Analyse de l’arrêt Schrems II au regard des Chatbots santé Facebook Messenger
Décryptage par Vincent Darnige, stagiaire et Eléonore Scaramozzino, Avocat

Sans surprise, la CJUE invalide l’accord Privacy Shield (décision d’exécution (UE) 2016/1250 de la Commission relative à l’adéquation de la protection assurée par le bouclier de protection des données UE-États-Unis[1].), dans son arrêt Schrems II du 16 juillet 2020 (C-311/18). L’intérêt de cet arrêt réside dans la formulation de la validité de principe des clauses contractuelles types (CCT) (décision 2010/87 modifiée[2]). En effet, cette validité des CCT doit être appréciée par le responsable de traitement au regard des garanties appropriées pour encadrer le transfert des données à caractère personnel vers l’Etat tiers. L’autorité de contrôle nationale, et notamment la CNIL en France, devra le cas échéant intervenir pour interdire ledit transfert, si ce dernier n’est pas encadré de garanties offrant un niveau de protection adéquate (art 58, 2, f) et j) RGPD). L’appréciation de cette validité des CCT pour les transferts de données vers les Etats-Unis, génère une incertitude sur la capacité d’un instrument contractuel à garantir un niveau de protection équivalant à celui garanti au sein de l’UE, dans un pays qui met en œuvre des programmes de surveillance de ressortissants non américains se trouvant en dehors du territoire des États-Unis, dont notamment PRISM et UPSTREAM, qui conduisent de facto à une surveillance de masse, sans assurer une protection substantiellement équivalente à celle garantie par les articles 7 et 8 de la Charte. A l’heure où le chatbot se développe dans le domaine de la santé, cet arrêt soulève une incertitude sur la protection des données de santé collectées par les chatbots Facebook Messenger. Comment peuvent-ils garantir la protection des données de santé collectées des utilisateurs européens ? Une position de la CNIL et de ses homologues européennes, regroupées au sein du Comité européen de la protection des données permettra de clarifier la situation[3].
I L’invalidation du Privacy Shield : une solution attendue
1.1 Contexte
Arrêt Schrems I : La CJUE invalide le Safe Harbor
M. Maximillian Schrems, ressortissant autrichien résidant en Autriche, est un utilisateur de Facebook depuis 2008. En 2013, suite aux révélations d’Edouard Snowden sur la surveillance électronique de masse mises en œuvre par le renseignement américain, dans le cadre des Programmes PRISM et UPSTREAM, il a déposé plainte auprès de l’autorité irlandaise de contrôle pour interdire le transfert de tout ou partie de ses données personnelles collectées par Facebook Ireland, filiale de Facebook Inc, aux Etats-Unis, où elles font l’objet d’un traitement par la mère située sur le territoire américain. Il a soutenu que le droit et les pratiques des États-Unis n’offrent pas de protection suffisante contre l’accès, par les autorités publiques, aux données transférées vers ce pays. Sa plainte avait été rejetée au motif que la Commission européenne avait constaté dans la décision Safe Harbor (décision 2000/520) que les Etats-Unis assuraient un niveau adéquat de protection. M Schrems a introduit un recours devant la High Court qui a saisi la CJUE d’une demande de décision préjudicielle sur la validité de la décision 2000/520.
Par un arrêt rendu le 6 octobre 2015 (CJUE arrêt du 6 octobre 2015, Maximilien Schreems c Data Protection Commissioner, C-362/14, EU : C : 2015 : 650), la Cour, saisie d’une question préjudicielle posée par la High Court a invalidé le Safe Habor (décision concernant la sphère de sécurité). Elle a précisé qu’un niveau de protection adéquat dans un pays tiers s’entend comme « substantiellement équivalent» à la protection garantie dans l’Union en vertu de la directive 95/46/CE lue à la lumière de la charte des droits fondamentaux de l’Union européenne
Question préjudicielle sur la validité des CCT et du Privacy Shield
Dans le cadre de l’enquête ouverte par le Commissaire, autorité de contrôle irlandaise, Facebook Ireland justifie le transfert des DCP vers les US sur le fondement des clauses types de protection des données figurant à l’annexe de la décision CPT décision 2010/87. Le 1er décembre 2015, dans sa plainte reformulée, M. Schrems demande de suspendre ou d’interdire, pour l’avenir, les transferts de ses données à caractère personnel depuis l’Union vers les États-Unis, que Facebook Ireland réalise désormais sur le fondement des clauses types de protection. Il prétend que le droit américain impose à Facebook Inc. de mettre les DCP transférées à la disposition des autorités américaines, telles que la National Security Agency (NSA) et le Federal Bureau of Investigation (FBI). Il a soutenu que, ces données étant utilisées dans le cadre de différents programmes de surveillance d’une manière incompatible avec les articles 7, 8 et 47 de la Charte. La High Court interroge la Cour sur la validité de la décision 2010/87 et de la décision 2016/1250 relative à l’adéquation de la protection assurée par le bouclier de protection des données UE-États-Unis (dite décision « bouclier de protection des données »).
1.2. Le mécanisme de transfert des DCP hors UE prévu par le RGPD
Le transfert de données à caractère personnel d’un Etat membre de l’UE vers les Etats tiers à l’EEE ou une organisation internationale ne peut être autorisé que si l’Etat tiers offre un niveau de protection adéquate équivalente (art 45 du RGPD[4]). Dans cet arrêt, la CJUE rappelle que le RGPD s’applique à un transfert de données à caractère personnel effectué à des fins commerciales par un opérateur économique établi dans un État membre vers un autre opérateur économique établi dans un pays tiers, même si, au cours ou à la suite de ce transfert, ces données sont susceptibles d’être traitées à des fins de sécurité publique, de défense et de sûreté de l’État par les autorités du pays tiers concerné.
