En attendant une solution plus pérenne, le Conseil d’État ordonne une mise à jour des contrats signés avec Microsoft pour réduire le risque d’une surveillance par les services du renseignement américains. Il refuse ceci dit de mettre un terme à cet accord. Les requérants annoncent poursuivre la bataille au fond.
Plusieurs associations, dont le Conseil national du logiciel libre, réclamaient la suspension de la centralisation et du traitement de données en lien avec l’épidémie sur le Health Data Hub. La plateforme hébergée par Microsoft, seul prestataire ayant été identifié par les autorités pour assurer de telles prestations.
Devant le Conseil d’État, dans le cadre d’une procédure d’urgence, elles ont dénoncé « une atteinte grave et manifestement illégale au droit au respect de la vie privée et au droit à la protection des données personnelles ».
À l’index ? « La soumission au droit américain de la société choisie pour assurer la solution technique de la Plateforme des données de santé, sans garanties suffisantes ». Deux risques identifiés : « le transfert de données vers les États-Unis » et « l’application extraterritoriale du droit américain ».
En substance, elles craignent que les autorités américaines puissent avoir accès à ces données classées comme sensibles par le RGPD, ce alors que la justice européenne, dans le fameux arrêt Schrems 2, a marqué sa volonté de protéger davantage les données personnelles des européens face aux programmes de surveillances américains (l’article 702 du « Foreign Intelligence Surveillance Act » (FISA) et l’ « Executive Order (EO) 12333 »)
De son côté, le ministre de la Santé a conclu au rejet de cette requête. Considérant que les conditions de cette procédure n’étaient pas remplies, aussi bien s’agissant de l’urgence que de l’existence d’une atteinte grave et manifestement illégale portée à une liberté fondamentale.
Pas de risque de transfert, en application du contrat
Au stade de l’instruction, la juridiction administrative va considérer qu’ « il n’apparaît pas que des données à caractère personnel du système de santé puissent à ce jour faire l’objet de transferts en dehors de l’Union européenne en application du contrat conclu entre la Plateforme des données de santé et Microsoft ».
Elle s’appuie sur les engagements pris par les uns et les autres, outre l’arrêté publié samedi au Journal officiel, prohibant de telles opérations.
Toutefois, la CNIL avait bien relevé, comme les requérants, que le problème n’est pas vraiment là, mais se concentre dans l’appétit des lois de surveillance sur les données étrangères gérées notamment par des fournisseurs de services américains.
Microsoft tenue malgré tout de mettre à jour ses contrats
Dans les contrats passés avec la plateforme, Microsoft s’engage certes à ne pas divulguer « les données traitées aux pouvoirs publics, sauf si elle y est tenue par la loi ».
Passée au tamis du Conseil d’État, le juge du référé exige toutefois une précision de rigueur qui devra être apportée dans les 15 jours : la loi dont il est ici en question ne peut être qu’issue du droit de l’Union européenne ou de l’un des États membres.
En creux, Microsoft, pris dans un étau, ne pourra juridiquement ouvrir les vannes au profit des autorités américaines, malgré la gourmandise des textes en vigueur outre-Atlantique.
Dans ses observations écrites, la Commission nationale de l’informatique et des libertés a considéré que malgré tout, les risques d’une demande provenant d’outre-Atlantique ne pouvaient être écartés.
L’analyse est partagée par le Conseil d’État. « Les mesures techniques mises en oeuvre par Microsoft ou susceptibles de l’être à brève échéance n’écartent pas toute possibilité pour cette entreprise d’accéder aux données traitées sous la responsabilité de la Plateforme des données de santé, en dépit des précautions, limitant ce risque ».
Concrètement ? « Il ne peut ainsi être totalement exclu, sur le plan technique, que Microsoft soit amenée à faire droit à une demande des autorités américaines fondée sur l’article 702 du FISA, ce qui méconnaîtrait alors les articles 28 et 48 du règlement général sur la protection des données »
Le Conseil d’État refuse de stopper net le mariage avec Microsoft
Face à une telle situation, la juridiction administrative aurait dû presser le bouton « stop ». Mais elle ne l’a pas fait… pour plusieurs raisons cumulatives.
D’un, si en juillet dernier, la Cour de justice a invalidé le Privacy Shield, à savoir le véhicule qui permettait de traiter aux États-Unis des données à caractère personnel glanées en Europe, elle ne s’est pas prononcée sur le cas où ces mêmes données sont traitées en Europe par un acteur américain (ici Microsoft, avec des centres de traitement aux Pays-Bas). Il n’y a donc pas d’illégalité grave et manifeste, conditions exigées pour un référé.
