jeudi 3 décembre 2020

Microsoft et le Health Data Hub : l'hébergement des données de santé en question.

Mis en service le 2 décembre 2019, le Health Data Hub (HDH) est à la fois une plateforme numérique pour les données médico-administratives françaises et un projet de recherche sur l'intelligence artificielle appliquée aux big data médicales. Les enjeux de sécurité liés à la gestion de ces données ont conduit la Commission Nationale de l'Informatique et des Libertés (la CNIL) à produire des mises en garde répétées sur leur hébergement par Microsoft, une entreprise soumise au droit fédéral des États-Unis. Le 16 juillet dernier,  le "Privacy Shield" est révoqué. Cet accord entre l'Union européenne et les États-Unis garantissait le respect de la protection des données. A la suite de cette décision, on comprend que la place de Microsoft soit en question. La concurrence s'organise et l'interrogation demeure : sur quelle base le gouvernement prendra-t-il sa décision ? 

Le 8 octobre dernier, Cédric O, le secrétaire d’État au numérique déclarait devant les membres du Sénat au sujet du rapatriement des données de santé qu'il fallait se préparer "[...]après le coup de tonnerre de l’annulation du Privacy Shield, au transfert du Health Data Hub sur des plates-formes françaises ou européennes"[1]. Le Conseil d’État temporisait le 14 octobre, le juge des référés notant que "la Plateforme des données de santé et Microsoft se sont engagés, par contrat, à refuser tout transfert de données de santé en dehors de l'Union européenne"[2].  Le Conseil d’État a alors suggéré qu'en l'absence "d'illégalité grave et manifeste qui justifierait une suspension immédiate de la plateforme", Microsoft reste en charge de l’hébergement du Health Data Hub, et ce, "dans l'attente d'une solution qui permettra d'éliminer tout risque d'accès aux données personnelles par les autorités américaines."

Tirs croisés sur les données, perspectives sur les forces en présence.

La lecture médiatique fait de la question de la protection des données numériques une situation de crise, presque inédite. La situation du Health Data Hub, de son contexte juridique et commerciale est effectivement complexe. Face aux informations contradictoires, une clarification s'impose. 

Le risque de transfert des données vers les États-Unis n'est pas un élément nouveau à la connaissance des pouvoirs publics. La loi américaine qui l'encadre, le "CLOUD Act" date de mars 2018[3]. Le Privacy Shield, lui, date du 12 juillet 2016 et définit les conditions de transferts des états membres de l'Union européenne vers des états tiers [4]. Les articles 25 (1) et (2) posent les bases de ces échanges. Le premier établit que l'état tiers devra pouvoir garantir la protection des données et des droits de l'individu citoyen des état membres de l'Union. Le second, que ces échanges de données se feront dans le respect des lois commerciales et nationales en vigueur dans ce pays tiers. Dans ce même article 25(2) il est rappelé la décision 2000/520/CE du "Safe Harbour Privacy Principles" [5] qui doit garantir un "niveau adéquat de protection pour les données personnelles transférées à partir de l'Union européenne à destination d'organisations établies aux États-Unis" [traduit de l'anglais]. 

 Ces éléments définissent les contraintes sur les entreprises étrangères américaines et leurs obligations vis-à-vis de l'Union européenne. La situation actuelle de rupture découle des suites des "Affaires Schems I & II" qui ont gagné leur notoriété en ce qu'elles ont modelé la relation transatlantique sur les données [6]. Maximilien Schrems est un militant-activiste autrichien qui lutte pour la protection des données privées. C'est en 2011 que M. Schrems demande à Facebook l'accès à ses données personnelles et se rend compte que l'utilisation qui en est faite dépasse le cadre prévu par la réglementation européenne. Les données qu'il a supprimées sont conservées et leur transfert par l'entreprise américaine vers les États-Unis n'est pas exclu. C'est pour cela qu'il déposera un plainte auprès du Data Protection Commissioner d’Irlande, pays où les serveurs de Facebook Ireland Ltd. sont hébergés. Il poursuivra ensuite son action jusqu'à l'audience du 25 mars 2015 à la Cour de Justice de l'Union Européenne (CJUE), qui décidera de son invalidation.[7]. L'affaire Schrems connait son deuxième volet en juillet 2020 avec la décision de la CJUE d'invalider le dispositif qui devait suppléer au Safe Harbor : le Privacy Shield. Pour l'Union européenne, ce sont les manquements à la protection des données privées qui ont conduit à cette décision. C'est aussi la question à éclairer : aux vues de l'importance des accords commerciaux transatlantiques, quel est le pourquoi de ces lois américaines et de l'accès aux données d'un pays tiers qu'elles autorisent ? 

La décision de la Cour porte sur le CLOUD Act, qui est avant tout une loi anti-terrorisme et anti-corruption visant à garantir la sécurité de l’État américain.  Il vient s’inscrire en filiation intellectuelle de trois lois fédérales américaines. La première, le Foreign Corrupt Practice Act de 1977, autorise le gouvernement américain à avoir accès aux données commerciales des entreprises américaines sur son territoire et à l'étranger [8]. La seconde, le Foreign Intelligence Surveillance Act de 1978 et amendée en 2008, établit les procédures de collecte d'informations et de surveillance des puissances étrangères. La loi prévoit que les services de renseignements des États-Unis puissent obtenir ces informations directement, avec ou sans concertation du gouvernement du pays concerné[9]. La troisième, le USA Patriot Act du 26 octobre 2001, est une conséquence immédiate des attentats du World Trade Center. Cette loi est bien plus vaste dans son application que la première en ce qui concerne l'accès aux données. Elle autorise le gouvernement fédéral américain à utiliser tous les outils qui seront jugés appropriés pour avoir accès aux données d'une personne privée ou morale, qu'elle se trouve sur le territoire américain ou non [10]. 

 Enfin, en 2018, le CLOUD Act, met en forme ce que le droit fédéral prévoit pour l'accès aux données d'une entreprise américaine. Le titre de cette loi signifie "Clarifying Lawful Overseas Use of Data".  Il donne la capacité au gouvernement fédéral  d'accéder aux données des clients de n'importe quelle entreprise américaine. Son premier article peut se lire comme suit :

"Cet article amende le code pénal fédéral pour spécifier qu'un fournisseur de services de communications électroniques (ECS) ou de services de computing à distance doit impérativement se conformer à l'obligation de conserver, de sauvegarder, ou de rendre accessibles les contenus d'une communication électronique, ou d'une base de données, ou les informations relatives à un client, ou à un abonné, que la communication ou le registre soit hébergé ou-non sur le territoire des États-Unis" [traduit de l'anglais] 

Clauses contractuelles contre lois fédérales : comment Microsoft se protège. 

Le Health Data Hub est donc soumis à ces tensions juridiques internationales puisqu'il est hébergé par une entreprise américaine. Microsoft présente de son côté ses engagements pris vis-à-vis de la gestion des données de leurs clients dans une section intitulée "Data Law" [11]. Il y est souligné que Microsoft ne communique pas directement avec les instances gouvernementales américaines ou des pays où ses filiales sont implantées. Microsoft mentionne plus bas : "[w]e provide customer data only when we receive a legally binding order or subpoena to do so" : "nous fournissons les données utilisateur que lorsque nous recevons une ordonnance executoire ou une assignation.", ce qui constitue peut-être la limite de la protection légale que l'entreprise peut s'engager à offrir. Microsoft module : un gouvernement peut effectuer une demande d'accès, mais rien ne sera cédé des données du client sans que la requête ne soit examinée par un juge. Par ailleurs, Microsoft précise les cas où une demande d'accès aux données d'un client peut survenir et ceux où elle se réserve le droit de ne pas répondre à la requête : "[..]mal rédigée, contenant des erreurs d'objet, ou trop exagérément large".