La Cour ajoute que, si la même réglementation prévoit des exigences que les autorités américaines doivent respecter, lors de la mise en œuvre des programmes de surveillance concernés, elle ne confère pas aux personnes concernées des droits opposables aux autorités américaines devant les tribunaux.
À cet effet, l’évaluation du niveau de protection assuré dans le contexte d’un tel transfert doit, notamment, prendre en considération tant les stipulations contractuelles convenues entre le responsable du traitement ou son sous-traitant établis dans l’Union européenne et le destinataire du transfert établi dans le pays tiers concerné que, en ce qui concerne un éventuel accès des autorités publiques de ce pays tiers aux données à caractère personnel ainsi transférées, les éléments pertinents du système juridique de celui-ci, notamment ceux énoncés à l’article 45, paragraphe 2, du règlement.
1.3 L’encadrement judiciaire de la surveillance électronique mises en œuvre dans le cadre des Programmes PRISM et UPSTREAM : le médiateur du Privacy Shield
Les activités de renseignement des autorités américaines en ce qui concerne les données à caractère personnel transférées vers les États-Unis se fondent, notamment, sur l’article 702 du FISA ( Foreign Intelligence Surveillance Act) et sur l’E.O. 12333 (décret présidentiel : Executive Order 12333).
L’article 702 du FISA permet au procureur général et au directeur du renseignement national d’autoriser conjointement, après approbation du Tribunal de surveillance du renseignement extérieur des US (FISC : United States Foreign Intelligence Surveillance Court), aux fins de se procurer des « informations en matière de renseignement extérieur », la surveillance de ressortissants non américains se trouvant en dehors du territoire des États-Unis et sert, notamment, de fondement aux programmes de surveillance PRISM et UPSTREAM. Dans le cadre du programme PRISM, les fournisseurs de services Internet sont tenus, selon les constatations de cette juridiction, de fournir à la NSA toutes les communications envoyées et reçues par un « sélecteur », une partie d’entre elles étant également transmise au FBI et à la Central Intelligence Agency (CIA) (agence centrale de renseignement).
Dans le cadre du programme UPSTREAM, les entreprises de télécommunications exploitant la « dorsale » de l’internet – c’est-à-dire le réseau de câbles, commutateurs et routeurs – sont contraintes de permettre à la NSA de copier et de filtrer les flux de trafic Internet afin de recueillir des communications envoyées par ou reçues par ou concernant le ressortissant non américain visé par un « sélecteur ». La NSA a accès tant aux métadonnées qu’au contenu des communications concernées.
La PPD-28
Les personnes non américaines relèvent uniquement de la Presidential Policy Directive 28 (PPD-28) la directive stratégique présidentielle n°28, qui se borne à indiquer que les activités de renseignement devraient être « aussi ciblées que possible » (as tailored as feasible) (l’annexe VI :lettre de Robert S. Litt, bureau du directeur des services de renseignement intérieur). En vertu de la directive présidentielle n° 28, la collecte de masse des données et communications à caractère personnel relatives à des ressortissants non américains reste autorisée dans six cas. Pour le Parlement Européen[5] ces exigences ne satisfont pas aux critères plus stricts de nécessité et de proportionnalité définis par la charte de l’UE.
Dans sa résolution du 6 avril 2017, le Parlement européen souligne que dans son arrêt du 21 décembre 2016, Digital Rights (C-698/15)[6] la CJUE a clairement expliqué que la charte de l’UE «doit être [interprétée] en ce sens qu’[elle] s’oppose à une réglementation nationale prévoyant, à des fins de lutte contre la criminalité, une conservation généralisée et indifférenciée de l’ensemble des données relatives au trafic et des données de localisation de tous les abonnés et utilisateurs inscrits concernant tous les moyens de communication électronique». Dès lors, la surveillance de masse aux États-Unis ne fournit pas un niveau essentiellement équivalent de protection des données et communications à caractère personnel. Par ailleurs, le Parlement européen avait invité la Commission européenne « à déterminer l’incidence du décret du 25 janvier 2017 sur le renforcement de la sécurité publique sur le territoire des États-Unis (Enhancing Public Safety in the Interior of the United States), et en particulier de sa section 14 concernant l’exclusion des ressortissants étrangers de la protection octroyée par le Privacy act au regard des informations à caractère personnel, laquelle est contraire aux garanties données par écrit sur l’existence de voies de recours judiciaires pour les personnes physiques en cas d’accès à des données par les autorités américaines » et « demande à la Commission de transmettre une analyse juridique détaillée des répercussions des dispositions de ce décret sur les voies et droits de recours des ressortissants européens aux États-Unis »[7] .
Les activités de la NSA fondées sur l’E.O. 12333 ne font pas l’objet d’une surveillance judiciaire et ne sont pas susceptibles de recours juridictionnels.
La question était de savoir si le médiateur du bouclier de protection de données constitue un tribunal, au sens de l’article 47 de la Charte ?
Dans sa résolution du 26 mai 2016, rappelée dans sa résolution du 6 avril 2017, le Parlement européen avait souligné que « le médiateur mis en place par le département d’État américain n’est pas suffisamment indépendant et n’est pas pourvu de pouvoirs effectifs suffisants pour mener à bien ses missions et offrir aux ressortissants de l’Union des voies de recours efficaces ».
