Posted by 
Décryptage par Constance Darnige et Eléonore Scaramozzino, Avocat.
L’hébergement par Microsoft Azure des données de santé liées à la Covid-19 a généré une contestation qui s’est traduite par la saisine du Conseil d’Etat dans le cadre d’un référé-liberté. Par ordonnance du 19 juin, le CE a confirmé l’arrêté du 23 avril 2020 autorisant le Health Data Hub, ainsi que la Caisse nationale de l’assurance-maladie (Cnam), à traiter ces données afin de faciliter leur utilisation « pour les besoins de la gestion de l’urgence sanitaire et de l’amélioration des connaissances sur le virus Covid-19 ». Il confirme le choix de Microsoft Azure, comme hébergeur des données du HDH et missionne la CNIL de vérifier l’effectivité des mesures de pseudonymisation. Cette ordonnance nous permet de revenir sur la sécurité des données de santé dans le HDH.
La plateforme des données de santé (le Health Data Hub, ci-après le HDH), instituée par la loi du 24 juillet 2019 sur l’organisation et la transformation du système de santé[1], modifiant l’article L 1461-7 du CSP et créée par le décret de novembre 2019, joue un rôle central dans « MaSanté 2022 », qui vise à une transformation en profondeur de notre système de santé.
Le Health Data Hub facilite la valorisation des données de santé en permettant non seulement l’accès aux données de santé pour la recherche mais également en proposant aux utilisateurs publics et privés une offre de service standardisée autour de quatre axes : accès aux données de santé ; soutien à la collecte et la consolidation des données de santé ; accompagnement de la valorisation/l’analyse des données de santé ; soutien à l’écosystème et le lien avec la société civile. En complément de ces services à la demande, le Hub propose un accompagnement de bout en bout des projets prioritaires, sélectionnés pour leur potentiel de contribution à la recherche, à l’innovation ou encore à la constitution du patrimoine de données partagées via le Hub[2]
Source Rapport Mission de préfiguration HDH, p32.
Le choix de l’hébergeur Microsoft Azure s’est heurté à une contestation dès l’origine du HDH et qui s’est amplifié avec le rôle du HDH dans la gestion de la crise sanitaire. Une quinzaine d’organisations et de personnalité, dont le Conseil National du logiciel libre, le collectif InterHop et le médecin Didier Sicard, ont saisi dans le cadre d’un référé-liberté[3], le Conseil d’Etat afin de suspendre l’exécution de l’arrêté en date du 21 avril 2020. Selon les requérants, ce traitement de données serait de nature à porter atteinte aux droits et libertés fondamentales.
L’arrêté du 21 avril 2020[4] autorise le HDH (article 10-7 de l’arrêté du 23 mars 2020[5]) en cotraitance avec la Caisse Nationale d’Assurance Maladie (CNAM) à traiter des données de santé liées à la Covid-19. La collecte des données (Contact Covid et SI-DEP (système d’information de dépistage[6])) vise à faciliter l’utilisation des données pour les besoins de la gestion de l’urgence sanitaire et de l’amélioration des connaissances sur la Covid-19. Par ailleurs, un projet conduit par la Drees, exploitant les données de passages aux urgences pour l’analyse du recours aux soins et le suivi de la crise sanitaire liée au Covid-19, a nécessité l’hébergement sur la plateforme d’une copie de la base OSCOUR (organisation de la surveillance coordonnée des urgences) de Santé publique France. Sept autres projets sont en cours d’autorisation et cinq en préparation, qui visent à comprendre la maladie, notamment pour i) identifier les facteurs de risque, ii) valider des critères de diagnostic et iii) apprécier l’efficacité de certains traitements ou de certaines prises en charge, iv) à modéliser la propagation de l’épidémie et v) à analyser les conséquences de la crise sanitaire, en particulier pour les patients atteints d’autres pathologies.
Les critiques se focalisent principalement sur la procédure de sélection et sur la nationalité de l’hébergeur.
Sur la procédure
La commande a été passée par l’UGAP [l’Union des groupements d’achats publics] qui fonctionne comme une centrale d’achat et qui se charge de mettre en concurrence. L’offre faisait partie d’un marché du ministère sur la sécurité. La Directrice Générale du HDH soutient que Microsoft était le seul opérateur certifié HDS par un organisme certificateur accrédité par le COFRAC (ou équivalent au niveau européen) [7], selon les normes de l’ANS pour les rangs 1 à 6, dont le rang 5 « l’administration et l’exploitation du système d’information contenant les données de santé ». Par ailleurs, cet hébergeur offre des fonctionnalités qui n’étaient pas à l’époque disponibles chez d’autres hébergeurs. Force est de constater qu’à l’époque du choix, la technologie de Microsoft Azure présentait le niveau de maturité suffisant pour assurer la mise en place d’un environnement de recherche sécurisé, et permettant de répondre également aux besoins fonctionnels des utilisateurs cibles. Par ailleurs, l’opérateur a su répondre aux nombreuses garanties supplémentaires, mesures techniques et de gouvernance imposées par le HDH et définies notamment avec le support et le contrôle de l’ANSSI (Agence Nationale de la Sécurité des Systèmes d’Information).