De deux, les requérants n’ont pas plaidé l’existence d’une violation directe du RGPD, « mais seulement le risque d’une telle violation », nuance. Ils épinglent « l’hypothèse où Microsoft ne serait pas en mesure de s’opposer à une demande d’accéder à certaines données formulée par les autorités américaines, si celles-ci y voyaient un intérêt au regard de l’objectif d’obtention d’informations en matière de renseignement extérieur poursuivi ».
Enfin, « il existe un intérêt public important à permettre la poursuite de l'utilisation des données de santé pour les besoins de la gestion de l'urgence sanitaire et de l'amélioration des connaissances sur le SARS-CoV-2 ». Soit l’objet même de la plateforme des données de santé.
À ce titre, le Conseil d’État signale un « recours aux moyens techniques, sans équivalent à ce jour, dont dispose la Plateforme des données de santé par le biais du contrat passé avec Microsoft ». Un point qui fut soutenu par le ministère lors de la signature de cet accord. Cependant, le même Conseil estime que ce choix ne peut être soutenu qu’en l’absence de solution alternative satisfaisante. Soit un nouveau foyer à contentieux.
Le juge des référés va aussi s’appuyer sur les propos de Cédric O, qui a fait part la semaine dernière de son vœu de transférer le Health Data Hub entre les mains de plateformes françaises ou européennes. La CNIL a elle-même émis une idée, au besoin en passant par des accords de licence.
En attendant les épisodes futurs de cette longue série, le Conseil d’État demande à la plateforme « de continuer de rechercher (…) la mise en oeuvre par Microsoft des mesures techniques et organisationnelles appropriées pour garantir au mieux la protection des droits des personnes concernées ». Et à la CNIL de bien vérifier que les projets associés à la plateforme des données de santé « qu’ils poursuivent une finalité d’intérêt public en lien avec l’épidémie de covid-19 ».
Au final, si l’ordonnance rejette le recours des requérants qui aurait conduit à l’interruption de cette plateforme en une période de crise, elle enjoint tout de même le Health Data Hub de justifier dans les 15 jours un nouvel avenant aux documents contractuels l’unissant à Microsoft Ireland.
Un recours qui se poursuit au fond
Dans un communiqué, le collectif à l’origine de ce recours estime que « le Conseil d’État a pris une décision par laquelle il reconnaît que le Health Data Hub hébergé chez Microsoft ne protège pas les données de santé des Français contre les intrusions du gouvernement américain, et ce contrairement à tout ce qui était affirmé depuis des mois par le Ministère de la Santé ». ils applaudissent le souhait de la juridiction en faveur « d’une solution qui permettra d’éliminer tout risque d’accès aux données personnelles par les autorités américaines »,
La procédure d’urgence n’est qu’une première étape. Le collectif annonce qu’il va maintenant saisir la même juridiction cette fois au fond »sur le fond afin de prendre des mesures qui puissent dépasser le « très court terme », ainsi que la CNIL au regard des infractions en cours et passées ».
« C’est une belle victoire », nous commente Jean-Paul Smets, membre du collectif. « Le système va être maintenu à très court terme, mais le ministère va devoir changer. Si on prend maintenant une perspective mondiale, de nombreux pays ont des lois de surveillance et de protection de la vie privée, mais s’espionnent tous. Tant qu’on n’aura pas un traité international sur le sujet, on devra concevoir des architectures de cloud très différentes de celles en vigueur aux États-Unis ou en Chine ».
Commentaires (4)
#1
J’aime bien la justice administrative. L’Etat juge l’Etat et la fin, se trouve des circonstances atténuantes. Au final rien ne change sinon que MS promet par contrat de faire attention.
Mais MS doit obéir sans discuter avec le FBI ou la NSA.
Quelle victoire!
#2
Encore un coup d’épée dans l’eau ! Je l’ai déjà écrit mais il faut que la CNIL indique que les solutions américaines ne sont pas compatibles RGPD, c’est tout ! Microsoft est une société américaine, elle se soumettra d’abord aux lois de son pays avant les lois Européennes et c’est bien normale.
#2.1
Oui. J’apprécie les travaux de la CNIL sur certains domaines, mais ça manque cruellement de contenus directement exploitables.
Que ce soit sur les cookies (bonjour les mesures d’audience de google analytics), les serveurs (AWS, MS) et clouds en général, ils ont volontairement des lignes directrices un peu floues. Du coup tjs ce côté flottant au moment d’appliquer la règle. Une position claire sur les “grands” services, à commencer par ceux des GAFAM, ne seraient pas de refus. Là on est dans le “c’est pas top voire c’est pas bien”, mais sans citer personne et sans propositions d’alternatives directement exploitables. En même temps, je vois pas trop comment remettre en cause l’utilisation de fait de certaines solutions ultra dominantes…
#3
J’ai l’impression que le Conseil d’Etat oublie que les accès à distance peuvent constituer des transferts au sens du RGPD…