1.4 Invalidation de la Privacy Shield
Sur l’encadrement des limitations de la protection des DCP
Selon la Cour, les limitations de la protection des données à caractère personnel ne sont pas encadrées de manière à répondre à des exigences substantiellement équivalentes à celles requises, en droit de l’Union, par le principe de proportionnalité, en ce que les programmes de surveillance fondés sur cette réglementation ne sont pas limités au strict nécessaire. À cet égard, la Cour relève que cette décision consacre, à l’instar de la décision 2000/520, la primauté des exigences relatives à la sécurité nationale, à l’intérêt public et au respect de la législation américaine, rendant ainsi possibles des ingérences dans les droits fondamentaux des personnes dont les données sont transférées vers ce pays tiers.
Sur les conditions de mises en œuvre des programmes de surveillance
La CJUE estime que les programmes de surveillance américains ne sont pas compatibles avec les principes du RGPD. Le tribunal de surveillance du renseignement extérieur des États-Unis (FISC) autorise des programmes de surveillance (comme PRISM ou UPSTREAM) sur la base de certifications annuelles préparées par le procureur général et le directeur du renseignement national. Les certifications ne contiennent pas d’informations sur les personnes à cibler individuellement mais déterminent plutôt des catégories d’informations en matière de renseignement extérieur. La CJUE relève que, pour certains programmes de surveillance, la réglementation ne fait pas ressortir l’existence de limitations à l’habilitation nécessaire pour la mise en œuvre de ces programmes, pas plus que l’existence de garanties pour des personnes non américaines potentiellement visées. La Cour ajoute que, si la même réglementation prévoit des exigences que les autorités américaines doivent respecter, lors de la mise en œuvre des programmes de surveillance concernés, elle ne confère pas aux personnes concernées des droits opposables aux autorités américaines devant les tribunaux.
Sur l’insuffisance du mécanisme de médiation au regard de l’exigence de protection juridictionnelle
La Cour juge que, le mémorandum intitulé « mécanisme de médiation du Privacy Shield » concernant le renseignement d’origine électromagnétique visé à l’annexe A de cette décision ne fournit pas aux personnes concernées une voie de recours devant un organe offrant des garanties substantiellement équivalentes à celles requises en droit de l’Union, de nature à assurer tant l’indépendance du médiateur prévu par ce mécanisme que l’existence de normes habilitant ledit médiateur à adopter des décisions contraignantes à l’égard des services de renseignement américains. Pour toutes ces raisons, la Cour déclare la décision 2016/1250 invalide.

II Principe de validité des clauses contractuelles types (CCT) : mais appréciation in concreto des garanties appropriées
2.1 Les conditions de validité des CCT (art 46, paragraphe 2, c)
L’article 46, paragraphe 1, du RGPD prévoit que, en l’absence d’une décision d’adéquation, le responsable du traitement ou le sous-traitant ne peut transférer des données à caractère personnel vers un pays tiers que s’il a prévu des garanties appropriées et à la condition que les personnes concernées disposent de droits opposables et de voies de droit effectives. Selon l’article 46, paragraphe 2, sous c), de ce règlement, ces garanties peuvent être fournies par des clauses types de protection des données adoptées par la Commission. Or, ces dispositions n’énoncent pas que l’ensemble desdites garanties doit nécessairement être prévu par une décision de la Commission telle que la décision CCT.
La Cour confirme la validité de la décision 2010/87 modifiée[8] au regard des articles 7, 8 et 47 de la charte des droits fondamentaux dès lors que ces clauses types de protection des données ne lient pas, en raison de leur caractère contractuel, les autorités du pays tiers vers lequel un transfert des données pourrait être opéré.
La Cour rappelle que les personnes dont les données font l’objet d’un transfert de l’UE vers les Etats-Unis, sur le fondement de clauses types de protection des données afin de bénéficier d’un niveau de protection substantiellement équivalent à celui garanti au sein de l’UE par le RGPD, lu à la lumière de la Charte, doivent disposer de garanties appropriées, de droits opposables et de voies de recours effectifs. A cet effet, l’évaluation de ce niveau de protection doit se fonder sur les stipulations contractuelles convenues entre l’exportateur et le destinataire des données, en tenant compte d’un éventuel accès des autorités des Etats-Unis aux données ainsi transférées et les éléments pertinents du système juridique de celui-ci.
La Cour examine ensuite la validité de la décision 2010/87. Selon la Cour, la validité de cette décision n’est pas remise en cause par le seul fait que les clauses types de protection des données figurant dans celle-ci ne lient pas, en raison de leur caractère contractuel, les autorités du pays tiers vers lequel un transfert des données pourrait être opéré. En revanche, précise-t-elle, cette validité dépend du point de savoir si ladite décision comporte des mécanismes effectifs permettant, en pratique, d’assurer que le niveau de protection requis par le droit de l’Union soit respecté et que les transferts de données à caractère personnel, fondés sur de telles clauses, soient suspendus ou interdits en cas de violation de ces clauses ou d’impossibilité de les honorer. La Cour constate que la décision 2010/87 met en place de tels mécanismes.
À cet égard, elle souligne, notamment, que cette décision établit une obligation pour l’exportateur des donnés et le destinataire du transfert de vérifier, au préalable, que ce niveau de protection est respecté dans le pays tiers concerné et qu’elle oblige ce destinataire à informer l’exportateur des données de son éventuelle incapacité de se conformer aux clauses types de protection, à charge alors pour ce dernier de suspendre le transfert de données et/ou de résilier le contrat conclu avec le premier.