Plan de réversibilité : La plateforme technologique est développée selon une logique d’« Infrastructure as Code » ou « Infrastructure programmable » à l’aide de langages indépendants, permettant de la redéployer aisément sur une autre solution d’hébergement (du même niveau de maturité). Dans cette optique, une étude de réversibilité a été menée afin de faciliter la migration dès lors qu’une offre française performante sera disponible et sera régulièrement actualisée. Des états de situations sont régulièrement réalisés avec la direction interministérielle du numérique et la direction générale des entreprises afin de faire le point sur l’offre française et la stratégie nationale du cloud souverain et pouvoir basculer sur ces solutions le moment venu. La mise à jour du plan de réversibilité est ainsi indiquée dans la feuille de route stratégique du Health Data Hub[8].
Les conséquences de la nationalité de l’hébergeur sur la préservation de la confidentialité des données de santé du HDH :
En l’espèce les données de santé sont hébergées dans un centre de données situées aux Pays-Bas et devraient être hébergées dans des centres de données situés en France. Le contrat d’hébergement prévoit « la soumission aux exigences de la réglementation française en matière d’hébergement de données de santé ». Comme l’a précisé le Conseil d’Etat, les dispositions du Cloud Act « peuvent s’appliquer à la société Microsoft, comme d’ailleurs aux sociétés françaises qui ont une activité aux Etats-Unis », aucun élément ne prouve que les données de santé pseudonymisées soient « susceptibles de faire l’objet de demandes d’accès sur ce fondement ». Ce qui nous conduit à préciser les conditions de mises en œuvre du Cloud Act et les affaires en cours devant la Cour de Justice de l’Union Européenne (CJUE) pour la licéité des clauses contractuelles type de transfert (Data Protection Commissioner / Facebook Ireland Limited, Maximilian Schrems-Affaire C-311/18). et devant le Tribunal de l’Union européenne pour la licéité de l’accord Privacy Shield (T‑738/16, La Quadrature du Net e.a./Commission)
Les conditions de mise en œuvre du Cloud Act
Le Clarifying Lawful Overseas Use of Data Act ou Cloud Act (H.R. 4943), a été voté par le Congrès le 23 mars 2018, juste alors que la Cour Suprême devait se prononcer sur le différend opposant le Department Of Justice (DOJ) des Etats-Unis à Microsoft (affaire « United States petitioner vs/ Microsoft Corporation »). Dans cette affaire, Microsoft avait refusé de transmettre à DOJ des données stockées en Irlande[9]. Avec l’adoption du Cloud Act, la Cour Suprême n’a donc pas eu à se prononcer sur cette affaire.
Le Cloud Act permet expressément aux autorités américaines d’avoir accès aux données auprès des fournisseurs de services de communications électroniques ou d’hébergement sur le Cloud. Ce pouvoir repose sur le seul critère de l’établissement du fournisseur sur le territoire américain. En conséquence, le lieu d’hébergement des données, la nationalité du titulaire (application aux « US persons » et aux « non US persons ») et la finalité de traitement ne sont plus pris en considération. Il vise également à permettre au gouvernement des Etats-Unis de signer avec des gouvernements étrangers (qualifying foreign governements) des accords internationaux (Executive Agreements) permettant aux autorités respectives de chaque pays de demander directement aux fournisseurs de services de communication, traitement et stockage électroniques de données relevant de la juridiction de l’autre la divulgation des données de communication les intéressant, sans avoir à passer par les procédures beaucoup plus longues des accords classiques d’entraide judiciaire (ou Mutual Legal Assistance Treatise/MLAT) tels que prévus par la Convention de Budapest sur la Cybercriminalité entrée en vigueur le premier juillet 2004[10] ou des commissions rogatoires internationales. Il en résulte qu’un Exécutive Agreement permet ainsi aux autorités américaines de contourner les procédures de demande d’entraide d’État à État et de s’affranchir des règles classiques de la coopération judiciaire internationale (entourée d’un plus grand formalisme, et de certaines garanties et délais). Le projet de règlement E-evidence[11] est le pendant à l’échelle européenne du Cloud Act.
Les conditions de mise en œuvre de la demande de communication
Le Cloud Act précise expressément que les demandes de communication de données concernées par ces accords ne peuvent viser que les infractions les plus graves (« serious crime »). Il ne change rien aux conditions légales dans lesquelles de telles demandes de communication peuvent être formulées par les autorités américaines sur le fondement du Stored Communication Act (SCA) adoptée en 1986. Ainsi, les autorités américaines ne peuvent requérir la communication de données de la part de fournisseurs de services de communication, traitement et stockage électroniques de données placés sous leur juridiction que dans le cadre de procédures judiciaires et si elles disposent d’un mandat (warrant) ou d’un court orders, c’est-à-dire d’un titre délivré par une juridiction et placé sous la protection du Quatrième amendement à la Constitution des Etats-Unis (présomption sérieuse que la personne concernée a commis ou est sur le point de commettre une infraction pénale et que les lieux, objets ou informations visés par le mandat sont utiles à l’enquête). Par ailleurs, le Cloud Act prévoit explicitement que le fournisseur de services auquel les données sont demandées a toujours la possibilité de s’y opposer au motif que la demande, si elle devait être satisfaite, le conduirait à méconnaître la législation d’un pays étranger et l’exposerait à des sanctions (situation de conflits de lois).
