Par Gérard Haas et Paul Bertucci
A propos de Conseil d’Etat, ordonnance du 13 octobre 2020, n° 444937
En raison des conséquences liées à l’invalidation du Privacy Shield, le secrétaire d’Etat au numérique a récemment exprimé sa volonté de confier l’hébergement du Health Data Hub à des acteurs français ou européens.
Destinée à accueillir l’ensemble des données de santé des personnes soignées en France afin de favoriser la recherche, cette Plateforme est actuellement hébergée par Microsoft, ce qui laisse courir le risque d’éventuels transferts de ces données vers les Etats-Unis.
Soucieuses de protéger de telles données sensibles, des organisations associatives et syndicales ont donc pris l’initiative de saisir le juge des référés du Conseil d’Etat afin d’obtenir en urgence la suspension du Health Data Hub.
Par une ordonnance rendue le 13 octobre 2020, la Haute juridiction administrative a estimé que la suspension de la Plateforme n’était pas justifiée dans la mesure où elle ne portait pas atteinte au droit au respect à la vie privée et à la protection des données personnelles, tout en enjoignant à Microsoft de consolider ses garanties de protection des données.
1. Pas d’atteinte grave et manifestement illégale aux droits fondamentaux ?
Le juge des référés fonde sa décision sur la base de deux critères. Il évalue le risque de transfert de ces données vers les Etats-Unis d’un côté à travers le contrat formé avec Microsoft, et de l’autre via la possibilité d’accès aux données par les services de renseignement américains.
- Sur le contrat conclu avec Microsoft :
Le contrat conclu le 15 avril dernier entre les parties a pour objet l’hébergement et l’utilisation de logiciels nécessaires au traitement des données de santé du Health Data Hub.
Début septembre, un avenant au contrat ajoutait l’obligation pour Microsoft de ne pas traiter les données de la Plateforme en dehors de l’UE sans son autorisation. Cela était sans compter sur l’arrêté du 9 octobre 2020 interdisant tout transfert de données personnelles en dehors de l’UE.
Partant de là, le Conseil d’Etat considère que les données de santé ne sauraient faire l’objet de transferts en dehors de l’UE en application du contrat entre la Plateforme et Microsoft, excluant ainsi toute atteinte grave et manifestement illégale portée au droit au respect de la vie privée et à la protection des données personnelles.
- Sur l’accès aux données par les autorités américaines :
Le droit américain autorise les services de renseignement à accéder à certaines données traitées par des sociétés américaines, quand bien même ces données seraient hébergées sur le territoire de l’UE et que des dispositions contractuelles s’y opposeraient.
Le juge des référés relève ainsi qu’il ne peut être totalement exclu que Microsoft soit amené à faire droit aux demandes des autorités américaines.
Toutefois, il rappelle que l’arrêt de la CJUE ayant invalidé le Privacy Shield s’est seulement prononcé sur les conditions dans lesquelles peuvent avoir lieu des transferts de données vers les Etats-Unis, et non sur les conditions dans lesquelles peuvent être traitées les données sur le territoire de l’UE. Autrement dit, les sociétés américaines n’ont aucune interdiction de traiter des données au sein de l’Union européenne.
Le Conseil d’Etat relève par ailleurs qu’aucune violation du RGPD n’est intervenue à ce jour et que cette situation demeure hypothétique, car cela impliquerait que Microsoft ne soit pas en mesure de s’opposer à une demande d’accès des autorités américaines, si celles-ci y voyaient un intérêt.
De surcroît, le fait que les données de santé soient pseudonymisées avant d’être transmises et chiffrées par la Plateforme, et qu’il existe un intérêt public important à permettre la poursuite de l’utilisation des données de santé pour les besoins de l’épidémie du Covid-19 ne constituent pas une atteinte grave et manifestement illégale aux droits qui justifierait sa suspension immédiate.
2. Divergence d’opinion entre la CNIL et le Conseil d’Etat
Dans le cadre de ce recours, la CNIL fut invitée par le Conseil d’Etat à produire des observations. Elle considère notamment que le choix d’un hébergeur soumis au droit américain semble incompatible avec les exigences de protection de la vie privée dans la mesure où Microsoft conserve la possibilité d’accéder aux données traitées par la Plateforme malgré leur chiffrement, et que le risque de demande d’accès des autorités américaines ne peut être totalement écarté. La CNIL suggérait dès lors un changement d’opérateur ou l’apport de garanties spécifiques, et recommandait l’aménagement d’une période de transition pour atteindre cet objectif. Peu d’observations auront donc été suivies par le juge des référés.
3. Microsoft : faute d’alternative satisfaisante ?
Bien que le juge des référés ait ordonné à Microsoft d’apporter davantage de garanties suffisantes de protection des données dans l’avenant au contrat, la solution retenue par le Conseil d’Etat laisse place à la réflexion.
Il ressort de cette décision que les moyens techniques proposés par Microsoft sont « sans équivalent à ce jour » et justifient son maintien comme hébergeur en raison de « l’absence de solution technique alternative satisfaisante » compte tenu de l’urgence de la situation.
A défaut de pouvoir rivaliser face à la position dominante des GAFAM, n’était-il pas temps d’utiliser l’une de nos seules armes à disposition, à savoir le droit, pour favoriser le développement français ou européen et pouvoir à terme rivaliser avec les géants américains, tout en offrant des solutions protectrices de nos données personnelles ?
***
Le cabinet HAAS Avocats est spécialisé depuis plus de 20 ans dans la protection des données personnelles et se tient à vos côtés pour vous accompagner dans la conformité de vos traitements de données. Pour en savoir plus, contactez-nous ici.