2.2. Les obligations à la charge de l’exportateur et du destinataire prévues dans les CCT
La décision 2010/87 instaure une obligation pour l’exportateur des données et le destinataire du transfert de vérifier, au préalable, que ce niveau de protection soit respecté dans le pays tiers concerné. Il ressort de la clause 4, sous a) et b), de la clause 5, sous a), de la clause 9 ainsi que de la clause 11, paragraphe 1, de l’annexe que le responsable du traitement établi dans l’Union, le destinataire du transfert de données à caractère personnel ainsi que l’éventuel sous-traitant de ce dernier s’engagent mutuellement à ce que le traitement de ces données, soit conforme au RGPD.
En outre, le destinataire du transfert de données à caractère personnel établi dans un pays tiers s’engage à informer, dans les meilleurs délais, le responsable du traitement établi dans l’Union de son éventuelle incapacité de se conformer aux obligations lui incombant au titre du contrat conclu (clause 5). Le responsable du traitement établi dans l’Union a le droit de suspendre le transfert de données et/ou de résilier le contrat. La CJUE a considéré que la suspension du transfert de données et/ou la résiliation du contrat revêt un caractère obligatoire pour le responsable du traitement lorsque le destinataire du transfert n’est pas, ou n’est plus, en mesure de respecter les clauses types de protection des données.
Selon la clause 4, sous f), de l’annexe de la décision, le responsable du traitement établi dans l’Union s’engage, lorsque des catégories particulières de données pourraient être transférées vers un pays tiers n’offrant pas un niveau de protection adéquat, à en informer la personne concernée avant le transfert ou dès que possible après celui-ci. Cette information est susceptible de mettre cette personne en mesure d’exercer le droit de recours que lui reconnaît la clause 3, paragraphe 1, de cette annexe contre le responsable du traitement, afin que celui-ci suspende le transfert envisagé, résilie le contrat conclu avec le destinataire du transfert de données à caractère personnel ou, le cas échéant, demande à ce dernier la restitution ou la destruction des données transférées.
En vertu de la clause 4, sous g), de ladite annexe, le responsable du traitement établi dans l’Union est tenu, lorsque le destinataire du transfert de données à caractère personnel lui notifie, en application de la clause 5, sous b), de celle-ci, que la législation le concernant fait l’objet d’une modification susceptible d’avoir des conséquences négatives importantes pour les garanties offertes et les obligations imposées par les clauses types de protection des données, de transmettre cette notification à l’autorité de contrôle compétente s’il décide, en dépit de ladite notification, de poursuivre le transfert ou de lever sa suspension.

2.3 Le rôle de l’autorité de contrôle en l’absence de décision d’adéquation valide
En l’absence de décision d’adéquation valablement adoptée par la Commission européenne, l’autorité de contrôle compétente est tenue de suspendre ou d’interdire un transfert de données vers un pays tiers fondé sur des clauses types de protection des données adoptées par la Commission, dès lors qu’en raison de circonstances propres à ce transfert, ces clauses ne sont pas ou ne peuvent pas être respectées dans ce pays tiers et que la protection des données transférées requise par le droit de l’Union, en particulier par les articles 45 et 46 du RGPD et par la Charte, ne peut pas être assurée par d’autres moyens, à défaut pour le responsable du traitement ou son sous-traitant établis dans l’Union d’avoir lui-même suspendu le transfert ou d’avoir mis fin à celui-ci (article 58, paragraphe 2, sous f) et j), du RGPD).
Dans le cas de réception d’une notification transmise par le responsable de traitement relative à un changement de législation de l’Etat tiers susceptible d’avoir des conséquences sur la protection des données, l’autorité de contrôle a le droit de procéder à des vérifications auprès du destinataire du transfert de données à caractère personnel en application de la clause 8, paragraphe 2, de la même annexe de procéder le cas échéant à la suspension ou à l’interdiction du transfert envisagé aux fins d’assurer un niveau de protection adéquat.
Il en résulte que les entreprises peuvent utiliser des clauses contractuelles types pour transférer les DCP vers un Etat tiers ne bénéficiant pas d’une décision d’adéquation valide, comme c’est le cas aujourd’hui aux Etats-Unis. Toutefois, la protection effective conférée par ces clauses doit être appréciée in concreto et notamment au regard de l’existence de mécanismes effectifs permettant en pratique d’assurer un niveau de protection équivalent à celui imposé dans l’UE.
2.4. Synthèse
Les clauses contractuelles de transfert vers les Etats-Unis seront donc soumises à deux contrôles de garantie de protection équivalente par le Responsable de traitement ou le sous-traitant et par l’autorité nationale de contrôle.