Ces dispositions, qui interviennent dans la question du risque d'application du CLOUD Act, ont certainement joué dans le jugement pour le maintien de Microsoft pour l'hébergement du Health Data Hub ce 14 octobre dernier. Mais il ne s'agit pas d'un retournement de la situation [12]. Ce sont les risques de transferts et de non-respect des clauses de la loi sur la Réglementation sur la Protection Générale de Donnée, la RGPD du 27 avril 2016 qui définissent cette opposition [13]. La RPGD encadre les bonnes pratiques sur la manipulation des données personnelles au sein de l'Union européenne. Il est précisé dans l'article 3 que "[l]es sociétés non européennes sont également soumises au règlement [RGPD] dès qu'elles ciblent les résidents de l'UE par le profilage ou proposent des biens et des services à des résidents européens". C'est cette confrontation entre les deux textes, qui a conduit la CJUE à rendre sa décision sur l'inadéquation de la RGPD avec le Privacy Shield [14].

Le Health Data Hub : la conduite d'un projet visionnaire en dépit de risques multiples.

Selon le Conseil d’État, les obligations liées au contrat avec Microsoft devraient permettre d'avoir le temps nécessaire de choisir une solution "pérenne". Mais pourquoi avoir choisi Microsoft en premier lieu ? Les indéterminations sur les risques liés à un hébergeur privé restent aujourd'hui les mêmes [15] qu'au moment de la mise en application de la loi "Ma santé 2022"[16]. Cette loi prévoyait la création d'un Health Data Hub. Celui-ci, inscrit dans le projet de transition vers le numérique, la loi "Ma santé 2022" a posé les fondements d'une transformation de l'offre sur le stockage et l'utilisation des données médico-administratives [17]. Le Health Data Hub est né principalement de l'augmentation du Système National des Données de Santé (SNDS) et il regroupe les données de l'Assurance Maladie (SNIIRAM), les données des hôpitaux, les causes médicales de décès (base du CépiDC de l'Inserm), les données des MDPH (les Maisons Départementales des Personnes Handicapées) et des données issues d'organismes d'Assurance Maladie complémentaire [18]. Toutes ces données sont ainsi centralisées sur une plateforme unique avec un accès en portail, autant de facteurs de risque sur lesquels la situation actuelle ravive les questionnements.

Au moment du lancement du Health Data Hub, le Conseil National de l'Ordre des Médecins (CNOM), s'est joint aux côtés de la CNIL pour soulever ces points importants et mettre en garde sur la protection des données à caractère personnel[19]. Pour le CNOM, la question de l'hébergement sur des serveurs privés est un facteur de risque, mais la non-divulgation de l'identité des personnes en est également un. Les données hébergées ne peuvent pas être totalement anonymisées. Le Sénat dans une réponse à une question écrite du 13 février 2020 argue que cela entraverait une partie des travaux de recherche. Dans cet article du Journal officiel, il est précisé les modalités d'encryption et de chiffrage appliqués aux données et à l'architecture même du Hub [20]. On comprend néanmoins aisément comment les doutes quant à la protection de ces données peuvent subsister malgré ces arguments avancés. Les épidémiologistes Marcel Goldberg et Marie Zins s'exprimaient dans une tribune du Monde du 29 octobre 2020 à ce sujet, présentant le risque éventuel de ré-identification des individus par recoupement des données stockées [21]. 

Interhop, une association technico-juridique spécialisée dans les logiciels Open-source de gestion de données de santé, interpelle et répond à la déclaration de Microsoft: "des travailleurs en sécurité informatique dans des hôpitaux et cabinets d'audit indépendants s'expriment sur le chiffrement des données de santé sur le Health Data Hub". InterHop fournit en réponse à cela une analyse détaillée du fonctionnement des serveurs, des emplacements mémoires et des techniques de protection des data qui doivent rester utilisables [22]. Dans cette approche, différentes failles du système d'hébergement par Microsoft sont présentées. Les techniques classiques d'attaques sur les serveurs y sont rappelées, d'autres stratégies de contournements également, notoirement utilisées dans la lutte anti-criminalité :  les informations de chiffrement restent accessibles sur le processeur ; les informations traitées dans la mémoire vive peuvent être atteintes dans le cache. Si ce problème se pose dans le cas de l'hébergement du Health Data Hub par Microsoft, il n'en reste pas moins que les autres plateformes concurrentes auront à traiter de ces mêmes enjeux de sécurité dans le cas ou le système devrait être migré.

Microsoft Azure et le marché européen de la concurrence.

Les enjeux de la gestion des données de santé française sont à la hauteur de la prise de risque qui y est associée[23]. Dans le "Discours du Président de la République sur l'Intelligence artificielle" au Collège de France, Emmanuel Macron rappelait son objectif d'initier avec le Health Data Hub une nouveauté technologique et faire de la France une pionnière dans le domaine [24]. Il s'agit de "Recourir au numérique pour mieux soigner" c'est là l'objectif du projet présenté au Sénat en février 2019 par le député Cédric Villani et son collaborateur le sénateur M. Gérard Longuet [25].  Dans le rapport présenté, "L'intelligence artificielle et les données de santé", les finalités du dispositif de stockage et d'analyse des données médico-administratives est présenté de manière projective. Les données de 67 millions d'assurés sociaux seront analysées par des humains assistés dans leur démarche scientifique par la puissance de traitement des outils d'IA. Cela a été conçu pour permettre l'avancée dans des domaines de recherche qui exploiteront ces données ouvertes. Force est de constater que deux ans après sa mise en service, le Health Data Hub est reconnu à l'échelle européenne pour son fonctionnement et ses travaux. Le 11 juin la plateforme française a été nommée autorité compétente en  France à participer à l'action conjointe européenne sur les données de santé. En compagnie de 26 autres pays, le Health Data Hub est invité à contribuer à l'élaboration du "European Health Data Space", et à fournir ses recommandations à la Commission européenne [26].

Le Health Data Hub n'est pas remis en cause par la gouvernance en tant que tel. Les déclarations du juge des référés au Sénat le 14 octobre dernier en témoigne. Le courrier du Ministre des Solidarités et de la Santé Olivier Veran à la présidente de la CNIL Mme Marie-Laure Denis le confirme[2] : si une remise en conformité avec les normes de sécurités prévues par la loi s'impose, le Health Data Hub, lui devrait perdurer. Pour certains membres de l'Assemblée nationale comme M. Pierre-Alain Raphan, un député La République en Marche, la mise en suspens du projet de plateforme de santé est en possible : "[p]ourquoi ne pas décaler ce projet de HDH d'un an ou un an et demi, le temps de faire monter en puissance un cloud au niveau de l'Europe?" La joute risque fort de se poursuivre le temps de l'appel d'offres, ce qui peut durer "entre six mois et un an pour un appel d'offres de ce type", selon Guy Mamou-Mani, co-dirigeant de la société Open, en charge de la maitrise d'ouvrage pour Health Data Hub [28]. Avant même la décision de la CJUE révoquant le Privacy Shield des dispositions en anticipations se prenaient. Lors d'une conférence du 23 juin 2020, le Secrétaire d'Etat au numérique annonçait le lancement d' "un appel d'offres afin d'avoir un choix plus large avec les spécifications qui permettront à quelqu'un de se positionner"[29].

Pour Guillaume Poupard, le Directeur général de l'Agence Nationale de la Sécurité des Systèmes d'Information (ANSSI), la sélection de Microsoft a été faite parce que "dans une phase de prototypage, le choix d'une solution facile d'emploi a été privilégié" [30]. Si c'est historiquement l'une des explications qui permettent de comprendre le choix de la solution Microsoft Azure, l'avance technologique n'en reste pas moins un facteur déterminant dans la décision d'alors. Stéphanie Combes, Directrice du Health Data Hub, s'exprime à ce sujet au cours d'une interview pour TICsanté : après avoir voulu privilégier les "acteurs français: Thalès, OVH, Atos..." le constat s'imposait "[a]ucun n'était en mesure de faire ce que nous demandions, [Microsoft] était le seul capable de répondre à nos demandes"[31]. Microsoft a acquit avec cela une expérience suivie, depuis le lancement de la Plateforme et participé à un succès européen, en dépit de la polémique.  A près de 200 000 euros pour l'hébergement annuel de la plateforme, ainsi que des retombées économiques associées, on peut comprendre l'envie pour Microsoft de ne pas perdre cette facette de son marché européen.