Les conditions d’opposition sont différentes selon qu’il existe ou non un « executive agreement» avec le pays dont la loi est susceptible d’être méconnue. En l’absence d’executive agreement, le fournisseur requis peut refuser de communiquer les données sollicitées sur le fondement des common law principles of comity, c’est-à-dire sur le fondement du principe de courtoisie internationale reconnu par les juridictions américaines selon lequel, pour l’application du droit des Etats-Unis, il convient de tenir compte des intérêts importants des autres pays et, le cas échéant, ne pas appliquer ou appliquer de manière nuancée la législation américaine. Par ailleurs, lorsque la procédure repose sur un warrant, l’opposition n’est pas directe. Elle prend la forme d’un argument en défense contre la demande de condamnation de la société requise pour contempt of court.
Cloud Act vs RGPD
Plusieurs Etats, ainsi que l’UE, se sont adressés aux Etats-Unis à travers diverses Amicus Curiae[12] pour critiquer l’extraterritorialité et le champ d’application quasi illimité du Cloud Act. Les critiques sont fondées à la fois sur une approche de droit international public, alléguant d’une atteinte à la souveraineté des Etats par l’extraterritorialité du Cloud Act, et sur une approche de droit international privé, axée sur le risque de conflit d’obligations imposé aux opérateurs. Du point de vue du droit de l’UE, les articles 44 et suivants du RGPD posent le régime des transferts de données auprès d’Etats étrangers. Or le RGPD interdit le transfert de données sur une demande unilatérale d’une autorité étrangère, sauf à se fonder sur un accord international tel un traité d’entraide judiciaire (article 48 du RGPD) ou sur un intérêt public de l’Etat requis (exception de l’article 49 du RGPD). Aucune décision d’adéquation générale n’a été adoptée par la Commission pour les transferts de données vers des autorités publiques américaines. Les propositions E-evidence ouvrent la voie à une clarification de l’articulation entre Cloud Act et RGPD, dans le respect des droits fondamentaux des individus à leur vie privée et à la protection de leurs données personnelles ainsi que de toutes les garanties procédurales de droit pénal. Partant, si ces négociations aboutissent, elles peuvent potentiellement ouvrir la porte à la création d’un modèle global d’échange de données personnelles dans un cadre pénal international.
Position de la CNIL : nécessité d’un accord international
Dans son avis du 20 avril 2020[13], la CNIL a rappelé, comme l’a précisé le CEPD (Comité européen à la protection des données) toute demande d’accès d’une juridiction ou d’une autorité administrative d’un pays tiers » adressée au sous-traitant, en dehors d’un accord international applicable, ou, selon l’interprétation du CEPD, de l’application d’une dérogation relative à l’intérêt vital de la personne concernée, ne pourrait donc être considérée comme licite. Elle recommande expressément que « la Plateforme des données de santé assure un hébergement et un traitement des données sur le territoire de l’Union européenne ». De même, à plus long terme, la CNIL émet le souhait que « eu égard à la sensibilité des données en cause, que son hébergement et les services liés à sa gestion puissent être réservés à des entités relevant exclusivement des juridictions de l’Union européenne ».
Absence de preuve d’un risque de demande d’accès sur la base du Cloud Act
Au regard des conditions d’implémentation du Cloud Act, le CE ne peut que rejeter la demande des requérants. Le juge déclare par ailleurs qu’« à la date de la présente ordonnance et en l’état de l’instruction », le fait que Microsoft « relève du droit américain et puisse être amenée, pour les opérations d’administration de la solution technique qu’elle propose, à transférer des données aux États-Unis », ne peut être regardé comme « portant une atteinte grave et manifestement illégale aux libertés fondamentales que le règlement général pour la protection des données a pour objet de protéger ». Pour lui, notamment, les requérants « n’apportent pas d’éléments dont il ressortirait que les données de santé pseudonymisées » que Microsoft héberge pour le compte du Health data hub «seraient susceptibles de faire l’objet de demandes d’accès » sur la base du Cloud Act.
Sur la licéité des transferts vers les Etats-Unis fondés sur les clauses contractuelles types
L’article 45 du RGPD encadre la protection des données en cas de transfert à un Etat étranger à l’Union Européenne. Ce transfert n’est autorisé que vers un pays tiers qui assure un « niveau de protection adéquat ». L’article 46, paragraphe 1, du RGPD permet un transfert des données à caractère personnel vers des Etats tiers n’autorisant pas un niveau adéquat de protection, dès lors que les garanties appropriées sont apportées par d’autres moyens. Les clauses contractuelles types adoptées par la Commission (art 46.2. c) représentent, à cet égard un mécanise général applicable aux transferts quels que soient le pays tiers de destination et le niveau de protection assuré. Les dispositions contractuelles de sous-traitance conclues entre le HDH et Microsoft Azure, stipulent que les données traitées peuvent être transférées vers les États-Unis pour y être stockées et traitées, ainsi que dans tout autre pays dans lequel le sous-traitant ou ses sous-traitants ultérieurs sont implantés. Ces transferts font l’objet d’un encadrement conformément au Chapitre V du RGPD, étant régis en l’espèce par des clauses contractuelles types, conformément à l’article 46-2-c de ce règlement. Sur le fondement juridique de l’article 26, paragraphe 4, de la directive 95/46, compris comme faisant référence à l’article 46, paragraphe 2, sous c), du RGPD qui en reprend essentiellement le contenu, la Commission a adopté une décision d’exécution (UE) 2016/2297[14] du 16 décembre 2016, modifiant les décisions 2001/497/CE et 2010/87/UE relatives aux clauses contractuelles types pour le transfert de données à caractère personnel vers des pays tiers et vers des sous-traitants établis dans ces pays. La licéité de cette décision est examinée par la Cour de Justice de l’Union européenne (CJUE)- Data Protection Commissioner / Facebook Ireland Limited, Maximilian Schrems (Affaire C-311/18). L’arrêt devrait intervenir dans les prochains mois.
