Brève

Health Data Hub, la Cnil siffle la fin de partie pour les hébergeurs non européens

Publié le 07/01/2021

Sous la plume de notre confrère Laurent Delattre, une mise au point clarifie la position du gendarme de l’information personnelle française. « La Cnil ne veut pas d’une plateforme de données de santé hébergée sur Azure de Microsoft. Sa position est très claire et son dernier avis ne laisse guère le choix au gouvernement. »

HDH

« La Plateforme de données de santé (PDS), connue sous le nom de Health Data Hub est devenue un piège politique qui risque de transformer une bonne idée en « Bérézina ». Controversée de toutes parts, la plateforme voit se succéder les recours devant le Conseil d’État. Si certains rejettent l’idée même d’une telle plateforme (ne croyant pas à l’anonymisation des données), d’autres critiquent ouvertement le choix de Microsoft Azure comme hébergeur de la plateforme.

Rejoignant la position d’un collectif mené par InterHop, le SMG (Syndicat de la médecine générale), et le SNJ (Syndicat national des journalistes), la Cnil estime que la décision de la Cour de justice de l’Union européenne d’annuler le Privacy Shield change la donne. Elle vient officiellement de demander au gouvernement de rapatrier « au plus vite » la plateforme PDS sur un cloud européen.

Depuis quelques jours, Microsoft doit bien avoir compris que la PDS n’a plus droit d’hébergement sur son cloud. Le 9 octobre, un arrêté publié au journal officiel et signé Olivier Véran (ministre de la Santé et des Solidarités) interdit tout transfert de données à caractère personnel hors de l’Union européenne. Depuis ce jour, Cédric O, le secrétaire d’État au numérique, répéte qu’il prépare, avec Olivier Véran, le transfert de la PDS à un prestataire local. »

La Cnil a remis la semaine dernière un mémoire au Conseil d’État qui va dans ce sens. Ce n’est finalement qu’un durcissement d’une position déjà clairement exprimée en juin avant l’annulation du Privacy Shield. À l’époque, la Cnil affirmait que « eu égard à la sensibilité des données en cause, la Cnil souhaitait que son hébergement et les services liés à sa gestion puissent être réservés à des entités relevant exclusivement des juridictions de l’Union européenne ».

Sur la base sur ce mémoire, le choix d’un prestataire local pour accueillir la PDS ne va pas être simple. Car la Cnil a formulé des impératifs :

« La suppression du Privacy Shield par la CJUE doit conduire à modifier les conditions d’hébergement de la PDS ainsi que celles des autres entrepôts de données de santé qui sont hébergés par des sociétés soumises au droit étatsunien. » Autrement dit, aucune entreprise ne doit plus stocker la moindre donnée de santé sur AWS, Azure, Google Cloud, IBM Cloud et Oracle Cloud quand bien même ses clouds ont reçu la très contraignante certification « HDS » ! On peut dès lors s’interroger du bien-fondé de cette certification. « Il est également peut-être possible de mettre en place un dispositif contractuel par lequel la société américaine met en place un accord de licence avec une société européenne qui a seule la possibilité d’agir sur les données chiffrées sans que celle-ci n’ait jamais un accès aux données. Sa faisabilité est étudiée en lien avec ses homologues dans le cadre des travaux sur les mesures additionnelles envisagées par l’arrêt Schrems II pour les clauses contractuelles types. »

L’arrêt Schrems II de la Cour de justice européenne qui a invalidé le Privacy Shield a pourtant rappelé la validité des clauses contractuelles types adoptées par la Commission européenne et prévues par le RGPD pour encadrer les transferts de données personnelles vers des pays tiers. La Cnil laisse cependant entendre notamment par son « peut-être » qu’elles pourraient ne pas suffire voire être remises en cause prochainement. De quoi inquiéter les DSI et DPO.

« La Cnil souligne qu’il ne suffit pas que l’hébergeur ait son siège social hors des États-Unis pour ne pas être soumis en partie au droit étasunien s’il exerce une activité dans ce pays. »

Les choses se corsent puisque non seulement les données ne peuvent plus être confiées à des clouds américains, mais elles ne peuvent plus non plus être confiées à des clouds européens ayant des datacenters aux Etats-Unis. Certes, la Cnil estime qu’« il revient à l’hébergeur européen de montrer que des mesures organisationnelles appropriées lui permettent d’assurer le niveau de protection requis », mais l’organisme reste en réalité très flou sur le sujet avouant qu’il « étudie la question en lien avec ses homologues ».

En un mot, si l’on veut faire simple, les données de santé ne peuvent plus aujourd’hui être stockées que sur des acteurs locaux. Ce qui amène à se poser la question de savoir si les entreprises du secteur de la santé n’ont tout simplement pas intérêt à oublier tout cloud public.

« La CNIL souligne qu’elle fonde sa position sur les particularités des données de santé et n’émet d’opinion que sur ce seul cas. »

C’est le point positif. Toutes ses restrictions ne sont, pour l’instant tout au moins, applicables qu’aux seules données de santé. Pour les autres données personnelles, les débats restent ouverts en attendant l’arrivée d’un nouvel accord entre l’Europe et les États-Unis. Et les clauses contractuelles types devraient se montrer suffisantes.

Les débats sont loin d’être clos et aujourd’hui DSI, RSSI et DPO se retrouvent dans des situations très incertaines. C’est aussi un coup dur pour les clouds Américains, mais pas uniquement. Car finalement, certaines des affirmations de la Cnil peuvent également être un frein à l’émergence du cloud souverain européen Gaia-X, alors que bien des acteurs européens du projet ont des datacenters et des activités aux Etats-Unis. Tous ces débats sont en train de porter un coup dur à l’idée même du cloud public et par voie de conséquence à l’agilité numérique des entreprises…

Saisi par plusieurs syndicats et associations afin de suspendre en urgence la plateforme Health Data Hub, le juge des référés du Conseil d’Etat estime que « les données personnelles hébergées aux Pays-Bas dans le cadre d’un contrat avec Microsoft ne peuvent légalement être transférées en dehors de l’Union européenne » . Néanmoins il ajoute que « si le risque ne peut être totalement exclu que les services de renseignement américains demandent l’accès à ces données, il ne justifie pas, à très court terme, la suspension de la Plateforme, mais impose de prendre des précautions particulières, sous le contrôle de la Cnil. »

Dans le détail, Le juge des référés du Conseil d’Etat relève que la Plateforme des données de santé et Microsoft se sont engagés, par contrat, à refuser tout transfert de données de santé en dehors de l’Union européenne. Un arrêté ministériel pris le 9 octobre 2020 interdit, en outre, tout transfert de données à caractère personnel dans le cadre de ce contrat.

Il relève également que la CJUE n’a pas, à ce jour, jugé que le droit européen de la protection des données interdirait de confier le traitement de données, sur le territoire de l’Union européenne, à une société américaine.

En outre, il ajoute qu’une violation du règlement général sur la protection des données (RGPD) demeure dans un tel cas hypothétique. Elle supposerait que Microsoft ne soit pas en mesure de s’opposer à une éventuelle demande des autorités américaines, d’autant que l’entreprise a déjà maintes fois fait opposition devant les tribunaux aux demandes des services américains.