Mais pour Guillaume Poupard : "[...]revenir sur une solution européenne idéalement qualifiée par l'Anssi (sic.) et non-soumise à des lois extra-territoriales serait de bon goût". Il semble que malgré les hésitations, la gouvernance en France soit aussi de cet avis. Les projets français et européens ont eu l'occasion de croître pendant cette période. L'heure de se mesurer à nouveau à l'entreprise américaine est proche. Atos, Outscale, Capgemini, OVH,...la liste des acteurs de la concurrence peut s'étendre encore d'avantage. Pour envisager une solution à un problème européen, les entreprises de la tech s'organisent. Le projet s'appelle Gaia-X, un projet franco-allemand fort de 22 membres. Cédric Prévost, Directeur solutions Cloud de confiance chez Orange décrit le projet à Usine-digitale : "Gaia-X cherche à fonctionner de manière décentralisée et à fédérer les fournisseurs de services et d'infrastructures existantes"[32].  Les mois prochains nous diront si cette stratégie de disruption peut porter ses fruits dans l'opposition au géant américain. 

Pour la gouvernance en charge de la décision finale, reste à savoir lesquelles de ces contraintes joueront le plus dans cette prise de décision : la possibilité de transfert des données vers les États-Unis ; les limitations technologiques en matière d'IA des acteurs européens ou la capacité à sécuriser les données via des voies techniques et juridiques. 

 

Références bibliographiques :

[1] Le Monde. Données de santé : le gouvernement veut rapatrier le Health Data Hub, hébergé chez Microsoft. lemonde.fr Publié le 9 octobre 2020. [En ligne]. Consulté le 16/10/2020. Disponible à l'adresse : <https://www.lemonde.fr/pixels/article/2020/10/09/donnees-de-sante-le-gouvernement-veut-rapatrier-le-health-data-hub-heberge-chez-microsoft_6055394_4408996.html>

[2] Conseil d'État. "Health Data Hub et protection de données personnelles : des précautions doivent êtres prises dans l'attente d'une solution pérenne". Décision contentieuse. conseil-etat.fr Publié le 14/10/2020. [En ligne]. Consulté le 16/10/2020.Disponible à l'adresse : <https://www.conseil-etat.fr/actualites/actualites/health-data-hub-et-protection-de-donnees-personnelles-des-precautions-doivent-etre-prises-dans-l-attente-d-une-solution-perenne>

[3] Congressional Research Service. H.R.4993. "Clarifying Lawful Overseas Use of Data or the CLOUD Act." congress.gov Publié le 02/06/2018. [En ligne]. Consulté le 23/10/2020.Disponible à l'adresse : <https://www.congress.gov/bill/115th-congress/house-bill/4943>

[4] JOUE.n°L207-1 2016/1250/CE- Directive 65/46/EC of the European Paliament and the Council on the adequacy of the protection provided by the EU-U.S. Privacy Shield. (notified under document C(2016) 4176). eur-lex.europa.eu Publié le 01/08/2016. (En ligne) Consulté le 23/11/2020. Disponible à l'adresse : <https://eur-lex.europa.eu/legal-content/EN/TX/?uri=uriserv%3AOJ.L_.2016.207.01.0001.01.ENG>

 [5] JOUE. n°L215 - 2000/520/CE : Décision de la Commission du 26 juillet 2000 conformément à la directive 95/46/CE du Parlement européen et du conseil, relative à la pertienence de la protection assurée par les principes de la "sphère de sécurité" et par les questions souvent posées y afférentes, publiées par le ministère du commerce des États-Unis d'Amérique [notifiée sous le numéro C(2000)2441] (Texte présentant de l'intérêt pour l'EEE). eur-lex.europa.eu Publié le 25/08/2000. [En ligne] Disponible à l'adresse : <https://eur-lex.europa.eu/legal-content/FR/TXT/?uri=CELEX%3A32000D0520>

 [6]European Data Protection Board- Foire aux questions sur l'arrêt rendu par la Cour de justice de l'Union européenne dans l'affaire C-311 - Data Protection Comissioner contre Facebook Ireland Ltd et Maximilian Schrems. edpb.europa.eu Publié le 24 Juillet 2020. [En ligne] Disponible à l'adresse : <https://edpb.europa.eu/our-work-tools/our-documents/ohrajn/frequently-asked-questions-judgment-court-justice-european-union_fr>

 [7] LELOUP, Damien ; DUCOURTIEUX, Cécile ; UNTERSINGER, Martin Les conséquences de l'invalidation de l'accords "Safe Harbor" sur les données personnelles. lemonde Publié le 07/10/2015 [En ligne] Disponible à l'adresse :<https://www.lemonde.fr/pixels/article/2015/10/06/safe-harbor-que-change-l-arret-de-la-justice-europeenne-sur-les-donnees-personnelles_4783686_4408996.html>  

[8] 95th United States Congress. 91 STAT. 1494  L95-213 [S.305] "Foreign Corrupt Practices Act of 1977" uslaw.link Publié le 19/12/1977.Consulté le 23/10/2020 PDF disponible à l'adresse : < https://www.govinfo.gov/link/statute/91/1494?link-type=pdf>

[9] 107th United States Congress. H.R.3162. L357-66. Uniting and Strengthening America by Providing Appropriate Tools Required to Intercept and Obstruct Terrorim (USA PATRIOT ACT) Act of 2001. congress.gov Publié le 23/10/2001. [En ligne] Consulté le 23/11/2020. Disponible à l'adresse : <https://www.congress.gov/bill/107th-congress/house-bill/3162>

[10] 110th United States Congress. H.R. 6304. L110-261 ; 7/10/2008. Foreign Intelligence Surveillance Act of 1978 - Amendments Act of 2008. it.ojp.gov Publié le 09/19/13 [En ligne] Disponible à l'adresse :<https://it.ojp.gov/privacyliberty/authorities/statutes/1286>

[11] Microsoft. Data Law "About our practices and your data" blogs.microsoft.com [En ligne] Consulté le 11/11/2020. Disponible à l'adresse : <https://blogs.microsoft.com/datalaw/our-practices/>

[12] Le Monde. Collectif. "L'exploitation de données de santé sur une plate-forme de Microsoft expose à des risques multiples" lemonde.fr Publié le 10/12/2019 [En ligne]. Consulté le 25/11/2020. Disponible à l'adresse : <https://www.lemonde.fr/idees/article/2019/12/10/l-exploitation-de-donnees-de-sante-sur-une-plate-forme-de-microsoft-expose-a-des-risques-multiples_6022274_3232.html

[13] JOUE. Règlement UE 2016-679 du Parlement européen et du conseil de l'Union Européenne relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données-version consolidée. eur-lex.europa.eu Publié le 04/05/2016 [En ligne]. Disponible à l'adresse :<http://data.europa.eu/eli/reg/2016/679/oj>

[14] Cour de Justice de l'Union Européenne. C-311/18 The Court of Justice Invalidates Decision 2016/1250 on the adequacy of the protection provided by the EU-US Data Protection Shield. curia.europa.eu Publié le 16/07/2020 [Téléchargement] Disponible à l'adresse : <https://curia.europia.eu/jcms/upload/docs/application/pdf/2020-07/cp200091en.pdf>

[15] Conseil d'État. EA17_CE. Etude annuelles : Puissance publique et plateformes numériques : accompagner l' "ubérisation".  conseil-etat.fr Publié le 28/09/2018 [En ligne] Consulté le 24/11/2020. Disponible à l'adresse: <https://www.conseil-etat.fr/Media/actualite/documents/2020/02-fevrier/ea17_ce_uberisation_dila_etude>