III– Les conséquences sur le transfert de données de santé par les Chatbots Messenger

3.1. Les conséquences de l’arrêt Schrems II : la question des garanties appropriées
L’invalidité du Privacy Shield, prive les transferts de DCP vers les Etats-Unis, d’une décision d’adéquation. Les Etats-Unis sont donc classés dans les destinations n’offrant pas un niveau de protection adéquate (art 45, 1 du RGPD). Les autorités de Contrôle des Etats membres doivent interdire le transfert si le transfert de données personnelles vers les US n’est pas encadré de garanties offrant un niveau de protection adéquate (art 58, 2, f) et j) RGPD). Le responsable de traitement qui collecte les données de santé et les transfère à son sous-traitant ou un destinataire établi aux US doit adopter des garanties appropriées pour encadrer le transfert (art 46 et 47 du RGPD) :
Option des CCT : nécessité d’adopter des garanties appropriées
Il peut opter pour les clauses contractuelles type de transfert. Ces clauses, adoptées par la Commission au titre de l’article 46, paragraphe 2, sous c), du RGPD, visent uniquement à fournir aux responsables du traitement ou à leurs sous-traitants établis dans l’Union des garanties contractuelles s’appliquant de manière uniforme dans tous les pays tiers et, dès lors, indépendamment du niveau de protection garanti dans chacun d’entre eux. Pour garantir le respect du niveau de protection requis par le droit de l’Union, le responsable de traitement devrait imposer au destinataire établi aux Etats-Unis, l’adoption de mesures supplémentaires visant à limiter les risques générés par l’ingérence des programmes de surveillance (PRISM, UPSTREAM). Encore faut-il que ces garanties appropriées puissent effectivement assurer l’existence de droits opposables des personnes concernées et de voies de droit effectives, ce qui comprend le droit d’engager un recours administratif ou juridictionnel effectif et d’introduire une action en réparation, dans l’UE ou dans un Etat tiers. L’autorité contrôle pourra intervenir le cas échéant pour stopper le transfert.
Option article 49 du RGPD : les limites
Les exceptions prévues à l’article 49 du RGPD peuvent toujours être invoquées pour valider les transferts qui ne sont pas massifs ni structurels, que ce soit vers un pays offrant une protection reconnue comme adéquate ou non et pouvant être qualifiée de pays sûr ou non. Ainsi, le transfert peut notamment s’opérer sur le consentement explicite de la personne concernée au transfert envisagé, après l’avoir informé des risques que ce transfert pouvait comporter pour elle en raison de l’absence de décision d’adéquation et de garanties appropriées art 49§1 a))
3.2. Le développement des chatbots en santé
Définition des chatbots
Contraction de l’anglais « chat » (converser) et « bot » (robot), le terme chatbot est synonyme d’agent conversationnel. Concrètement il s’agit d’un programme informatique, destiné la plupart du temps à accomplir une tâche définie, et dont la particularité réside dans sa capacité à interagir en langage naturel avec l’utilisateur. Ce robot logiciel peut reproduire le langage naturel et dialoguer avec un individu par le biais de conversations automatisées. Les chatbots permettent de recevoir une réponse unique ou d’obtenir un service. Dans la littérature, chatbots et agents conversationnels peuvent être distingués en fonction de leur niveau de compréhension du langage naturel, les premiers faisant plutôt appel à des moteurs de mots-clés ou des moteurs de règles, les seconds reposant sur de l’apprentissage automatique (machine learning)[9].
Le schéma de fonctionnement d’un chatbot est toujours le même, quels que soient son périmètre, sa thématique et son niveau :

Les différentes catégories de chatbots
Grâce au traitement naturel du langage et à l’analyse démographique, ces données peuvent par exemple permettre de détecter des tendances et d’élaborer des messages personnalisés employant le même langage que la cible. En outre, ces données peuvent aussi être exploitées pour créer un moteur de recommandation. Il s’agit là de combiner les données collectées par le chatbot avec la technique de l’analyse prédictive afin de proposer à chaque client des produits et services qui répondent à ses besoins. De manière générale, les chatbots permettent d’améliorer l’expérience client. Les chatbots eux-mêmes peuvent être améliorés grâce aux données qu’ils collectent. Dans un article publié en janvier 2019 sur Arxiv.org, intitulé ” Learning from Dialogue after Deployment: Feed Yourself, Chatbot! “, les scientifiques de Facebook AI Research et de la Stanford University décrivent un chatbot capable de s’améliorer de façon autonome via l’extraction de données à partir de ses conversations. Ainsi, quand une conversation se déroule bien, les réponses de l’utilisateur deviennent de nouveaux exemples d’entraînement à imiter. Au contraire, quand l’agent pense avoir fait une erreur, il demande un feedback. En apprenant à prédire le feedback, le chatbot améliore ses capacités de dialogue. Le chatbot s’entraîne en utilisant uniquement des réponses naturelles qui ne requièrent ni structure particulière ni intervention humaine (apprentissage non supervisé).

Comparés aux chatbots, les voicebots intègrent deux fonctionnalités supplémentaires : la reconnaissance vocale et la synthèse vocale. La synthèse vocale est une technique qui permet de créer de la parole à partir de n’importe quel texte.
L’évolution des chatbots : vers un commerce conversationnel
Le premier chatbot remonte à 1964 avec ELIZA, développé par Joseph Weizenbaum, professeur au MIT. Il prend la forme d’un psychothérapeute qui répond à l’utilisateur par des questions. Il fonctionne par la détection de mots clés dans le message de l’utilisateur et pose une question parmi une liste préenregistrée de formules syntaxiques. D’autres chatbots notables ont ensuite été créés avec notamment Jabberwacky en 1988, capable de simuler une conversation humaine naturelle de manière intéressante et amusante. En 1995, A.L.I.C.E. utilise le language AIML (Artificial Intelligence Markup Language), et créé spécialement pour les interactions en langage naturel. ALICE est doté d’un système d’identification relatif à la personnalité de son interlocuteur et repose sur une base de connaissance bien plus vaste que ses prédécesseurs. En 2005, le programme d’intelligence artificielle Watson, conçu par IBM est capable de répondre à des questions formulées en langage naturel. En 2010, Apple lance SIRI sur l’IPhone, suivi de Google Now en 2012, Cortana chez Microsoft et Alexa chez Amazon en 2014. Ces assistants ont pour objectif d’améliorer l’expérience des utilisateurs.