Dans cette affaire, M. Schrems demande à l’autorité de contrôle d’ordonner à Facebook Ireland de suspendre le transfert vers les États‑Unis, effectué sur la base de clauses contractuelles, des données personnelles le concernant. Le requérant invoque essentiellement « le caractère inapproprié de ces garanties contractuelles au regard des ingérences dans l’exercice de ses droits fondamentaux découlant des activités des services de renseignement américains[15]. ». Saisie par la High Court (Irlande) le 9 mai 2018 dans le cadre d’une question préjudicielle, la CJUE doit se prononcer sur la validité de la décision 2010/87 modifiée par la décision de la Commission 2016/2297 (« la décision CCT »). Les données à caractère personnel, transférées sur le fondement de la décision CTT, vers les Etats-Unis, sont susceptibles d’être traitées à des fins de sécurité nationale, mais également de maintien de l’ordre public et de conduite des affaires étrangères du pays tiers.
Position de l’Avocat Général dans ses conclusions relatives à l’affaire Data Protection Commissioner / Facebook Ireland Limited, Maximilian Schrems (C-311/18)
Dans ses conclusions, présentées le 19 décembre 2019, l’avocat général M. Henrik Saugmandsgaardoe précise que « 126. (….) le mécanisme contractuel prévu à l’article 46, paragraphe 2, sous c), du RGPD repose sur la responsabilisation de l’exportateur ainsi que, à titre subsidiaire, des autorités de contrôle. C’est au cas par cas, pour chaque transfert spécifique, que le responsable du traitement ou, à défaut, l’autorité de contrôle, examinera si le droit du pays tiers de destination fait obstacle à l’exécution des clauses types et, partant, à une protection appropriée des données transférées, si bien que les transferts doivent être interdits ou suspendus ».
Selon le « jugement de la High Court (Haute Cour) du 3 octobre 2017, le droit des États‑Unis[16] autorise l’interception de communications étrangères par les services de renseignement américains la surveillance par les autorités et agences gouvernementales, le fonctionnement de deux programmes de surveillance publiquement reconnus (« PRISM » et « Upstream »). D’après la High Court « (64) (…) les activités de la NSA fondées sur l’EO 12333, lequel peut être amendé ou révoqué à tout moment par le président des États‑Unis, ne sont pas régies par la loi, ne font pas l’objet d’une (surveillance judiciaire et ne sont pas susceptibles de recours juridictionnels » (65) (…) Sur la base de ces constatations, cette juridiction considère que les États‑Unis procèdent à des traitements massifs et indiscriminés de données à caractère personnel qui pourraient exposer les personnes concernées à un risque de violation des droits qu’elles tirent des articles 7 et 8 de la Charte. ». L’Avocat Général rappelle que « l’article 58, paragraphe 2, sous f) et j), du RGPD oblige les autorités de contrôle, lorsqu’elles estiment, au terme d’un examen diligent, que des données transférées vers un pays tiers ne bénéficient pas d’une protection appropriée en raison du non‑respect des clauses contractuelles convenues, à prendre les mesures adéquates pour remédier à cette illégalité, si nécessaire en ordonnant la suspension du transfert » Il souligne « qu’une décision d’exécution de la Commission, telle que la décision 2010/87, ne saurait valablement restreindre les pouvoirs conférés aux autorités de contrôle en vertu du RGPD lui-même (142) » . L’autorité doit suspendre le transfert si elle conclut que les clauses contractuelles types ne sont pas respectées et qu’une protection appropriée des données transférées ne peut pas être assurée par d’autres moyens, à défaut pour l’exportateur d’avoir lui‑même mis fin au transfert. Toutefois l’Avocat Général reconnaît « les difficultés pratiques liées au choix législatif de faire reposer sur les autorités de contrôle la responsabilité de veiller au respect des droits fondamentaux des personnes concernées dans le cadre de transferts spécifiques ou de flux vers un destinataire donné. ( 153) ». Cependant, il estime que ces difficultés ne conduisent pas à l’invalidité de la décision 2010/87. Le droit de l’Union n’exige pas, une solution globale pour l’ensemble des transferts vers un pays tiers déterminé. Il considère que « (158) la validité de cette décision ne dépend pas du niveau de protection existant dans chaque pays tiers vers lequel des données pourraient être transférées sur le fondement des clauses contractuelles types qu’elle énonce. Si le droit de l’État tiers de destination empêche l’importateur d’observer ces clauses en exigeant qu’il concède aux autorités publiques un accès aux données qui ne s’accompagne pas de possibilités de recours appropriées, il incombe, à défaut pour l’exportateur d’avoir suspendu le transfert en vertu de la clause 5, sous a) ou b), figurant à l’annexe de la décision 2010/87, aux autorités de contrôle d’adopter des mesures correctrices. ». Selon l’Avocat Général, la décision 2010/87 est donc valide.