[16] Article L. 1462-1 du Code de la santé publique - version en vigueur au 1 juin 2019. [Modifié par l'ordonnance n°2018-1125 du 12 décembre 2018- art.21 - al.1-5] legifrance.gouv.fr [En ligne]. Consulté le 16/10/2020. Disponible à l'adresse : <https://www.legifrance.gouv.fr/codes/article_lc/LEGIARTI000038886833/

[17]Code de la Santé. L.2019-774 relative à l'organisation et à la transformation du système de santé. www.legifrance.gouv.fr Publié le 24/07/2019. [En ligne] Disponible à l'adresse : <https://www.legifrance.gouv.fr/dossierlegislatif/JORFDOLE000038124322/>

[18] SNDS. Qu'est-ce que le SNDS ? snds.gouv.fr Publié le 10/03/2019 [En ligne] Disponible à l'adresse : <https://www.snds.gouv.fr/SNDS/Qu-est-ce-que-le-SNDS>

[19] Conseil National de l'Ordre des médecins. Le Health Data Hub. conseil-national.medecin.fr Publié le 16/05/2019. [En ligne]. Consulté le 16/10/2020. Disponible à l'adresse : <https://www.conseil-national.medecin.fr/lordre-medecins/conseil-national-lordre/sante/donnees-personnelles-sante/health-data-hub

[20] JO Sénat Q.n°14130 de M. Claude Reynal. Modalités de stockage du "health data hub". senat.fr Publié le 13/02/2020. [En ligne] Disponible à l'adresse : <http://www.senat.fr/questions/base/2020/qSEQ200114130.html>

[21] GOLBERG, Marcel ; ZINS, Marie. Données de santé : La plateforme "Health Data Hub" pose des questions de sécurité majeures". lemonde.fr Publié le 29/10/2020 [En ligne/Paywall] Disponible à l'adresse : <https://www.lemonde.fr/idees/article/2020/10/29/donnees-de-sante-la-plate-forme-health-data-hub-pose-des-questions-de-securite-majeures_6057741_3232.html>

[22] InterHop. Pourquoi le Health Data Hub travestit la réalité sur le chiffrement des données de santé sur Microsoft Azure. interhop.org Publié le 15/06/2020 [En ligne] Diponible à l'adresse : <https://interhop.org/2020/06/15/healthdatahub-travestit-le-chiffrement-des-donnees

[23] BUZYN, Agnès. Création officielle du Health Data Hub. solidarité-santé.gouv.fr Publié le 02/12/2019 [En ligne]. Consulté le 20/11/2020. Disponible à l'adresse : <https://solidarites-sante.gouv.fr/actualites/presse/communiques-de-presse/article/creation-officielle-du-health-data-hub

[24] Elysée ; M. le Président de la République, Emmanuel Macron. Discours du Président de la République sur l'intelligence artificielle. elysee.fr Publié le 29/03/2020 [En ligne] Disponible à l'adresse :<https://www.elysee.fr/emmanuel-macron/2018/03/29/discours-du-president-de-la-republique-sur-lintelligence-artificielle>

[25] LONGUET, Gérard ;VILLANI, Cédric. Rapport n°401 (2018-2019) "Sur l'intelligence artificielle et les données de santé". sénat.fr Déposé le 21 mars 2019 [En ligne]. Consulté le 21/11/2020. Disponible à l'adresse :<http://www.senat.fr/rap/r18-401/r18-401.html

[26] Health Data Hub. Le HDH autorité compétente pour l'action conjointe européenne sur les données de santé. health-data-hub.fr Publié le 15/10/2020 [En ligne] Disponible à l'adress : <https://www.health-data-hub.fr/post/action-conjointe-sur-l-espace-europ%C3%A9en-des-donn%C3%A9es-de-sant%C3%A9-le-hub-nomm%C3%A9-autorit%C3%A9-comp%C3%A9tente-pour>

[27]HOURDEAUX, Jérôme. Health Data Hub : Véran s'engage à retirer l'hébergement à Microsoft d'ici "deux ans". mediapart.fr Publié le 22/11/2020. [En ligne]. Disponible à l'adresse: <https://www.mediapart.fr/journal/france/221120/health-data-hub-veran-s-engage-retirer-l-hebergement-microsoft-d-ici-deux-ans>

[28] GUEGEN, Elodie ; Cellule investigation de Radio France. Le choix de Microsoft pour héberger les données de santé des Français fait polémique. franceculture.fr Publié le 02/10/2020 [En ligne] Disponible à l'adresse :<https://www.franceculture.fr/societe/le-choix-de-microsoft-pour-heberger-les-donnees-de-sante-des-francais-fait-polemique>

[29] VITARD, Alice. Health Data Hub : Face aux critiques liées à Microsoft, le gouvernement annonce un appel d'offres. usine-digitale.fr Publié le 23 juin 2020 [En ligne]. Consulté le 24/11/2020. Disponible à l'adresse : <https://www.usine-digitale.fr/article/health-data-hub-face-aux-critiques-le-gouvernement-va-mettre-microsoft-en-concurrence.N978681

[30] ibid.

[31] CARAVAGNA, Léo. Microsoft prestataire du Health Data Hub : Un choix "d'opportunité" pour "aller vite". ticsanté.com Publié le 27/12/2019. [En ligne]. Consulté le 20/11/2020.Disponible à l'adresse : <https://www.ticsante.com/story/4937/microsoft-prestataire-du-health-data-hub-un-choix-d-opportunite-pour-aller-vite.html>

[32] LAUSSON, Julien. Microsoft et Health Data Hub : la piste d'un hébergement français se précise. numerama.com Publié le 24/06/2020. [En ligne] Disponible à l'adresse : <https://www.numerama.com/tech/632812-microsoft-et-health-data-hub-la-piste-dun-hebergement-francais-se-precise.html>

jeudi 26 novembre 2020

Les cookie walls : une pierre d’achoppement pour la protection des données personnelles (2/2)

Le conseil d’Etat ayant jugé que les cookie walls sont licites, la Commission nationale de l’informatique et des libertés (CNIL) a désormais la tâche délicate de leur donner un cadre légal qui garantisse un équilibre entre la liberté du consentement et la liberté d’entreprendre [1]. Or, dans ses nouvelles lignes directrices sur les "cookies et autres traceurs", la commission adresse aux éditeurs de sites web ce qui semble n’être qu’un appel à la prudence, bien éloigné des règles attendues. Ainsi, elle se borne à constater que l’utilisation des cookie walls "est susceptible de porter atteinte, dans certains cas, à la liberté du consentement (…)" [2]. Cependant, ce faisant, elle ne se défausse pas de sa responsabilité mais indique qu’elle adopte une approche empirique pour mettre à jour progressivement les conditions de cette conciliation. 

En tant qu’autorité administrative indépendante (AAI), la CNIL a pour mission de réguler le domaine de la protection des données personnelles par le conseil (information et accompagnement) et le contrôle (enquêtes et sanctions) [3]. Dans ces deux circonstances, elle sera amenée à apprécier "au cas par cas" [4] la conformité des dispositifs de cookies et à clarifier leur régime juridique. De plus, elle associera les éditeurs de sites web à cette casuistique juridique car ils ont une responsabilité particulière en matière de protection des données personnelles. En effet, d'une part, ils décident librement des moyens qu’ils utilisent pour mettre leurs traitements en conformité avec le règlement général sur la protection des données (RGPD) [5]. Et, d'autre part, ils doivent être en mesure de prouver que leurs choix sont adéquats pour atteindre cet objectif (principe dit d’"accountability") [6]. Ils sont donc co-régulateurs, dans une certaine mesure.

