisation des données mais du seul fait que Microsoft exerce une activité aux États-Unis.
Aussi, la Commission remarque que si Microsoft s’interdit par principe de donner accès aux données en sa possession, il est fait exception du cas où une loi l’exigerait. Or, c’est précisément l’application de textes législatifs et règlementaires – FISA, EO 123333, Cloud Act – qui pose problème.
La CNIL en conclut que le souhait qu’elle avait émis dans son avis du 20 avril 2020 à savoir de modifier l’hébergement du HDH repose désormais sur une obligation légale, solution qui doit s’étendre à tout entrepôt de santé hébergé par une société américaine.
Pour le Conseil d’État[14], certes, la décision Schrems II implique que Microsoft ne peut plus se fonder sur une décision d’adéquation pour transférer les données en dehors de l’Union européenne.
Pourtant, tout risque de transfert des données de santé aux services de renseignements américains ne peut être exclu, et ce même s’il est limité à la fois par le contrat et par un arrêté ministériel intervenu pour interdire tout transfert hors de l’Union[15] à la suite de l’injonction de la Cour en ce sens.
Nonobstant, pour qu’à l’occasion d’un transfert une violation du RGPD soit caractérisée, encore faudrait-il que les données, par ailleurs pseudonymisées, présentent un intérêt suffisant pour les autorités américaines en matière de renseignement extérieur, et que Microsoft ne puisse s’y opposer.
Compte tenu de ces éléments et de l’intérêt public important à l’utilisation de ces données dans le cadre sanitaire actuel, la Haute juridiction retient, au terme d’une balance des intérêts, que la seule existence du risque ne suffit pas à caractériser une illégalité manifeste et à justifier la suspension immédiate de la plateforme.
Dans l’attente d’une solution pérenne, le Conseil enjoint cependant le HDH à renforcer son accord avec Microsoft en prévoyant des mesures additionnelles à la protection des données, sous le contrôle de la CNIL, et cantonne l’exploitation de la plateforme aux traitements pour lesquels il n’existe pas d’autre solution technique satisfaisante au regard de l’urgence sanitaire.
L’insuffisance globale du nouveau système national des données de santé soulignée par la CNIL
Si la mise en œuvre du HDH a été anticipée en raison de l’urgence sanitaire, sa consécration dans le droit commun est encore en cours.
La CNIL a ainsi été amenée à rendre un avis sur le projet de décret relatif au nouveau « système national des données de santé » (SNDS), qui regroupe les principales bases de données de santé publiques existantes et dans le cadre duquel s’inscrit le HDH.
Le projet de délibération de la Commission met en avant le manque de lisibilité du texte pour les personnes concernées et ses lacunes.
Aussi, elle exige des mesures supplémentaires afin de garantir l’exercice du droit à l’information et du droit d’opposition, et s’insurge du mécanisme de levée du pseudonymat envisagé, soulignant qu’ « un des principes fondamentaux de la sécurité du SNDS repose sur la pseudonymisation de ses données et un strict cloisonnement entre les données identifiantes et les données pseudonymisées, excluant par principe qu’une même entité ait accès simultanément [aux deux] »[16].
De plus, la CNIL indique expressément que le choix d’un acteur américain doit être banni à l’avenir.
Par ailleurs, l’alternative européenne Gaia-X, rejointe par quelques 200 acteurs privés dont les géants Amazon, Google, Microsoft, Oracle, Salesforce et, récemment Palantir, s’impose doucement aux côtés de ses concurrents AWS, Azure ou Alibaba.
Basée sur la coopération des acteurs - l’adhésion emporte obligation de respecter certaines règles de conduites - Gaia-X figure ainsi au premier rang de l’émergence de l’économie de la donnée en Europe, estimée à 400 milliards d’euros en 2019.
[1] Arrêté du 29 novembre 2019 portant approbation d'un avenant à la convention constitutive du groupement d'intérêt public « Institut national des données de santé » portant création du groupement d'intérêt public « Plateforme des données de santé » [2] Article 9 du RGPD [3] Arrêté du 21 avril 2020 complétant l’arrêté du 23 mars 2020 prescrivant les mesures d’organisation et de fonctionnement du système de santé nécessaires pour faire face à l’épidémie de covid-19 dans le cadre de l’état d’urgence sanitaire [4] Conseil d’État, ordonnance du juge des référés, 19 juin 2020, n° 440916 [5] CJUE 16 juill. 2020, DPC c. Facebook Ireland Ltd et M. Schrems, aff. C-311/18 [6] Article 44 du RGPD [7] Articles 45, 46 et 49 du RGPD [8] « […] les Nord-Américains dominent ce marché, qui constitue pourtant un enjeu absolument majeur pour la compétitivité de nos économies, pour le développement durable et même, j’ose le dire, pour la souveraineté de nos pays. » Discours du Premier ministre François Fillon sur le haut débit et de l’économie numérique, 18 janvier 2010, Vélizy [9] Délibération n° 2020-044 du 20 avril 2020 relative au projet d’arrêté complétant l’arrêté du 23 mars 2020 prescrivant les mesures d’organisation et de fonctionnement du système de santé nécessaires pour faire face à l’épidémie de covid-19 dans le cadre de l’état d’urgence sanitaire [10] CJUE, 16 juillet 2020, aff. C-311-18, Data Protection Commissioner c/ Facebook Ireland Ltd et Schrems : https://twelve6.wixsite.com/test/post/privacy-shield-fin-du-transfert-massif-de-données-personnelles-entre-usa-et-ue [11] Cf. interprétation des exceptions par le Comité européen de la protection des données et la CNIL [12] Conseil d’État, ordonnance, 19 juin 2020, n° 440916 [13] Collectif composé du Conseil national du logiciel libre (CNLL), du Syndicat de la médecine générale (SMG), de l’Union française pour une médecine libre (UFML), du Syndicat national des jeunes médecins généralistes (SNJMG), du collectif de médecins et informaticiens Interhop et d’associations de patients [14] Conseil d’État, ordonnance, 13 octobre 2020, n° 444937 [15] Arrêté du 9 octobre 2020 modifiant l’arrêté du 10 juillet 2020 prescrivant les mesures générales nécessaires pour faire face à l'épidémie de covid-19 dans les territoires sortis de l'état d'urgence sanitaire et dans ceux où il a été prorogé [16] Projet de délibération du 29 octobre 2020 portant avis sur un projet de décret relatif au système national des données de santé (demande d’avis n° 20011090)