©Copyright, Accessnow.org, 201 |
Mis en service le 2 décembre 2019, le Health Data Hub (HDH) est la nouvelle plateforme numérique des données médico-administratives françaises. Le 16 juillet 2020, un accord de confiance entre l'Union européenne et les États-Unis est révoqué, le "Privacy Shield" ou "bouclier de protection des données". Or, le Health Data Hub, est hébergé par Microsoft, une entreprise américaine soumise au droit fédéral des États-Unis. A la suite de cette décision, la place de Microsoft est en question, l'interrogation sur la sécurité des données demeure et une clarification s'impose.
Le 14 octobre 2020, Conseil d’État appelé à juger sur le maintient du Health Data Hub, notait que "la Plateforme des données de santé et Microsoft se sont engagés, par contrat, à refuser tout transfert de données de santé en dehors de l'Union européenne"[1]. Le Conseil d’État a alors suggéré qu'en l'absence "d'illégalité grave et manifeste qui justifierait une suspension immédiate de la plateforme", Microsoft reste en charge de l’hébergement du Health Data Hub. Il rajoute pourtant que cela sera : "dans l'attente d'une solution qui permettra d'éliminer tout risque d'accès aux données personnelles par les autorités américaines."
Le risque de transfert des données vers les États-Unis n'est pas un élément nouveau à la connaissance des pouvoirs publics. La loi américaine en question, le "CLOUD Act" date de mars 2018[2]. Cette loi, "Clarifying Lawful Overseas Use of Data", donne la capacité au gouvernement fédéral d'accéder aux données des clients de toute entreprise américaine. Elle est conçue comme une loi anti-terrorisme et anti-corruption visant à garantir la sécurité de l’État américain. Nouveau jalon, elle vient s’inscrire en filiation intellectuelle deux lois qui la précèdent. La première, le Foreign Corrupt Practice Act de 1977, qui autorise le gouvernement américain à avoir accès aux données commerciales des entreprises américaines sur son territoire et à l'étranger [3]. La seconde, est le USA Patriot Act du 26 octobre 2001, une réponse immédiate aux attentats du World Trade Center. Celle-ci autorise le gouvernement fédéral américain à utiliser tous les outils jugés appropriés pour avoir accès aux données d'une personne privée ou morale, qu'elle se trouve sur le territoire américain ou non [4].
Coté européen, le Privacy Shield date, lui, du 12 juillet 2016 et définit les conditions de transferts des états membres de l'Union européenne vers des états tiers [5]. L'article 25 de ce décret pose les bases de ces échanges de données. Il y est établit que l'état tiers devra pouvoir garantir la protection des données et des droits de l'individu citoyen des état membres de l'Union. Mais aussi que ces échanges de données se feront dans le respect des lois commerciales et nationales en vigueur dans ce pays tiers. Dans cette même section, il est rappelé la décision 2000/520/CE ou "Safe Harbour Privacy Principles" [6] qui doit garantir un "niveau adéquat de protection pour les données personnelles transférées à partir de l'Union européenne à destination d'organisations établies aux États-Unis" [traduit de l'anglais].
Ces éléments définissent les contraintes sur les entreprises étrangères américaines et leurs obligations vis-à-vis de l'Union européenne. Pour comprendre la décision de la CJUE, quatre ans plus tard, il est important de savoir qu'elle est la conséquence des "Affaires Schems I & II" [7]. En 2011, Maximilien Schrems, un militant-activiste autrichien, demande à Facebook l'accès à ses données personnelles . Il se rend alors compte que l'utilisation qui en est faite dépasse le cadre prévu par la réglementation européenne : les données qu'il a supprimées ont été conservées par l'entreprise américaine, ici située en Irlande. Leur transfert vers les États-Unis n'est pas exclu. C'est pour cela qu'il déposera un plainte et poursuivra ensuite son action jusqu'à l'audience du 25 mars 2015 à la Cour de Justice de l'Union Européenne (CJUE), qui décidera de l'invalidation du Safe Harbour. La décision de la CJUE en juillet 2020 est le deuxième volet de l'affaire Schrems, qui conduit à l'invalidation du Privacy Shield :le dispositif qui devait suppléer au Safe Harbour. Pour l'Union européenne, ce sont les manquements à la protection des données privées qui ont conduit à cette décision.
Le
Health Data Hub est donc soumis à ces tensions juridiques
internationales puisqu'il est hébergé par une entreprise américaine.
Microsoft présente ses engagements vis-à-vis de la
gestion des données de leurs clients dans une section de leur documentation intitulée "Data
Law" [11]. Il y est précisé que Microsoft ne communique pas directement
avec les instances gouvernementales
américaines ou des pays où ses filiales sont implantées. Microsoft
mentionne plus bas "nous fournissons les données utilisateur que lorsque
nous
recevons une ordonnance exécutoire ou une assignation."[traduit de l'anglais], ce qui
constitue peut-être la limite de la protection légale que l'entreprise
peut
s'engager à offrir.