Tout d’abord, les éditeurs de sites web peuvent demander l’avis de la commission sur les cookie walls qu’ils souhaitent créer. Que ce soit individuellement en lui soumettant l’analyse d’impact relative à la protection des données (AIPD) du traitement contenant le dispositif de cookies, au motif qu’il présente un risque résiduel élevé pour la liberté du consentement des internautes [7]. Ou, collectivement, si les éditeurs de sites web d’un secteur décident de se doter d’un code de conduite contenant des dispositions relatives aux cookie walls. Un tel code devant alors être soumis à l’approbation de la CNIL [8].

Ensuite, la commission peut se prononcer sur la conformité des cookie walls dans le cadre de son contrôle a posteriori des traitements de données personnelles. Elle entamera alors une discussion avec l’éditeur de site web contrôlé et pourra l’orienter dans sa recherche d’une solution qui respecte la réglementation.

Enfin, si l’éditeur persiste à ne pas rentrer dans les clous, elle devra argumenter l’éventuelle décision de sanction.

Ce sont donc autant d'opportunités pour l'AAI de préciser les règles applicables aux cookie walls.

Par ailleurs, la CNIL pourra s’appuyer sur l'intention des législateurs européen et français, ainsi que sur la doctrine pour déterminer les conditions dans lesquelles les cookie walls sont acceptables. Celles-ci en distinguent quatre, que la commission pourra retenir ou pas :

1/ Le recours au cookie wall permet à l’éditeur d’atteindre un objectif légitime [9]. Par exemple, il a pour but de financer un site offrant des services non-marchands.

2/ Il existe des alternatives raisonnables, disponibles et accessibles qui permettent d’obtenir le même service [10]. Par exemple, l’internaute peut accéder au même site web contre le paiement d’une somme raisonnable ; ou il peut utiliser un service similaire accessible librement sur un autre site web.

3/ La personne qui refuse de donner son consentement ne subit pas un préjudice significatif en conséquence [11].

4/ L’internaute n’est pas contraint à accepter le cookie wall pour obtenir l’exécution d’un contrat qui, par ailleurs, le lie à l’éditeur du site web (pratique dite du "couplage" qui entraîne une présomption d’illégalité des cookies) [12].

Cela étant écrit, l’inconvénient majeur de cette démarche empirique de la CNIL est qu’elle maintient les éditeurs de sites web dans l’insécurité juridique aussi longtemps que les critères de légalité des cookie walls ne sont pas officiellement dégagés. Et, en conséquence, elle les expose au risque d’être sanctionnés.

Dès lors, la solution la plus sage pourrait encore être d’attendre patiemment que le législateur européen adopte le règlement ePrivacy et statue définitivement sur le régime juridique des cookie walls à cette occasion [13]. En espérant qu’il ne tarde plus trop à se prononcer.


Sources :

[1] Voir notre billet précédent : « Les cookie walls : une pierre d’achoppement pour la protection des données personnelles » (1/2)

[2] CNIL, délibération n°2020-091 du 17 septembre 2020 portant adoption de lignes directrices relatives à l'application de l'article 82 de la loi du 6 janvier 1978 modifiée aux opérations de lecture et écriture dans le terminal d'un utilisateur (notamment aux « cookies et autres traceurs ») et abrogeant la délibération n°2019-093 du 4 juillet 2019; article 2. Disponible en ligne : [consulté le 19/11/2020] <https://bit.ly/3nEQUI7>.

[3] Loi n°78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés ; dite « loi Informatique et Libertés » (telle que modifiée au 1er janvier 2020. Disponible en ligne : [consulté le 19/11/2020] <https://bit.ly/2IRQob5>.

[4] CNIL, ibidem [2], article 2.

[5] Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données); article 5, 2. Disponible en ligne : [consulté le 19/11/2020] <https://bit.ly/36UZ7Bv>. 

[6] RGPD, ibidem, article 5, 2.

[7] RGPD, ibidem, article 36.

[8] RGPD, ibidem,  article 40.

[9] Directive 2002/58/CE du Parlement européen et du Conseil du 12 juillet 2002 concernant le traitement des données à caractère personnel et la protection de la vie privée dans le secteur des communications électroniques (directive vie privée et communications électroniques); considérant 25 de la directive ePrivacy. Disponible en ligne : [consulté le 19/11/2020] <https://bit.ly/3fhHHT2>.

[10] ALIX Pascal. Il est plus facile pour un chameau (de passer par le chas d’une aiguille que pour les responsables de traitement d’obtenir un consentement libre et éclairé au dépôt et à la lecture de cookies tiers). Légipresse (site web), octobre 2020, para. I. E. Disponible en ligne : [consulté le 19/11/2020] <https://bit.ly/3pVGSoa>.

[11] LALLET Alexandre, rapporteur public, conclusions sous CE, 19 juin 2020, Association des agences conseil en communication et autres, n°434684, p. 10. Disponible en ligne : [consulté le 20/11/2020] <https://bit.ly/3lOKZQv>.

[12] LALLET A., ibidem p. 8.

[13] En ce sens voir ALIX P., ibidem [9], para. I. E.

mercredi 25 novembre 2020

RGPD : ce qu'il faut savoir sur la collecte des données à caractère personnel.

Ce qu'il faut retenir du RGPD

Le monde évolue, les habitudes changent, de même que les outils. Les entreprises font face à une gestion efficiente du flux informationnel et de la collecte des données à caractère personnel dans le cadre de l'exercice de leur fonction et services offerts aux usagers.

Beaucoup sommes nous aujourd'hui à visiter les sites internet. Afin d'encadrer l'usage réservé aux informations lors de nos différents échanges sur internet, l'union européenne a instauré un règlement, un texte en matière de protection des données appelé "Règlement général sur la protection des données". Il vise à unifier et à renforcer la protection des données pour les individus au sein de l'Union européenne. 

Selon Jérémie Courtois, "L'idée de ce règlement est de replacer la personne au centre de la scène et lui faire comprendre que c'est elle qui doit avoir la maîtrise de ses données."  

Il ajoutera que "Une entreprise qui collecte et traite des données personnelles doit informer les personnes d'un certain nombre de choses sur le traitement de leurs données personnelles. Cela a toujours été le cas, notamment l'une des informations principales, qui est la finalité des traitements." [1]

Le consentement de la personne concernée doit être spécifique à chaque traitement réservé à ses données. 

Le juge européen pour parvenir à ses fins de respect de ce règlement sanctionne en cas de récidives les entreprises avec de lourdes amendes. C'est le cas de certaines entreprises comme Orange et Spartoo.


RGPD : Orange épinglé par le juge européen sur sa collecte des données personnelles "par défaut"

Une filiale d'Orange en Roumanie conservait illégalement des copies des titres d'identité de ses clients et avait été sanctionnée par l'autorité de protection des données locales. Le juge européen vient de donner raison à cette dernière, rappelant qu'une case cochée par défaut ne prouve pas le consentement d'une personne.

La cour de justice de l'Union européenne (CJUE) rappelle, dans une décision rendue le 11 novembre, qu'une case pré-cochée ne permet pas de prouver le consentement d'une personne, qui doit être "libre, spécifique, éclairé et univoque", d'après le Règlement général sur la protection des données.

L'affaire implique Orange Romania, la filiale locale du groupe français de télécommunications Orange. L'autorité de protection des données roumaine lui a infligé une sanction pécuniaire pour avoir collecté et conservé les copies des titres d'identité de ses clients sans leur consentement exprès   [2]. La cour de justice de l'Union européenne rappellera à Orange Roumania, les conditions dans lesquelles le consentement des clients au traitement des données personnelles est valable ou pas. Elle enchérira en disant que l'entreprise devrait permettre au client une véritable liberté de choix.

Le site de vente de chaussures SPARTOO sanctionné pour non-respect du RGPD

Pour non-respect du RGPD, SPARTOO, cette entreprise spécialisée dans la vente en ligne de chaussures reçoit une amende de 250.000 euros. Pour les faits qui lui sont reprochés, nous avons "Un manquement au principe de minimisation des données" estimant notamment que "l'enregistrement intégral et permanent des appels téléphoniques reçus par les salariés du service client est excessif".