Bien évidemment, les conclusions de l’avocat général ne lient pas la Cour de justice. La mission des avocats généraux consiste à proposer à la Cour, en toute indépendance, une solution juridique dans l’affaire dont ils sont chargés. L’arrêt de la CJUE est attendu dans les mois qui viennent.
La licéité du Privacy Shield en question
La décision de Privacy Shield fait l’objet d’un recours en annulation pendant devant le Tribunal de l’Union européenne (affaire pendante T‑738/16, La Quadrature du Net e.a./Commission ). Dans le cadre de question préjudicielle relative à l’affaire qui oppose M Schrem à Facebook[17], la CJUE pourrait également se prononcer sur la validité de l’accord Privacy Shield. Le transfert de données depuis l’UE en direction des Etats-Unis est encadré par le « EU-US Privacy Shield », qui remplace le Safe Harbor[18] (décision d’adéquation de la Commission européenne n° 2000/520/CE, du 26 juillet 2000) invalidé par la Cour de Justice de l’Union européenne dans son arrêt du 6 octobre 2015, Schrems (C-362/14). Le Privacy Shield (Bouclier de protection des données UE-Etats-Unis) fut accepté le 12 Juillet 2016 par la Commission Européenne[19] en considérant que ses garanties relatives à la protection des données personnelles et de la vie privée sont du même niveau que celles applicables dans l’UE. La décision Privacy Shield se compose non seulement de principes auxquels doivent adhérer les entreprises qui souhaitent transférer des données sur le fondement de ladite décision, mais également des observations et engagements officiels obtenus de la part du gouvernement des États‑Unis et figurant dans les documents annexés. Il ressort du point I.5 de l’annexe II que l’adhésion des entreprises aux principes énoncés dans cette décision peut être limitée, notamment, par des exigences relatives à la sécurité nationale, à l’intérêt public et au respect de la législation ou par des obligations contradictoires tirées du droit américain. La Commission a évalué les garanties prévues dans le droit des États‑Unis en ce qui concerne l’accès aux données transférées et leur utilisation par les autorités publiques américaines à des fins, en particulier, de sécurité nationale. Elle a obtenu de la part du gouvernement américain certains engagements concernant, d’une part, les limitations à l’accès et à l’utilisation par les autorités américaines des données transférées[20] ainsi que, d’autre part, la protection juridique offerte aux personnes concernées[21].
Le Parlement européen[22], l’EDPB[23] et le CEPD[24] ont exprimé des préoccupations sur l’adéquation du niveau de protection contre les ingérences découlant des activités des services de renseignement américains. Le texte cherche également à offrir des voies de recours aux justiciables européens. A cet égard, il institue un médiateur au sein du « département d’Etat » et appelé Ombudsman, ainsi qu’une collaboration plus étroite avec les autorités de contrôle nationales.
Dans ses conclusions, l’avocat général M. Henrik Saugmandsgaardoe propose à la Cour de s’abstenir de se prononcer sur l’incidence du Privacy Shield sur le traitement de la plainte formée par M Schrems devant la DPC et sur la validité de cette décision. Il mentionne notamment le fait que « La procédure prévue à l’article 267 TFUE instituant un dialogue entre juges, la Cour n’est pas appelée à apporter un éclairage à l’unique fin d’assister une autorité administrative dans le cadre d’une procédure sous‑jacente à ce litige. » Il précise que la question de la validité de la décision «Privacy Shield» n’a pas été expressément déférée à la CJUE. Toutefois, il indique dans ses conclusions, ses doutes sur la conformité du Privacy Shield au niveau adéquat de protection au sens de l’article 45, paragraphe 1, du RGPD, lu à la lumière des articles 7,8 de la Charte ainsi que de l’article 8 de la CEDH[25] et sur la validité du Privacy Shield au regard du droit à un recours effectif. L’accès à un tribunal indépendant relève du contenu essentiel du droit garanti à l’article 47 de la Charte. Ce droit à la protection juridictionnelle individuelle s’ajoute à l’obligation, pesant sur les Etats membres en vertu des articles 7 et 8 de la Charte, de soumettre toute mesure de surveillance, sauf cas d’urgence dûment justifiés, à un contrôle préalable par un tribunal ou une autorité administrative indépendante[26]. L’arrêt de la CJUE est attendu dans les mois qui viennent.
Les mesures de pseudonymisation sous contrôle de la CNIL
Le HDH est ultra-sécurisé. Outre le RGPD et la PGSSIS, le Health Data Hub respecte le référentiel de sécurité du Système National des Données de Santé (SNDS). Pour garantir la sécurité des données de santé, le HDH a dû accomplir en quelques semaines des opérations dont certaines très structurantes, alors que leur mise en œuvre était prévue sur plusieurs mois.