En 2013, WeChat (Chine) connecte des interfaces textuelles à des services en ligne et marque le début de la plateforme conversationnelle. La nouveauté réside dans la possibilité de connecter des interfaces textuelles à des services en ligne. L’achat de produits ou services est possible à l’aide de bots. Aux Etats-Unis, Slack lance l’application de chat par équipe, une des premières à étendre le système de bots aux développeurs tiers. A la conférence développeurs F8, du 12 avril 2016, Facebook annonce l’ouverture de sa plateforme de bots autour de Messenger et donne accès à ses outils d’implémentation de chatbots aux développeurs. Messenger, est devenue la plateforme phare dans le développement des chatbots (agents conversationnels) de toutes sortes. Microsoft entre dans cette nouvelle bataille de post- app avec Cortona. Les services ne seront plus seulement disponibles au travers d’applications tierces, mais aussi de bots… qui seront eux-mêmes centralisés par les assistants personnels comme Cortana.

Le chatbot en santé : un outil au service des Porfessionnels de Santé et des utilisateurs patients
Si la crise sanitaire liée à la Covid-19 a accéléré le recours aux chatbots en santé, leur utilisation dans ce domaine est antérieure. Les usages en santé sont multiples et touchent de nombreux domaines de la prévention au diagnostic en passant par l’observance ou l’information médicale.

On peut classer les chatbots entre les généralistes et les spécialistes, ceux pour les professionnels de santé et ceux pour les patients. Une deuxième classification possible s’opère entre des chatbots qui répondent à un besoin ponctuel, par opposition à ceux qui proposent un accompagnement dans la durée.
Dans livre le blanc du Lab-e-santé, le Futur de la santé sera-t-il conversationnel ?[10], Joséphine Arrighi de Casanova, l’un des auteurs, dresse un état des lieux des pratiques et recommandations pour concevoir un chatbot en -santé. Les chatbots sont souvent utilisés au stade initial de la procédure de prise en charge du patient, afin de libérer du temps médical.
Les maladies chroniques sont propices au développement des chatbots pour accompagner les patients dans l’observance de leur traitement. Ils se développent de plus en plus avec les associations de patients, par exemple avec l’association française des diabétiques pour délivrer un chatbot qui aidera les diabétiques à mieux se prendre en charge et répondre à leurs questions.
L’oncologie est un domaine dans lequel les chatbots offrent des perspectives intéressantes en raison notamment de l’accumulation de données de vie réelle et de la nécessité de soutenir les patients comme les aidants tout au long du traitement.
Les chatbots relatifs à la santé mentale sont assez nombreux. Selon l’OMS, le coût induit par la dépression se chiffre à des centaines de milliards de dollars avec plus de 300 millions de personnes concernées chaque année. De plus, nombre de personnes atteintes de problèmes de santé mentale n’ont pas accès aux traitements ou quand elles peuvent y accéder, hésitent à consulter en raison de la stigmatisation entourant la maladie. C’est pourquoi se développent les outils visant à offrir aux patients souffrant de troubles mentaux un soutien de première ligne, bienveillant et confidentiel (Woebot, Wysa, Elizzbot ou la française Owlie). Ces chatbots sont basés sur des techniques de thérapie cognitive et comportementale ou sur du “coaching psychologique”.
Les exemples de chatbots en santé sont nombreux, et leurs applications diverses. Beaucoup de pays et acteurs de santé ont compris l’intérêt de cette technologie pour répondre aux enjeux du secteur dans les prochaines années. Un mapping montre que la majorité des chatbots de santé utilisent la messagerie Messenger.

Les chatbots en santé sont des assistants conversationnels développés pour fournir un service aux patients ou aux professionnels de santé, sur un périmètre défini. Ils doivent se positionner comme une solution de confiance à laquelle les utilisateurs peuvent se fier lorsqu’ils en ont besoin. Le succès des plateformes de chatbot, dont la Bot Store de Facebook, s’explique en partie par la mise à disposition des développeurs d’outils ou de solutions prêtes à être implémenter sans besoin de codage. Cette option permet de réduire les coûts d’accès au marché et de rendre rapidement accessibles ces chatboots à des milliards d’utilisateurs au quotidien via Facebook Messenger, WhatsApp, WeChat, Slack…..Cependant, ces plateformes, dont Facebook Messenger transfèrent les données collectées en Europe vers les Etats Unis. L’invalidité du Privacy Shield génère des doutes sur la validitéde principe des CCT, reconnue par la CJUE.
3.3. L’impact de l’arrêt Schrems II sur le chatbot Messenger en santé
Le respect du RGPD par les chatbots en santé
En santé, plus que dans n’importe quel autre domaine, un chatbot doit répondre à certains critères primordiaux, en termes de forme, de contenu, de sécurité ou de technologie. La notion de risque dans l’utilisation pour les professionnels de santé ou les patients doit être intégrée dès la conception du chatbot (risk-by-design), et en fonction du niveau de risques, la réglementation adéquate doit être appliquée. La qualité, la pertinence, l’efficacité, la sécurité et le traitement de la donnée sont des critères clés à prendre en compte à chacune des phases d’un projet de chatbot. Les chatbots s’inscrivent dans un écosystème de multiples solutions de santé et ne sont pas tous qualifiés de dispositif médical et donc soumis au règlement 2017/745 à partir du 26 mai 2021[11]. En effet, un dispositif qui propose un diagnostic ou une orientation thérapeutique est considéré comme un dispositif médical. Cependant, les chatbots qui recueillent des données à caractère personnel de santé au sens de l’article 9 du RGPD des utilisateurs, comme notamment les chatbot Assistant de santé ( Catalia Health, recueille également des données sur les progrès du patient et peut alerter son équipe médicale en cas de besoin) doivent être conformes au RGPD.