La CNIL, lors d'un contrôle, met en cause la durée de conservation des informations personnelles des clients de SPARTOO. "Lors du contrôle de la CNIL, aucune durée de conservation des données des clients et des prospects n'était mise en place par la société qui n'effaçait pas régulièrement les données personnelles et ne les archivait pas". Ce qui met en danger la sécurité des données bancaires des clients.[3]

RGPD : Les organisations ont profité du confinement pour se mettre à jour 

L'éditeur Data Legal Drive dans une enquête a constaté que 40% des DPO (délégués à la protection des données et juristes ont profité du confinement pour traiter les sujets de fonds de la mise en conformité du RGPD de leur entreprise. C'est notamment le cas pour la mise à jour du registre des traitements qui a fait l'objet d'une attention particulière pour près de la moitié des répondants.

"La mise en place du confinement a massivement permis aux entreprises de prendre pleinement conscience du chemin à parcourir : le télétravail suppose une réorganisation des ressources humaines poussée avec des questions de droit social et de vie privée, et une mise à niveau des process de sécurisation des données" observe Sylvain Staub, PDG de Data Legal Drive et associé du cabinet DS Avocats.[4]

En  somme, il convient de rappeler que l'internet tel qu'il est une bonne chose et permet de gérer le flux informationnel et rend plus collaboratif et facile le travail en entreprise. Il contient de risques en cas d'une mauvaise gestion des données personnelles d'un usager. Et il faudra réserver à ces dernières beaucoup de rigueur et des droits à respecter. Les DPO  se doivent d'informer le client de l'usage qu'ils  feront des informations et de la durée de conservation. Nous avons eu pour exemple des structures qui ont reçu des amendes pour n'avoir pas respectés le RGPD sur les données à caractère personnel. 

Les archives papiers comportant des données à caractère personnel au sein d'une entreprise, que faut-il savoir ? 

[1] RGPD : Ce qu'il faut savoir. BPIFRANCE. N° du 18 Avril 2018. [en ligne]. Disponible sur https://www.bpifrance.fr/A-la-une/Actualites/RGPD-ce-qu-il-faut-savoir-38409. Consulté le 23/11/2020.

[2] VITARD, Alice. RGPD: Orange épinglé par le juge européen sur sa collecte des données à caractère personne par "défaut". In Usine Digitale. Publié le 13/11/2020. Consulté le 24/11/2O2O. Disponible sur https://www.usine-digitale.fr/article/rgpd-orange-epingle-par-le-juge-europeen-sur-sa-collecte-des-donnees-personnelles-par-defaut.N1027789.

[3] La CNIL sanctionne le site SPARTOO pour ne pas avoir respecté le règlement général sur la protection des données personnelles. In "Le monde". Publié le 05/08/2020. [En ligne]. Consulté le 24/11/2020. Disponible sur https://www.usine-digitale.fr/article/rgpd-orange-epingle-par-le-juge-europeen-sur-sa-collecte-des-donnees-personnelles-par-defaut.N1027789. 

[4] TEXIER, Bruno. Le RGPD dopé par le confinement. In "Archimag". Publié le 25/05/2020. Consulté le 25/11/2020. Disponible sur https://www.archimag.com/vie-numerique/2020/05/25/rgpd-dope-confinement. 

  

Les cookie walls : une pierre d’achoppement pour la protection des données personnelles (1/2)

Le 17 septembre 2020, la Commission nationale de l’informatique et des libertés (CNIL) a adopté la version corrigée de ses lignes directrices sur les "cookies et autres traceurs" [1]. Cette révision est la conséquence d’un arrêt du conseil d’Etat (CE), rendu le 19 juin précédent, par lequel il a recadré la commission sur l’exercice de ses compétences d’autorité régulatrice de la protection des données personnelles [2] [3].

Plus spécifiquement, la haute juridiction a annulé pour excès de pouvoir l’interdiction générale et absolue d’utiliser des cookie walls que la CNIL opposait aux éditeurs de sites web [4]. En effet, le juge administratif a constaté qu’il n’est pas possible de proscrire définitivement ces dispositifs sur la base de la seule interprétation du règlement général sur la protection des données (RGPD) [5]. Et, par conséquent, il en a conclu que la commission avait créé une règle inédite au lieu de simplement clarifier le droit existant.

Ainsi, les cookie walls étant licites, il incombe désormais à la CNIL de dégager le régime juridique de leur utilisation. Ces nouvelles lignes directrices sont le premier jalon qu’elle pose sur cette voie semée d’embûches.


Initialement, la CNIL s’était alignée sur la position du Comité européen de la protection des données (CEPD) qui interprète strictement l’article 4, 11) du RGPD, aux termes duquel le consentement doit être libre pour être valide [6]. En l’occurrence, le comité estime que la menace de se voir refuser l’accès à un site web constitue, à elle seule, une contrainte suffisante pour que la personne concernée se sente obligée d’accepter le cookie wall et, en conséquence, qu’elle vicie son consentement. Cela quel que soit le préjudice réel qui aurait résulté de l’éventuel déni d’accès.

Cependant, cette position intransigeante est incompatible avec la lettre et l’esprit de la directive européenne dite "ePrivacy" [7] qui réglemente l’utilisation des cookies et a été transposée en France dans plusieurs textes, dont la loi Informatique et Libertés [8]. En effet, à l’occasion de l’adoption de ces normes, les législateurs européen et français ont reconnu que l’accès à un site web peut être subordonné à la condition que l’internaute accepte l’installation de cookies sur son terminal, si ceux-ci sont utilisés "à des fins légitimes" [9]. Ce faisant, ils ont entendu autoriser l’un des modèles économiques de l’Internet, dit « troc 2.0 », qui permet aux éditeurs de sites web de financer les services qu’ils offrent "gratuitement" aux internautes : ils se rétribuent en exploitant les données personnelles des utilisateurs pour pouvoir leur présenter de la publicité ciblée payée par des annonceurs.


Ces deux positions traduisent des conceptions de la nature juridique des données personnelles qui se sont développées en parallèle et s’opposent fondamentalement, bien qu’elles soient ancrées dans la réalité de l’Internet.

D’un côté, il y a les tenants de l‘extra-patrimonialité qui souhaitent que les données personnelles soient mises hors commerce. Cela, d’une part, pour permettre aux individus d’en garder la maîtrise et, d’autre part, parce que ces derniers seraient en position de faiblesse par rapport à ceux qui exploitent leurs données. C’est pourquoi ils mettent aussi en avant la protection de la liberté de consentement et de la liberté d’accès à l’information [10].

De l’autre, se trouvent ceux qui privilégient le fait que l’exploitation commerciale des données personnelles est un moteur de croissance économique et de progrès scientifique. Quant à eux, ils insistent sur le respect de la liberté contractuelle et de la liberté d’entreprendre [11].

Etant donnée l’importance des conséquences juridiques et économiques de l'arbitrage à faire entre ces deux positions, il doit être rendu au niveau politique de l’Union européenne [12]. De fait, la solution devrait être donnée par le projet de règlement qui doit remplacer la directive ePrivacy. Cependant, ce dernier est en discussion depuis avril 2016 et le débat semble s’être enlisé [13].


Dès lors, en annulant l’interdiction des cookie walls, le CE a imposé la mission particulièrement complexe, délicate et précaire de palier cette incertitude à la CNIL. Mais c’est une tâche pour laquelle sa qualité d’autorité administrative indépendante (AAI) la prédispose. En quelque sorte…

A suivre.

