Health Data Hub : l’hébergement par Microsoft remis en cause
Depuis qu’il a été annoncé, le Health Data Hub, ou Plateforme des données de santé, fait débat. En effet, le choix de confier l’hébergement des données à Microsoft déplaît fortement. Le CNLL, chef de file d’une coalition d’individus et d’associations, a ainsi attaqué cette décision devant le Conseil d’état, en référé. Il se casse les dents sur le verdict de la cour une première fois, avant que l’annulation du Privacy Shield ne rebatte les cartes. Mais le Conseil d’état, une nouvelle fois saisi en référé, botte de nouveau en touche. Le CNLL décide donc de saisir la juridiction administrative, ainsi que la Cnil, sur le fond, une procédure qui s’annonce bien plus longue. Pour autant, le gendarme des données personnelles n’a pas attendu pour se prononcer sur le HDH. Dans un mémoire transmis au Conseil d’état, son avis tranche radicalement par rapport au premier émis en avril dernier.
Le Privacy Shield annulé
Si à l’époque la Cnil avait donné son feu vert, elle ne s’inquiétait pas moins du fait que le choix du géant de Redmond puisse impliquer des transferts de données vers les ÉtatsUnis. HDH et Microsoft avaient alors modifier leur contrat pour tenir compte de ces réserves, tandis que tout transfert était alors encadré par le Privacy Shield.
Une fois celui- ci annulé quatre mois plus tard par décision de la CJUE, la situation se renverse. Les transferts sont illégaux aux yeux du régulateur : heureusement que les nouvelles clauses contractuelles entre Microsoft et HDH les interdisent. Sauf que se pose ici le problème de la réglementation américaine. La Cnil ne se penche pas sur le sempiternel Cloud Act, mais sur le Foreign Intelligence Surveillance Act et l’executive Order 12333. Tous deux obligent en effet des entreprises américaines, ou ayant des activités aux États- Unis, à fournir aux services de renseignements américains à leur demande des données quand bien même celles- ci ne sont pas stockées sur le sol américain. Le contrat liant les deux parties ne permet pas les transferts de données « sauf si la loi l’exige » . Considérant que les demandes du renseignement américain contreviennent au RGPD, le gendarme français des données personnelles estime que, pour le cas de données de santé, « même dans le cas où l’absence de transferts de données personnelles en dehors de L’UE à des fins de fourniture du service serait confirmée » , Microsoft demeure soumis à la législation américaine et donc serait obligé d’opérer de tels transferts pour satisfaire les autorités américaines. Transferts illégaux, aux yeux de la Cnil. Il convient donc de procéder à quelques changements afin de « soustraire ces données à la possibilité d’une communication aux services de renseignement » . Ainsi, « la solution la plus effective consiste à confier l’hébergement de ces données à des sociétés non soumises au droit “étatsunien ” » , assène le gendarme des données personnelles, un voeu partagé par Cédric O. La Cnil conseille également des alternatives tels qu’un accord de licence, ainsi qu’une période transitoire.
Un risque « hypothétique »
Le Conseil d’état a, par la suite, suivi en partie cette avis, quoique de façon plus timorée. Le juge des référés considère en effet que l’hébergement et le traitement des données du Health Data Hub par Microsoft n’est « pas entaché d’une illégalité grave et manifeste » , en vertu du contrat passé entre la plate- forme et l’éditeur. Il reconnaît toutefois que le risque existe que les agences de renseignement américaines demandent à Microsoft l’accès à ces mêmes données, mais que celui- ci n’est que « hypothétique » et ne justifie pas « la suspension immédiate du traitement des données par cette plate- forme » .
Ne pouvant prendre des mesures qu’à très court terme, le juge demande au Health Data Hub de continuer, sous le contrôle de la Cnil, à « travailler avec Microsoft pour renforcer la protection des droits des personnes concernées sur leurs données personnelles » . Soit des précautions à prendre que le Conseil d’état ne détaille pas, en attendant qu’une solution plus pérenne soit trouvée. C’est en conséquence une petite victoire pour le CNLL et ses alliés, quoiqu’il faudra attendre de la Cnil qu’elle précise quelles précautions seront prises. ✖