Le référentiel de sécurité SNDS
Le HDH, comme la CNAM (coresponsable des traitements SEDIP et Contact Covid) est soumis au respect d’un référentiel fixé par arrêté du ministre de l’économie et des finances et de la ministre des affaires sociales et de la santé du 22 mars 2017 en vertu du 3° du IV de l’article L. 1461-1 du code de la santé publique. Le Référentiel de sécurité SNDS précise les exigences générales pesant sur chaque gestionnaire de systèmes du système national des données de santé et les exigences à respecter pour le transfert de données, l’accès aux données, leur pseudonymisation, la traçabilité des accès, le contrôle, les droits des personnes et l’homologation du système par le responsable du traitement.
Dans le rapport sur la mission de préfiguration du HDH, il est précisé que : « Si le Hub était désigné opérateur de service essentiel, il devrait également respecter les règles de sécurité associées et formulées dans l’arrêté du 14 septembre 2018 fixant les règles de sécurité et les délais mentionnés à l’article 10 du décret n° 2018-384 du 23 mai 2018 relatif à la sécurité des réseaux et systèmes d’information des opérateurs de services essentiels et des fournisseurs de service numérique »[27]. Cette procédure s’applique sans préjudice, notamment, de contrôles externes, notamment sur les actions de sécurisation mises en œuvre, un nouvel audit par la société Orange Cyberdéfense, prestataire qualifié « prestataire d’audit de sécurité des systèmes d’information » par l’Agence nationale de la sécurité des systèmes d’information étant ainsi prévu en septembre 2020, après un premier audit par la société Amossys en novembre 2019.
Le contexte de sécurité de la plateforme a été défini dans le cadre d’une démarche conduite en collaboration avec l’Agence Nationale de la Sécurité des Systèmes d’Information (ANSSI) et le Haut fonctionnaire de défense et de sécurité du ministère des solidarités et de la santé. La protection est définie à l’aide de plusieurs niveaux de sécurité basés sur des solutions indépendantes et certifiées nationalement ou internationalement. Le HDH a opté pour une logique de compartiments. L’intégralité des actions réalisées par les utilisateurs classiques et à privilèges sont tracées en continu, et archiver quotidiennement chez un tiers-archiveur français de confiance.
Seules les données pseudonymisées arrivent sur la plateforme. Les données ne sont pas anonymisées, afin de permettre leur utilisation dans la recherche et l’innovation. L’anonymisation réduirait leur valeur et donc le champ de leurs utilisations.
Bernard Ourghanlian, CTO et CSO chez Microsoft France, dans une note de blog, précise les différentes étapes auxquelles l’hébergeur cloud a recours pour pseudonymiser les données de santé : «les données d’identification d’un patient sont (1) transformées initialement en un hash ne permettant pas de retrouver l’information initiale permettant d’identifier le patient à savoir son numéro de sécurité sociale, (2) transmises à travers un canal chiffré dont les clés de chiffrement ne sont pas connues de Microsoft, (3) le hash ainsi reçu est à son tour transformé en un nouveau hash qui sera ensuite utilisé dans les traitements réalisés sur les données de santé, (4) la table de correspondance entre le premier hash et le second est chiffrée au sein d’une sous-partie isolée de l’espace opérateur avec une clé dédiée dont l’utilisation nécessitera l’action conjointe de deux employés de la plateforme HDH ».
Dans le cas particulier d’un appariement déterministe au moyen du NIR (le numéro de sécurité sociale en France, officiellement appelé numéro d’inscription au répertoire des personnes physiques – abrégé en NIRPP ou plus simplement NIR) des personnes concernées, via le circuit CNAM, un pseudonyme obtenu à partir d’une fonction cryptographique irréversible appliquée au NIR est également fourni à la Plateforme des données de santé.
Le NIR sera transformé à travers un algorithme de hachage qui, à partir d’une donnée fournie en entrée, calcule une empreinte numérique servant à identifier rapidement la donnée initiale. Une fonction de hachage cryptographique est ce que l’on appelle une fonction à sens unique, ce qui veut dire que le calcul de la fonction de hachage est facile et rapide tandis que le calcul de sa fonction inverse est infaisable par calcul et donc non calculable en pratique.
Conservation de la table de correspondance et des clés de chiffrement
Dans son avis, la Commission recommande que ces clés soient stockées dans une base distincte gérée par la Plateforme de données de santé elle-même ou bien par un autre sous-traitant. Lors de la mise à disposition des données au sein des espaces projets, de nouveaux pseudonymes seront générés, assurant ainsi l’utilisation d’identifiants différents au sein de chaque projet pour un même individu. La Commission s’interroge toutefois sur les modalités pratiques de pseudonymisation mise en oeuvre par la Plateforme des données de santé pour cette mise à disposition, notamment en cas de mise à jour des données au sein de ces espaces projets. Elle attire donc l’attention du ministère sur la nécessité de prévoir des modalités de pseudonymisation des données précisant, le cas échéant, le choix de l’opération cryptographique irréversible utilisée ainsi que la procédure de gestion des secrets associés ou encore la sécurité renforcée appliquée en conséquence à la table de correspondance. La Commission relève que les clés de chiffrement seront conservées par l’hébergeur au sein d’un boîtier chiffrant, ce qui a pour conséquence de permettre techniquement à ce dernier d’accéder aux données.