Le Chatbot Messenger : traitement des données par Facebook
L’entreprise va proposer à ses clients un scénario de conversation mobile personnalisé, au travers un ChatBot sur Facebook Messenger. L’utilisateur va se connecter par son identifiant Messenger (ID). Le bot aura accès aux données personnelles des utilisateurs soit via un process automatisé (webservice, SAML…) soit un processus non automatisé (question sur l’identité de l’interlocuteur au cours du dialogue). Toutes ces données qui rendent l’interlocuteur identifiable (nom, prénom, e-mail, adresse, numéro de sécurité sociale pour une mutuelle, ou encore l’adresse IP (via les cookies)… relèvent du RGPD. Facebook Messenger collecte les données liées à la conversation et les transferts au bot.
L’utilisateur doit être informé par Messenger de la politique de confidentialité (finalité de la collecte, responsable de traitement, coordonnées du DPO, destinataires, sous-traitant, transfert hors UE (Etats tiers, garanties appropriées prévues pour encadrer le transfert), durée de conservation..) conformément aux dispositions de l’article 13 du RGPD. Ces mentions d’informations doivent permettre d’obtenir un consentement éclairé (« J’accepte » ou « j’ai compris »).
Les données sont traitées par Facebook, en coresponsabilité avec le responsable de traitement du bot, selon les dispositions de l’accord de coresponsabilité établi entre les deux responsables conformément aux dispositions de l’article 26 du RGPD. Cet accord doit déterminer les rôles et responsabilités de chacun pour garantir aux utilisateurs un traitement conforme au RGPD dès lors que la collecte des données a lieu dans un Etat membre.
Les données sont collectées via la messagerie Messenger de Facebook, et sont également traitées par le bot de l’entreprise. En application de la jurisprudence de la CJUE, arrêt du 5 juin 2018, Wirtschaftsakademie Schleswig-Holstein[12] et l’arrêt du 29 juillet 2019, Fashion ID [13], la notion de « responsable du traitement » vise l’organisme qui, « seul ou conjointement avec d’autres », détermine les finalités et les moyens du traitement de données à caractère personnel, cette notion ne renvoie pas nécessairement à un organisme unique et peut concerner plusieurs acteurs participant à ce traitement, chacun d’entre eux étant alors soumis aux dispositions applicables en matière de protection des données.
La sécurité des chatboots sur la plateforme de Facebook : Prise de contrôle d’une discussion
La question de la sécurité est essentielle dans un chatbot compte tenu des données personnelles de santé collectées. Le responsable de traitement doit adopter des mesures techniques et organisationnelles nécessaires pour garantir la sécurité des données, leur confidentialité. Des mesures de chiffrement, de cryptage pouvant passer par du hashing d’information, une procédure d’authentification forte doivent permettre de limiter l’accès non autorisé aux données. En l’espèce, Facebook est, co-responsable de traitement des données des utilisateurs du chatbot. Le contrat de co-responsabilité doit déterminer qui doit garantir la sécurité des données sur le Chat et sur le Bot. Cependant, si la violation des données à lieu sur la plateforme de Facebook, seul ce dernier est responsable.
Plusieurs cas de piratage de chatbot ont été répertoriés. Des chercheurs en cybersécurités[14] ont publié une enquête démontrant qu’une personne malintentionnée pouvait prendre le contrôle d’une discussion. L’enquête démontrait qu’il était possible de créer des messages en se faisant passer pour un des interlocuteurs. Les conséquences d’une telle faille sont multiples au regard d’un chatbot d’e-santé. Les hackers auraient pu présenter des produits frauduleux, informatiques ou non, aux utilisateurs en exploitant le nom d’une compagnie, ou d’un logiciel de confiance.[15] Un autre cas de faille sur la plateforme du groupe Facebook a eu lieu en mars 2019. La société IMPERVA a démontré qu’en utilisant la version Web de Messenger, un hacker pouvait identifier les utilisateurs de la messagerie dans laquelle il n’était pas.[16]
Le transfert des données des chatbots Messenger vers les Etats-Unis
Les données sont collectées via la messagerie Messenger de Facebook. La politique de confidentialité de Facebook est applicable aux données collectées via Messenger. Elle précise que « Les informations contrôlées par Facebook Ireland seront transférées ou transmises, ou stockées et traitées, aux États-Unis ou dans d’autres pays en dehors de celui où vous vivez, aux fins décrites dans la présente politique. Ces transferts de données sont nécessaires pour fournir les services énoncés dans les Conditions d’utilisation de Facebook et les Conditions d’utilisation d’Instagram, et afin d’exploiter et de vous fournir nos Produits dans le monde entier. Nous utilisons des clauses contractuelles standard approuvées par la Commission européenne et nous nous appuyons sur les décisions d’adéquation de la Commission européenne concernant certains pays, le cas échéant, pour les transferts de données de l’EEE vers les États-Unis et d’autres pays. »
Il en résulte que les données de santé au sens de l’article 9 du RGPD sont collectées par le chatbot Facebook Messenger et sont transmises aux Etats-Unis. Les Clauses Contractuelles type (CCT) reste donc l’instrument de transfert vers cet Etat tiers, en raison de l’invalidité de la décision de Privacy Shield prononcée par la CJUE dans son arrêt du 16 juillet 2020. Dans cet arrêt, la Cour a reconnu une validité de principe de la décision 2010/87 modifiée. Cependant, peut-on considérer que dans le cadre des Chatbots Facebook Messenger, les CCT utilisées pour transférer des données de santé des français, vers un Etat tiers, qui pratique la surveillance de masse peuvent offrir des garanties appropriées aux personnes concernées, dès lors qu’un mécanisme contractuel ne lie pas un Etat ? En d’autres termes, Facebook en tant que responsable de traitement, doit tenir compte d’un éventuel accès des autorités des Etats-Unis aux données personnelles de santé transférées et les éléments pertinents du système juridique de celui pour apprécier si le niveau de protection des données garanti par les stipulations contractuelles est comparable à celui assuré dans l’UE. Si le transfert a lieu mais que le niveau est insuffisant la Cnil ou une autorité de protection des données européenne pourrait interdire ou suspendre ce transfert si le niveau de garantie de protection des données dans l’Etat tiers est considéré comme insuffisant (Art 58, paragraphe 2, sous f) et j), du RGPD). Face à cette incertitude, il est urgent que les Autorités de protection européennes clarifient cette situation. Dans son communiqué de presse du 20 juillet l’AFCDP alerte les entreprises et souhaite une position claire des « CNIL » européennes.