________________________________________


[1] CNIL, délibération n°2020-091 du 17 septembre 2020 portant adoption de lignes directrices relatives à l'application de l'article 82 de la loi du 6 janvier 1978 modifiée aux opérations de lecture et écriture dans le terminal d'un utilisateur (notamment aux « cookies et autres traceurs ») et abrogeant la délibération n°2019-093 du 4 juillet 2019. Disponible en ligne : [consulté le 19/11/2020] <https://bit.ly/3nEQUI7>.

[2] CE, 19 juin 2020, Association des agences conseil en communication et autres, n°434684, para.10. Disponible en ligne : [consulté le 19/11/2020] <https://bit.ly/3fhoUYf>.

[3] Pour une analyse du « recadrage » de la CNIL par le CE, voir : METALLINOS Nathalie. La CNIL ne peut pas prononcer d'interdiction générale de la pratique des « cookie walls ». Communication Commerce électronique, septembre 2020, n° 9, comm. 66. Disponible en ligne : [consulté le 19/11/2020] <https://bit.ly/35LHc0s>.

[4] CNIL, délibération n°2019-093 du 4 juillet 2019 portant adoption de lignes directrices relatives à l'application de l'article 82 de la loi du 6 janvier 1978 modifiée aux opérations de lecture ou écriture dans le terminal d'un utilisateur (notamment aux cookies et autres traceurs). Article 2. Disponible en ligne : [consulté le 19/11/2020] <https://bit.ly/2UIcBuy>. 

[5] Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données). Disponible en ligne : [consulté le 19/11/2020] <https://bit.ly/36UZ7Bv>.

[6] CEPD, déclaration sur la révision de la directive ePrivacy et son incidence sur la protection de la vie privée et la confidentialité des communications électroniques, 25 mai 2018. Disponible en ligne : [consulté le 19/11/2020] <https://bit.ly/2UGiZm0>.

[7] Directive 2002/58/CE du Parlement européen et du Conseil du 12 juillet 2002 concernant le traitement des données à caractère personnel et la protection de la vie privée dans le secteur des communications électroniques (directive vie privée et communications électroniques). Disponible en ligne : [consulté le 19/11/2020] <https://bit.ly/3fhHHT2>.

[8] Loi n°78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés ; dite « loi Informatique et Libertés » (telle que modifiée au 1er janvier 2020. Disponible en ligne : [consulté le 19/11/2020] <https://bit.ly/2IRQob5>.

[9] LALLET Alexandre, rapporteur public, conclusions sous CE, 19 juin 2020, Association des agences conseil en communication et autres, n°434684, p. 6. Disponible en ligne : [consulté le 20/11/2020] <https://bit.ly/3lOKZQv>. 

[10] CEPD, ibidem [6].

[11] Commission européenne, Impact Assessment Accompanying the document Proposal for a Regulation of the European Parliament and of the Council concerning the respect for private life and the protection of personal data in electronic communications and repealing Directive 2002/58/EC (Regulation on Privacy and Electronic Communications). SWD(2017) 3 final, 10 janvier 2017. Disponible en ligne : [consulté le 19/11/2020] <https://bit.ly/3kHhWNi>.

[12] LALLET A., ibidem [9], p. 13.

[13] GAVANON Isabelle et LE MARECLE Valentin. Consentement en matière de cookies : le CEPD clarifie sa position dans des nouvelles lignes directrices. Dalloz actualité (site web), 15 mai 2020. Disponible en ligne : [consulté le 19/11/2020] <https://bit.ly/333C7in>.

mardi 24 novembre 2020

Déclassification des archives publiques "secret-défense" en France : à quand la fin du feuilleton?

 La question de l'accès aux archives classées "secret-défense" continue de faire couler beaucoup d'encre au sein de la presse française, des associations d'archivistes, chercheurs, juristes français et même de certaines organisations internationales telles que la Ligue des Droits de l'Homme (LDH) ou le Conseil international des archives (CIA) durant cette année 2020. Pour cause, l'adoption en 2019 d'une mesure interministérielle qui venait restreindre de manière rigoureuse l'accès aux archives contemporaines dont les dates extrêmes sont comprises entre 1940 et 1970. 

                                      ©️ Olivier Le Moal

 Que dit la loi française sur les archives publiques et leur communicabilité?

Le cadre législatif français est doté d'un arsenal juridique qui encadre l'accès aux archives de manière général. Les archives publiques bénéficient de différentes dispositions dont la loi n° 78-753 du 17 juillet 1978 portant diverses mesures d'amélioration des relations entre l'administration et le public et diverses dispositions d'ordre administratif, social et fiscal; la loi n° 2008-696 du 15 juillet 2008 relative aux archives ou encore le Code du patrimoine français dans sa version en vigueur depuis le 16 juillet 2008. 

Dans son article 2, la loi n° 78-753 du 17 juillet 1978 stipule que :

 "sous réserve des dispositions de l'article 6 les documents administratifs sont de plein droit communicables aux personnes qui en font la demande, qu'ils émanent des administrations de l’État, des collectivités territoriales, des établissements publics ou des organismes, fussent-ils de droit privé, chargés de la gestion d'un service public" [1].

Le Code du patrimoine, quant à lui, dans son article L213-2, définit clairement le délai au-delà duquel les documents d'archives publiques peuvent être librement consultés. Délai qui est de " soixante ans à compter de la date de l'acte pour les documents qui contiennent des informations mettant en cause la vie privée ou intéressant la sûreté de l’État ou la défense nationale et dont la liste est fixée par décret en Conseil d’État " [2].

Ainsi, la loi française est claire. Les archives publiques, patrimoine commun de la nation, sont communicables à toute personne qui en fait la demande dans le respect des dispositions légales. Dès lors, d'où vient-il que des archives publiques concernant l’État français datant de plus d'une cinquantaine d'années soient difficiles d'accès?  

Archivistes, juristes, historiens français et Al. VS l'article 63 de l'IGI n° 1300

La  faute à l'article 63 de l'instruction générale interministérielle n° 1300 s'offusquent de nombreux acteurs de la société française et internationale. L'application de cet article vient alourdir le processus de communication des archives frappées du sceau "secret-défense" en les subordonnant à une procédure de déclassification qui rend leur consultation incertaine. En dépit de l'argumentaire du Secrétariat de la Direction générale de la Sûreté nationale sur le bien-fondé de cette mesure, le Conseil international des archives (ICA) fit un communiqué de presse en octobre dernier pour dénoncer cette situation. Selon cette organisation,

"les archives sont le moyen essentiel de comprendre l'histoire ainsi que les décisions et les actions  prises par les gouvernements. La suppression de l'accès aux archives compromet non seulement la recherche, mais aussi la responsabilité et la transparence gouvernementale" [3].

En substance de cette affirmation, certains journalistes voient l'affaire Maurice Audin et d'autres questions de la période coloniale dont la résolution dépend fortement de l'accès sans restriction aux archives datant des années 1950 [4]

La Ligue des Droits de l'Homme (LDH) n'a pas manqué d'appuyer les associations et personnalités qui ont déposé un recours auprès du Conseil d’État. Parmi elles, on peut citer le collectif Archives ça-débloque, l'Association des archivistes français (AAF) et le collectif Maurice Audin [5]. Les actions menées par tous ces acteurs demeurent en cours. Et en attendant, toutes les personnes qui souhaitent consulter lesdites archives sont appelées à prendre leur mal en patience. 

En marge de cette affaire qui préoccupe les Français et la communauté internationale, ne faut-il pas voir une fois de plus l'importance du rôle sociétal des archives/archivistes (professionnels de l'information) qui contribuent, entre autre, à l'édification d'une société plus libre et démocratique ?