Politique d’habilitation et gestion des identités
Une procédure de gestion des identités et des habilitations est définie par le responsable de la sécurité des systèmes d’information (RSSI) de la Plateforme des données de santé et mise en oeuvre sous la responsabilité du directeur technique. En ce qui concerne la politique d’habilitation d’accès administrateur, la CNIL relève que la fonctionnalité d’accès administrateur n’est pas mentionné dans les contrats fournis et ne couvre pas la totalité des accès. Ce qui remet en doute l’effectivité du contrôle d’accès. Par ailleurs, la fonction exportation des données par les utilisateurs est et doit être intégralement désactivée. La Commission rappelle que seules des données anonymes peuvent être exportées hors d’un environnement homologué conformément à l’arrêté du 22 mars 2017 relatif au référentiel de sécurité applicable au SNDS.
Enfin, la CNIL estime que l’analyse d’impact relative à la protection des données (AIDP) ne détaille pas les modalités de pseudonymisation et les conséquences en termes de risques de ré-identification ne semblent pas clairement être établies.
La juridiction relève que « l’audience a permis d’évoquer les travaux en cours en ce qui concerne les pseudonymes obtenus à partir du NIR » ou « numéro de sécurité sociale » ainsi que « le fort degré de pseudonymisation des données » issues de la base Oscour. Elle souligne cependant que le juge des référés « ne dispose pas de pouvoirs d’instruction lui permettant de vérifier le caractère suffisant des mesures concrètes adoptées » alors que l’adoption de telles mesures « revêt un caractère essentiel au regard des risques que présente le traitement pour les droits et libertés des personnes physiques », compte tenu « de la sensibilité des données traitées, des incertitudes existant sur la possibilité de transferts de données hors de l’Union européenne », et de « l’urgence dans laquelle les mesures organisationnelles et techniques nécessaires ont dû être adoptées » pour permettre l’utilisation des données de santé dans le contexte d’épidémie de Covid-19. La CNIL a été chargée par le Conseil d’Etat, d’une mission d’expertise des mesures de pseudonymisation[28].
La durée de conservation des données de santé liées à la Covid-19 : une question à trancher
Le CE précise que les données en lien avec l’épidémie de Covid19 devront être détruites à l’issue de l’état d’urgence sanitaire et qu’elles ne pourront en aucun cas être simplement « archivées ». Le 21 juin 2020, le Conseil Scientifique a publié une note sur la nécessité de conserver les données de santé liées au Covid-19 au-delà de la fin de l’état d’urgence sanitaire en raison d’un risque de seconde vague.
[1] Article 41 de la loi n° 2019-774 du 24 juillet 2019 relative à l’organisation et à la transformation du système de santé ; [2] Health Data Hub : Mission de préfiguration, une mission pilotée par Marc Cuggia (CHU Rennes), Dominique Polton (INDS), Gilles Wainrib (OWKIN) et rapportée par Stéphanie Combes (DREES), spéc p 32; [3] Pour rappel, la procédure de référé-liberté permet de demander au Conseil d’Etat de prendre en urgence une mesure nécessaire à la sauvegarde d’une ou de plusieurs libertés fondamentales si l’administration y porte atteinte de manière grave et illégale. ; [4] Arrêté du 21 avril 2020 complétant l’arrêté du 23 mars 2020 prescrivant les mesures d’organisation et de fonctionnement du système de santé nécessaires pour faire face à l’épidémie de covid-19 dans le cadre de l’état d’urgence sanitaire. ; [5] Article 10-7 de l’arrêté du 23 mars 2020 prescrivant les mesures d’organisation et de fonctionnement du système de santé nécessaires pour faire face à l’épidémie de covid-19 dans le cadre de l’état d’urgence sanitaire; [6] SI-DEP : outil pour recueillir les résultats des tests virologiques et sécuriser le dispositif (5000 laboratoires de biologie médicale publics et privés raccordés en un mois, 1.000.000 d’examens RT-PCR remontés pendant le premier mois du traitement. ; [7] https://esante.gouv.fr/labels-certifications/hds/certification-des-hebergeurs-de-donnees-de-sante; [8] Plan Stratégique 2019-2022 Health Data Hub, p.9 et Question écrite n° 14130 de M. Claude Raynal (Haute-Garonne – SOCR) publiée dans le JO Sénat du 30/01/2020 – page 504, Réponse du Ministère des solidarités et de la santé JO Sénat du 13/02/2020 – page 819 ; [9] Affaire « United States petitioner vs/ Microsoft Corporation » (2018) En l’espèce, un juge américain avait délivré un mandat en vue de perquisitionner des données stockées par la filiale européenne du groupe. Microsoft s’est défendue en soulignant que l’injonction américaine était infondée. En effet, les données en cause étaient hébergées sur le territoire irlandais, et non américain. Or, les Etats-Unis s’appuyaient sur le Stored Communications Act (SCA), adopté en 1986 et encadrant l’accès à des données électroniques. Après de nombreux débats sur la question de l’extraterritorialité du mandat américain, le Congrès, saisi par le gouvernement américain, adopte le Cloud Act. Promulgué par le Président américain le 23 Mars 2018,. [10] La Convention de Budapest est le premier traité international sur les infractions pénales