En attente d’une clarification de la Cnil et des ADP européennes
La CNIL et ses homologues, réunis au sein du Comité Européen pour la Protection des Données (CEPD/EDPB), procèdent à l’analyse de l’arrêt « Schrems II » pour en tirer les conséquences dans les meilleurs délais. Ce travail commun permettra, dans les meilleurs délais, d’en tirer les conséquences pour les transferts de données de l’Union européenne vers les États-Unis. Il apparaît urgent que les autorités de protection européennes formulent rapidement une recommandation commune et sans ambigüité sur les mesures de protection à mettre en œuvre et les lignes directrices permettant aux organismes concernés de poursuivre leurs activités impliquant des fournisseurs américains, dans des conditions de sécurité juridique optimales.
Vincent Darnige Eléonore Scaramozzino Stagiaire Avocat
[1] Décision d’exécution de la Commission du 12 juillet 2016 conformément à la directive 95/46/CE du Parlement européen et du Conseil relative à l’adéquation de la protection assurée par le bouclier de protection des données UE-Etats-Unis (JO 2016, L 207, p. 1).
[2] Décision 2010/87/UE de la Commission, du 5 février 2010, relative aux clauses contractuelles types pour le transfert de données à caractère personnel vers des sous-traitants établis dans des pays tiers en vertu de la directive 95/46/CE du Parlement européen et du Conseil, telle que modifiée par la décision d’exécution (UE) 2016/2297 de la Commission, du 16 décembre 2016
[3]https://www.cnil.fr/fr/invalidation-du-privacy-shield-la-cnil-et-ses-homologues-analysent-actuellement-ses-consequences, https://edpb.europa.eu/news/news/2020/european-data-protection-board-thirty-fourth-plenary-session-schrems-ii-interplay_fr
[4] Règlement (UE) 2016/679 du Parlement européen et du Conseil, du 27 avril 2016, relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (JO 2016, L 119, p. 1).
[5] Parlement Européen : P8_TA(2017)0131 Adéquation de la protection offerte par le bouclier de protection des données UE-États-Unis, Résolution du Parlement européen du 6 avril 2017 sur l’adéquation de la protection offerte par le bouclier de protection des données UE-États-Unis (2016/3018(RSP))
[6] CJUE : Arrêt dans les affaires jointes C-203/15 Tele2 Sverige AB/ Post-och telestyrelsen et C-698/15 Secretary of State for the Home Department/Tom Watson e.a
[7] Parlement Européen : P8_TA(2017)0131, point 25
[8] Décision 2010/87/UE de la Commission, du 5 février 2010, relative aux clauses contractuelles types pour le transfert de données à caractère personnel vers des sous-traitants établis dans des pays tiers en vertu de la directive 95/46/CE du Parlement européen et du Conseil, telle que modifiée par la décision d’exécution (UE) 2016/2297 de la Commission, du 16 décembre 2016
[9] 39 BIS, Le lAB-E-SANTE, Les chatbots en santé, 2019, P.9
[10] Joséphine Arrighi de Casanova, Perrine Courtois, Sophie Gillardeau, Nathalie Lahitte, Thierry Kermorvant, Le Futur de la santé sera-t-il conversationnel ?, Le Lab e-Santé, Etat des lieux des pratiques et recommandations pour concevoir un chatbot en santé.
[11] https://eur-lex.europa.eu/legal-content/FR/TXT/PDF/?uri=CELEX:32020R0561&from=EN
[12] CJUE : arrêt du 5 juin 2018, Wirtschaftsakademie Schleswig-Holstein, C‑210/16, EU:C:2018:388, point 29, du 10 juillet 2018, Jehovan todistajat, C‑25/17, EU:C:2018:551, points 65 et 68
[13] CJUE : arrêt du 29 juill. 2019, Fashion ID, aff. C-40/17, ECLI:EU:C:2019:629, point 67)
[14] https://research.checkpoint.com/2019/long-known-vulnerabilities-in-high-profile-android-applications/
[15] https://www.lefigaro.fr/secteur/high-tech/2016/06/07/32001-20160607ARTFIG00208-une-faille-de-facebook-messenger-permettait-de-trafiquer-les-conversations.php
[16] https://branchez-vous.com/2019/03/11/facebook-messenger-faille-permettait-espionner-conversations-privees/

A reblogué ceci sur E-SCARAMOZZINO legal ° et a ajouté:
Les Clauses contractuelles types : en attente d’une clarification urgente des “CNIL” européennes