 

Références bibliographiques : 


[1] LANDAIS Claire, L
oi n° 78-753 du 17 juillet 1978 portant diverses mesures d'amélioration des relations entre l'administration et le public et diverses dispositions d'ordre administratif, social et fiscal, Paris, SGG [en ligne] consultée le 12/11/2020 : https://www.legifrance.gouv.fr/loda/article_lc/LEGIARTI000006528216/1978-07-18

[2] LANDAIS Claire, Code du patrimoine, Paris, SGG [en ligne] consultée le 12/11/2020 : https://www.legifrance.gouv.fr/codes/id/LEGIARTI000006845611/2008-07-16/

[3] Archives ça dé-bloque, page twitter Archives ça dé-bloque [consultée le 21/11/2020] : https://twitter.com/ArchiCaDebloque/status/1315960930845548544?ref_src=twsrc%5Etfw%7Ctwcamp%5Etweetembed%7Ctwterm%5E1315960930845548544%7Ctwgr%5E&ref_url=https%3A%2F%2Fwww.archivistes.org%2FSuivre-les-actualites-du-debat-sur-l-acces-aux-archives-classifiees-secret

[4] BORDENAVE Yves, Affaire Maurice Audin : des archives ouvertes au compte-gouttes, [en ligne], consulté le 21/11/2020 : https://www.lemonde.fr/politique/article/2020/09/02/affaire-audin-des-archives-ouvertes-au-compte-gouttes_6050634_823448.html

[5] GARY Nicolas, Secret-défense : le Conseil d’État se saisit des archives classifiées, Paris, Actualitté, 2020 [en ligne] consultée le 22/11/2020 : https://www.actualitte.com/article/patrimoine-education/secret-defense-le-conseil-d-etat-se-saisit-des-archives-classifiees/102936?origin=newsletter

vendredi 20 novembre 2020

Numérique Responsable : lancement de la plateforme Planet Tech'Care

Sous l'impulsion du Conseil National du Numérique (CNN), l'organisation professionnelle Syntec Numérique avec dix autres partenaires, ont lancé la plateforme Planet Tech'Care pour accompagner les entreprises et les acteurs de la profession souhaitant conduire une transition numérique responsable. Quelle est la motivation qui pousse les acteurs du secteur à se fédérer autour d'un manifeste et quel est le contexte dans lequel émerge cette plateforme ?

Le lancement de la plateforme Planet Tech'Care annoncé lors du colloque "Numérique et environnement" s'est déroulé le 8 octobre 2020 à Paris Bercy. Le colloque a été organisé conjointement par le Ministère de la Transition écologique, le Ministère de l'Économie, des Finances et de la Relance et le Secrétariat d’État en charge de la Transition numérique et des Communications électroniques. Cet événement a été l'occasion de rappeler les problématiques rattachées à la transformation accélérée du numérique que maintes entreprises et particuliers prennent en main dans le contexte social et professionnel dû à la crise sanitaire de la Covid-19.

Lors de l'édition de 2018 du même colloque se ressentait cette volonté d'allier la transformation numérique et la transition écologique des entreprises et des acteurs du secteur en France. Cette veine de conciliation vers un usage du numérique responsable a été mis en avant dans l'édition de 2020, pour diminuer l'impact négatif que peut avoir la transition numérique sur l'environnement car, comme l'évoque Jean-Marc Jancovici, président du Shift Project : « Le numérique tel qu’il est aujourd’hui n’est absolument pas durable » [1].

Pour expliquer cette prise de conscience, il faut citer le rapport publié en 2019 par GreenIT.fr [2] qui a présenté le taux d'émission de gaz à effet de serre pour le secteur numérique qui s'élève à 3%. Comme élément de comparaison nous pouvons rappeler que ce pourcentage se rapproche de celui produit par le secteur de l'aéronautique. L'étude de GreenIT.fr a mis l'accent sur l'aspect polluant du numérique et a indiqué des efforts à mener de la part des producteurs et des consommateurs. Ce qui a été remis en cause dans cette étude mondiale est l'obsolescence programmée des objets comme les tablettes, smartphones, ordinateurs, chargeurs etc. et les combustibles utilisés pour leur fabrication. Des techniques plus vertes ont été proposées pour répondre aux besoins des professionnels du numérique, comme des data-center écologiques et un usage plus globalisé des services cloud. Ce changement dans la production des équipements numériques trouve un appui dans la politique du gouvernement français qui veut soutenir financièrement les filières de la réparation, de la seconde main et du réemploi du numérique, en engageant un montant de 21 millions d'euros au sein du Plan de relance [3].

Dans ce contexte émergeant de transformation des usages du numérique de la part des particuliers et des professionnels, la plateforme Planet Tech'Care vise à accompagner les entreprises et les professionnels de la formation du secteur à mesurer et réduire leur empreinte dans l'environnement. Un manifeste [4] explicite les actions visées par le acteurs qui s'y engagent, lesquels bénéficient d'un accès à un réseau de professionnels, fournisseurs de services et de solutions spécialisés dans l’accompagnement RSE des entreprises.

Veronique Torner, administratrice de Syntec Numérique et cofondatrice et coprésidente chez Alter Way, met l'accent sur l'impact que la crise de la Covid-19 a eu dans les liens sociaux dans un contexte de confinement et de distanciation tout comme pour le suivi professionnel des entreprises et les facilités que les instruments collaboratifs numériques permettent dans ce sens. Les 100 entreprises de petite et grande taille qui ont rejoint cette plateforme de septembre à octobre et se sont fédérées autour de la problématique du numérique responsable. Les acteurs de la plateforme s'intéressent à développer des correspondants dans chaque pays européen, pour permettre une profusion plus large de l'initiative. Veronique Torner s'exprime ainsi : « Si nous arrivons à avoir des " Planet Tech’Care " dans tous les pays d’Europe, il sera beaucoup plus facile de fédérer les " communs numériques " (open source, base de données… ndlr) qui permettront d’agir à grand échelle »[5].

L'initiative de Syntec numérique démontre une volonté de mobiliser les acteurs du secteur généralisé car un usage responsable du numérique peut favoriser une transition écologique. Au delà de fédérer les acteurs du secteur, les contributeurs de Planet Tech'Care envisagent un discours normatif fondé sur des données certifiées : un bilan des actions de la plateforme est donc prévu pour la rentrée 2021[6], pour comprendre quelles actions ont un réel impact dans la transition écologique.

 

Sources

[1] Marcellin, Dorian. Numérique et environnement : les deux transitions majeures sont-elles conciliables? En ligne sur alliancy.fr. Publié le 9 octobre 2020 : [consulté le 14 novembre 2020] <https://www.alliancy.fr/numerique-environnement-transitions-majeures

[2] Bordage, Frédéric. Empreinte environnementale du numérique mondial. Rapport de GreenIT.fr, publié en 2019 : [consulté le 14 novembre 2020] <https://www.greenit.fr/wp-content/uploads/2019/10/2019-10-GREENIT-etude_EENM-rapport-accessible.VF_.pdf>

[3] Duval, Loïc. Planet Tech'Care. Le numérique se soucie enfin de ses impacts environnementaux. En ligne sur informatiquenews.com. Publié le 8 octobre 2020 : [consulté le 14 novembre 2020] <https://www.informatiquenews.fr/planet-techcare-le-numerique-se-soucie-enfin-de-ses-impacts-environnementaux-73735>


[4] Manifeste de Planet Tech'Care par Syntec Numérique. Publié le 8 octobre 2020 : [consulté le 14 novembre 2020] <https://www.planet-techcare.green/manifeste/>

[5] Marcellin, Dorian. Véronique Torner (Syntec Numérique) : « On voit naître un élan collaboratif, qui dépasse les seules fonctions RSE ». En ligne sur le site alliancy.fr. Publié le 13 octobre 2020 : [consulté le 14 novembre 2020] <https://www.alliancy.fr/veronique-torner-syntec-numerique-planet-tech-care>

[6] Arène, Véronique. Planet Tech'Care: Une plateforme sur les enjeux environnementaux du numérique. En ligne sur lemondeinformatique.fr. Publié le 9 octobre 2020 : [consulté le 14 novembre 2020] <https://www.lemondeinformatique.fr/actualites/lire-planet-tech-care-une-plateforme-sur-les-enjeux-environnementaux-du-numerique-80652.html>