commises via l’Internet et d’autres réseaux informatiques, traitant en particulier des infractions portant atteinte aux droits d’auteurs, de la fraude liée à l’informatique, de la pornographie enfantine, ainsi que des infractions liées à la sécurité des réseaux. Il contient également une série de pouvoirs de procédures, tels que la perquisition de réseaux informatiques et l’interception. Son principal objectif, énoncé dans le préambule, est de poursuivre « une politique pénale commune destinée à protéger la société contre le cybercrime, notamment par l’adoption d’une législation appropriée et la stimulation de la coopération internationale ». » [11] Communiqué de presse de la Commission Européenne du 6 Juin 2019 : « la Commission reçoit un mandat pour entamer des négociations concernant des règles internationales relatives à l’obtention de preuves électroniques » https://ec.europa.eu/commission/presscorner/detail/fr/IP_19_2891 [12] Brief amicus curiae of European Commission on Behalf of the European Union, 13/12/201 [13] CNIL : délibération n° 2020-044 du 20 avril 2020 relative au projet d’arrêté complétant l’arrêté du 23 mars 2020 prescrivant les mesures d’organisation et de fonctionnement du système de santé nécessaires pour faire face à l’épidémie de covid-19 dans le cadre de l’état d’urgence sanitaire [14] Décision d’exécution (UE) 2016/2297 de la Commission, du 16 décembre 2016, modifiant les décisions 2001/497/CE et 2010/87/UE relatives aux clauses contractuelles types pour le transfert de données à caractère personnel vers des pays tiers et vers des sous-traitants établis dans ces pays, en vertu de la directive 95/46/CE du Parlement européen et du Conseil (JO 2016, L 344, p. 100). [15] Conclusion, Avocat Général, aff C-311/18, point 174. [16] Article 702 du Foreign Intelligence Surveillance Act (FISA) (loi sur la surveillance en matière de renseignement extérieur) et à l’Executive Order 12333 (décret présidentiel n° 12333, ci‑après l’« EO 12333 »). [17] Affaire C‑311/18, Data Protection Commissioner contre Facebook Ireland Limited, Maximillian Schrems [18] La Commission européenne a adopté la décision 2000/520/CE relative à la pertinence de la protection assurée par les principes de la « sphère de sécurité » et par les questions souvent posées y afférentes, publiés par le ministère du commerce des [États‑Unis]. Dans l’arrêt du 6 octobre 2015, Schrems [19] Décision de la Commission du 12 juillet 2016 conformément à la [directive 95/46] relative à l’adéquation de la protection assurée par le bouclier de protection des données UE‑États‑Unis (JO 2016, L 207, p. 1, ci‑après la « décision bouclier de protection des données ») [20][20] Considérant 65 de la décision Privacy Shield. [21] Annexes III à VII de la décision Privacy Shield. [22] Résolutions du Parlement du 6 avril 2017 sur l’adéquation de la protection offerte par le bouclier de protection des données UE-États-Unis, P8_TA (2017)0131 et du 5 juillet 2018 sur l’adéquation de la protection assurée par le bouclier de protection des données UE–États‑Unis, P8_TA (2018)0315. [23] EDPb : article 94, paragraphe 2 RGPD, Opinion 1/2016 on the EU‑U.S. Privacy Shield draft adequacy decision, 13 avril 2016, WP 238 ; Groupe 29, EU‑US Privacy Shield – First Annual Joint Review, 28 novembre 2017, WP 255, et EDPB, EU‑US Privacy Shield – Second Annual Joint Review, 22 janvier 2019. [24] CEPD, avis 4/2016 concernant le « Bouclier vie privée UE‑États‑Unis » (Privacy Shield) – Projet de décision d’adéquation, du 30 mai 2016. Le CEPD a été institué par l’article 1er, paragraphe 2, du règlement (CE) n° 45/2001 du Parlement européen et du Conseil, du 18 décembre 2000, relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel par les institutions et organes communautaires et à la libre circulation de ces données (JO 2001, L 8, p. 1). Il contrôle l’application des dispositions de ce règlement. [25] Points 304-308 des conclusions de l’Avocat Général, HENRIK SAUGMANDSGAARD ØE, présentées le 19 décembre 2019, Affaire C‑311/18, Data Protection Commissioner contre Facebook Ireland Limited, Maximillian Schrems, en présence de The United States of America, Electronic Privacy Information Centre, BSA Business Software Alliance, Inc., Digitaleurope [26] Aux termes du considérant 104 du RGPD, l’adoption d’une décision d’adéquation devrait être subordonnée à la condition que les personnes concernées se voient octroyer, dans le pays tiers visé, « des possibilités effectives de recours administratif et juridictionnel ». Groupe 29, EU‑U.S. Privacy Shield – First Annual Joint Review, 28 novembre 2017, WP 255 (point B.3) ; résolution du Parlement du 5 juillet 2018 sur l’adéquation de la protection assurée par le bouclier de protection des données UE-États-Unis, P8_TA(2018)0315 (points 25 et 30), et EDPB, EU‑U.S. Privacy Shield – Second Annual Joint Review, 22 janvier 2019 (points 94 à 97) [27] HDH, rapport de préfiguration, spec. P 47 [28] Plateforme des données de santé : le Conseil d’État confie à la CNIL la mission d’expertiser la robustesse des mesures de pseudonymisation, 19.06.2020, https://www.cnil.fr/fr/plateforme-des-donnees-de-sante-le-conseil-detat-confie-la-cnil-la-mission-dexpertiser-la-robustesse
