Hébergement des données de santé : la CNIL rejette le choix Microsoft

Nouvelle conséquence de l’arrêt Schrems II sur l’invalidation du Privacy Shield. Comme l’a révélé Médiapart, la CNIL recommande chaudement que le Health Data Hub soit à bref délai géré par un acteur non soumis au droit américain. Une gifle pour Microsoft, société prise en tenaille entre les lois de surveillance américaines et le RGPD.

La question de la plateforme des données de santé (PDS ou HDH) revient à la charge. Une procédure d’urgence a été initiée par le collectif SantéNathon. Il « s’oppose à la centralisation chez Microsoft Azure des données de santé de plus de 67 millions de personnes et attaque l'État ».

Ce référé-liberté a été déposé dans le sillage de l’invalidation de l’accord Privacy Shield le 16 juillet dernier. La voie principale pour le transfert des données à caractère personnel des Européens vers les États-Unis a été torpillée par la justice européenne. Deux motifs : les pouvoirs des services de renseignement sur ces données et l’absence de droit au recours.

• Retour sur l'invalidation du Privacy Shield par la justice européenne

Devant le Conseil d’État, les requérants « sollicitent la suspension du traitement et la centralisation des données au sein du Health Data Hub. Ils font également valoir que les engagements contractuels conclus entre la société Microsoft et le Health Data Hub sont insuffisants » exposent-ils dans leur billet.

La plateforme de gestion des données de santé est censée faciliter « le partage en mettant en relation les producteurs et les utilisateurs publics comme privés selon un processus standardisé, lisible et non discrétionnaire », selon le ministère de la Santé.

Créé par l'article 41 de la loi du 24 juillet 2019 relative à l'organisation et à la transformation du système de santé, ce « hub » est géré par un groupement d'intérêt public. Il a pour vocation d’apporter de nouveaux matériaux en matière de recherche médicale, afin de faciliter la détermination « des prises en charge adaptées et efficaces pour les maladies rares en agrégeant des observations de sources multiples » ou encore le dépistage des états précancéreux « grâce à l’intelligence artificielle ». Et c’est Microsoft qui a été choisie pour abriter ces données sensibles.

Depuis, les nuages s'amoncellent pour le géant. « Nous travaillons avec Olivier Véran, après le coup de tonnerre de l'annulation du Privacy Shield, au transfert du Health Data Hub sur des plates-formes françaises ou européennes » a exposé hier Cédric O devant la Commission d'enquête au Sénat. « La décision est actée » nous signale l’entourage du ministre. Hier, lors de l’audience au Conseil d’État, le ministère de la Santé a soutenu une autre doctrine, faisant valoir « qu'il n'y a pas d'alternative à Microsoft pour le HDH », au point de mettre « en garde contre une décision qui aurait des conséquences désastreuses au-delà du HDH ». 

L'effet de l'arrêt Schrems II sur le Heath Data Hub

Alors que la doctrine de l’exécutif est visiblement dans le brouillard, la CNIL a été invitée à fournir ses observations à la juridiction administrative.

Le document révélé par Médiapart est riche, puisqu’il témoigne des nouveaux effets de l’arrêt de la CJUE.

La Commission n’a pas eu de difficultés à relever que les données « au repos » étaient bien stockées en Europe. Elle signale toutefois que ces derniers mois, la plateforme des données de santé a dû signer avec Microsoft un avenant pour limiter le risque de transfert vers les États-Unis, « y compris pour la résolution des incidents ».

Pourquoi ? Microsoft appuie ces opérations sur des clauses contractuelles types, un autre véhicule proposé par le RGPD. Ces clauses ont été certes validées en juillet dernier, mais la Cour de justice a toutefois exigé des responsables de traitement une sérieuse mise à jour des contrats. L'enjeu ? S’assurer que le pays de destination offre bien un niveau de protection équivalent à l’UE. L'exercice est périlleux au regard de la gourmandise des lois de surveillance américaines.

• Le RGPD expliqué ligne par ligne (articles 1 à 23)
• Le RGPD expliqué ligne par ligne (articles 24 à 50)
• Le RGPD expliqué ligne par ligne (articles 51 à 99)

Alors que son instruction était en cours, la Commission n’est toujours pas assurée que l’avenant puisse prohiber l’intégralité des traitements au-delà de l’Atlantique. Une certitude : en cas de transfert réalisé à la demande de la PDS, de Microsoft ou même d’un utilisateur, elle considère qu’ils seront nécessairement illégaux.

On ne divulgue rien, sauf quand on doit divulguer

Mais le principal apport de ses observations concerne les traitements qui seraient réalisés cette fois à la demande des services de renseignement américains. Sur ce point, l’avenant au contrat précise que Microsoft « ne divulguera ni ne donnera accès à une quelconque donnée traitée aux autorités, sauf si la loi l’exige ».

Problème, le FISA (Foreign Intelligence Surveillance Act) donne, à sa section 702, un levier aux services pour se voir fournir des fournisseurs américains des renseignements relatifs à des personnes situées en dehors des États-Unis. De même l’Executive Order 12 333 orchestre des techniques d’interception sur les signaux par les services, sans nécessairement appeler l’assistance des entités soumises au droit national.

Le FISA comme l’EO 12 333 ont été l’un et l’autre mis à l’index par la justice européenne. Et la CNIL de craindre sans mal que Microsoft puisse toujours être soumise « à des injonctions des services de renseignement l’obligeant à leur transférer des données stockées et traitées sur le territoire de l’Union européenne ».

Sur ce point, le RGPD est limpide. Il prévoit que « toute décision d'une juridiction ou d'une autorité administrative d'un pays tiers exigeant d'un responsable du traitement (…) qu'il transfère ou divulgue des données à caractère personnel ne peut être reconnue ou rendue exécutoire de quelque manière que ce soit », sauf hypothèse d’un accord international.

L’UE n’ayant pas de tel accord avec les États-Unis, la CNIL estime que ces demandes s’analysent comme des « divulgations non autorisées par le droit de l'Union ».

Soustraire les données de santé de l'emprise américaine

Dans ses observations, elle demande donc que les données de santé soient soustraites à « la possibilité d’une communication aux services du renseignement sur le fondement de la loi FISA, voire de l’EO 12 333 ».

Pour cela, deux pistes. « La solution la plus effective consiste à confier l’hébergement de ces données à des sociétés non soumises au droit étasunien, sans préjudice de la législation sur les contrats et sur les marchés publics », un point déjà épinglé par le collectif.

L’autre option viserait à ce que Microsoft s’associe avec une société européenne qui, seule, aurait possibilité d’agir sur les données déchiffrées. Redmond pourrait alors apporter ses services, son expertise. Mais pas plus.

En tout cas, une telle réforme doit intervenir « dans un délai aussi bref que possible ». Selon la doctrine de la CNIL, l’article 49 du RGPD, qui autorise exceptionnellement les transferts nécessaires « à la conclusion ou à l'exécution d'un contrat conclu dans l'intérêt de la personne concernée », pourrait servir de base légale.

L’idée étant d’aboutir à un hébergement souverain, répondant à l’intérêt public manifeste de ne pas casser les flux brutalement. La CNIL demande en attendant au ministère de la Santé « d’évaluer en urgence l’existence de fournisseurs alternatifs et leurs capacités, tant en volume de stockage qu’en qualité de service, afin d’évaluer la durée nécessaire pour assurer cette transition, la plus courte possible ».

La décision du Conseil d’État est attendue la semaine prochaine.

• Télécharger les observations de la CNIL