Ces dispositions prises en réaction aux risques d'application du CLOUD Act, ont certainement jouées en faveur du maintient de l'hébergement du Health Data Hub par Microsoft. Mais si la décision rendue par le Conseil prend le contre pied, il ne s'agit pas d'un retournement de la situation pour autant [12]. Ce sont en revanche les risques de transferts et de non-respect des clauses de la loi sur le Règlement Général sur la Protection des Données (RGPD) du 27 avril 2016 qui ont catalysé cette situation [13]. Le RPGD encadre les bonnes pratiques sur la manipulation des données personnelles au sein de l'Union européenne. Il est précisé dans l'article 3 que "[l]es sociétés non européennes sont également soumises au règlement [RGPD] dès qu'elles ciblent les résidents de l'UE par le profilage ou proposent des biens et des services à des résidents européens". C'est en définitive cela qui a conduit la CJUE à rendre sa décision sur l'inadéquation du RGPD avec le Privacy Shield [14].
Références bibliographiques :
[1] Conseil d'État. "Health Data Hub et protection de données personnelles : des précautions doivent êtres prises dans l'attente d'une solution pérenne". Décision contentieuse. conseil-etat.fr Publié le 14/10/2020. [En ligne]. Consulté le 16/10/2020.Disponible à l'adresse : <https://www.conseil-etat.fr/actualites/actualites/health-data-hub-et-protection-de-donnees-personnelles-des-precautions-doivent-etre-prises-dans-l-attente-d-une-solution-perenne>
[2] Congressional Research Service. H.R.4993. "Clarifying Lawful Overseas Use of Data or the CLOUD Act." congress.gov Publié le 02/06/2018. [En ligne]. Consulté le 23/10/2020.Disponible à l'adresse : <https://www.congress.gov/bill/115th-congress/house-bill/4943>
[3] 95th United States Congress. 91 STAT. 1494 L95-213 [S.305] "Foreign Corrupt Practices Act of 1977" uslaw.link Publié le 19/12/1977.Consulté le 23/10/2020 PDF disponible à l'adresse : < https://www.govinfo.gov/link/statute/91/1494?link-type=pdf>
[4]
107th United States Congress. H.R.3162. L357-66. Uniting and
Strengthening America by Providing Appropriate Tools Required to
Intercept and Obstruct Terrorim (USA PATRIOT ACT) Act of 2001.
congress.gov Publié le 23/10/2001. [En ligne] Consulté le 23/11/2020.
Disponible à l'adresse : <https://www.congress.gov/bill/107th-congress/house-bill/3162>
[5] JOUE.n°L207-1 2016/1250/CE- Directive 65/46/EC of the European Paliament and the Council on the adequacy of the protection provided by the EU-U.S. Privacy Shield. (notified under document C(2016) 4176). eur-lex.europa.eu Publié le 01/08/2016. (En ligne) Consulté le 23/11/2020. Disponible à l'adresse : <https://eur-lex.europa.eu/legal-content/EN/TX/?uri=uriserv%3AOJ.L_.2016.207.01.0001.01.ENG>
[6] JOUE. n°L215 - 2000/520/CE : Décision de la Commission du 26 juillet 2000 conformément à la directive 95/46/CE du Parlement européen et du conseil, relative à la pertienence de la protection assurée par les principes de la "sphère de sécurité" et par les questions souvent posées y afférentes, publiées par le ministère du commerce des États-Unis d'Amérique [notifiée sous le numéro C(2000)2441] (Texte présentant de l'intérêt pour l'EEE). eur-lex.europa.eu Publié le 25/08/2000. [En ligne] Disponible à l'adresse : <https://eur-lex.europa.eu/legal-content/FR/TXT/?uri=CELEX%3A32000D0520>
[7]European Data Protection Board- Foire aux questions sur l'arrêt rendu par la Cour de justice de l'Union européenne dans l'affaire C-311 - Data Protection Comissioner contre Facebook Ireland Ltd et Maximilian Schrems. edpb.europa.eu Publié le 24 Juillet 2020. [En ligne] Disponible à l'adresse : <https://edpb.europa.eu/our-work-tools/our-documents/ohrajn/frequently-asked-questions-judgment-court-justice-european-union_fr>
[8] Microsoft. Data Law "About our practices and your data" blogs.microsoft.com [En ligne] Consulté le 11/11/2020. Disponible à l'adresse : <https://blogs.microsoft.com/datalaw/our-practices/>
[9] Le Monde. Collectif. "L'exploitation de données de santé sur une
plate-forme de Microsoft expose à des risques multiples" lemonde.fr
Publié le 10/12/2019 [En ligne]. Consulté le 25/11/2020. Disponible à
l'adresse :
<https://www.lemonde.fr/idees/article/2019/12/10/l-exploitation-de-donnees-de-sante-sur-une-plate-forme-de-microsoft-expose-a-des-risques-multiples_6022274_3232.html>
[13] JOUE. Règlement UE 2016-679 du Parlement européen et du conseil de
l'Union Européenne relatif à la protection des personnes physiques à
l'égard du traitement des données à caractère personnel et à la libre
circulation de ces données-version consolidée. eur-lex.europa.eu Publié
le 04/05/2016 [En ligne]. Disponible à l'adresse :<http://data.europa.eu/eli/reg/2016/679/oj>
[14] Cour de Justice de l'Union Européenne. C-311/18 The Court of Justice Invalidates Decision 2016/1250 on the adequacy of the protection provided by the EU-US Data Protection Shield. curia.europa.eu Publié le 16/07/2020 [Téléchargement] Disponible à l'adresse : <https://curia.europia.eu/jcms/upload/docs/application/pdf/2020-07/cp200091en.pdf>