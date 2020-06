Le Conseil d’État s'est montré circonspect sur les risques effectifs de transfert de données de santé aux États-Unis, au motif que Microsoft est l'hébergeur du Health Data Hub. Il a néanmoins demandé de vérifier la qualité de la pseudonymisation des données.

C’est le principal grief qui est adressé au Health Data Hub, cette toute jeune plateforme française conçue pour accueillir, croiser et mettre à disposition des données de santé à des fins de recherche médicale : au lieu de s’appuyer sur une entreprise nationale pour assurer l’hébergement de ce projet, ou au moins sur une firme européenne, c’est Microsoft, géant américain du cloud, qui a été sollicité.

Ce contrat liant ce dispositif français avec une société étrangère a suscité toutes sortes de questionnements, qu’il s’agisse des conditions dans lesquelles Microsoft a été retenu, de la capacité de l’écosystème français ou européen du « cloud » à être au niveau, mais aussi et surtout sur le devenir des données de santé. En clair, y a-t-il un risque de transfert aux USA pour une raison ou pour une autre ?

Un risque de transfert vers les USA incertain

Pour le Conseil d’État, plus haute instance de l’ordre administratif français, ce péril n’est pas prouvé par l’instruction du dossier et les éléments fournis par les plaignants. Dans une ordonnance rendue en référé, c’est-à-dire en urgence et non dans le cadre d’un examen au fond, l’institution modère les craintes d’une circulation des données de santé entre les deux rives de l’Atlantique, en pointant tous les mécanismes juridiques, contractuels et techniques qui interviennent pour l’empêcher.

Elle fait ainsi observer que le contrat conclu entre le Health Data Hub et Microsoft « prévoit la soumission aux exigences de la réglementation française en matière d’hébergement de données de santé » et que la perspective d’une perquisition de la part des États-Unis sur ces informations sensibles par nature est improbable, cela alors même qu’il existe une loi américaine l’autorisant.

Il est fait référence ici au Cloud Act (« Clarifying Lawful Overseas Use of Data Act »), la loi clarifiant l’utilisation légale des données stockées à l’étranger. Celle-ci donne droit aux autorités américaines, grâce à des outils juridiques spécifiques, d’obliger les entreprises américaines de fournir des données se trouvant sur leurs serveurs, y compris ceux basés à l’étranger, en cas de mandat ou d’assignation en justice.

Sur les effets concrets du Cloud Act sur le Health Data Hub, le Conseil d’État relève que ce cas de figure n’interviendrait que « pour les besoins d’une enquête criminelle » et il faudrait en outre qu’il soit autorisé par un juge — comme n’importe quelle autre situation d’ailleurs. Or, le Conseil d’État explique que les requérants n’ont pas démontré quel serait l’intérêt pour un magistrat américain de lancer une telle demande d’accès, pour une affaire pénale, sur des données qui ont été préalablement pseudonymisées. S’il y en a un, il n’a pas été étayé.

Sur les données pseudonymisées, d’ailleurs, le Conseil d’État relève l’existence de « trois pseudonymisations successives » — la pseudonymisation réduit le risque d’identification des personnes en supprimant des informations permettant une identification immédiate. Cela « contribue à garantir le droit au respect de la vie privée », tout en évitant de passer par la case de l’anonymisation.

Pourquoi ? Parce que cette dernière solution, certes idéale en matière de confidentialité, serait dans le cas du Health Data Hub handicapante : « Il résulte de l’instruction que l’anonymisation des données considérées conduirait soit à un appauvrissement, soit à une agrégation des données disponibles, affectant ainsi la pertinence des travaux d’évaluation ou de recherche conduits », avance le juge administratif. En somme, le mieux serait l’ennemi du bien.

Concernant les autres outils juridiques que les États-Unis pourraient mettre en œuvre, à savoir l’article 702 de la loi sur la surveillance en matière de renseignement extérieur (FISA ou Foreign Intelligence Surveillance Act) et le décret présidentiel n° 12333, qui date de 1981 et qui a été amendé par d’autres décrets (n°13355 et 13470), régissant l’interception des communications à l’étranger, le Conseil d’État est tout aussi prudent.

L’institution met ainsi en avant l’existence du bouclier de protection des données UE-États-Unis (ou Privacy Shield), un dispositif juridique auquel Microsoft adhère et qui fait l’objet d’un contrôle annuel de la part de la Commission européenne (il a été systématiquement validé, même si Bruxelles est critiqué pour ne pas se montrer plus exigeant), ainsi que le Règlement général sur la protection des données (RGPD), en vigueur depuis 2018.

Le Conseil d’État a aussi tenu compte du fait que « des mesures de contrôle interdisent tout accès aux employés de Microsoft sans l’accord » du Health Data Hub. Enfin, si des données sont amenées à circuler hors de l’Union européenne, cela se déroulera « dans le cadre du fonctionnement courant » de la plateforme, pour des opérations d’administration standards. En somme, pour de la maintenance et de la résolution d’incident, et non pas pour toucher aux données de santé.

Dans ces conditions, l’ordonnance conclut qu’en l’état de l’instruction et des éléments à disposition à date du 19 juin, les conditions dans lesquelles l’offre de Microsoft a été retenue pour le Health Data Hub sont « sans incidence » sur le droit à la protection des données personnelles. Par ailleurs, le fait qu’il s’agisse d’une compagnie américaine « ne peut être regardée comme portant une atteinte grave et manifestement illégale aux libertés fondamentales ».

Un niveau de pseudonymisation à vérifier

Le juge administratif ne boucle toutefois pas de chapitre sans donner au Health Data Hub et à la Commission nationale de l’informatique et des libertés (CNIL) des instructions à suivre. Ainsi, le Health Data Hub doit compléter sa communication en direction du public en mentionnant « le possible transfert de données hors de l’Union européenne, compte tenu du contrat passé avec son sous-traitant », mais aussi transférer à la CNIL le détail de la façon dont il pseudonymise les données.

Il s’agit de s’assurer que les procédés de pseudonymisation utilisés par la plateforme des données de santé assurent une protection suffisante des données de santé traitées. En effet, « le juge des référés ne dispose pas de pouvoirs d’instruction lui permettant de vérifier le caractère suffisant des mesures concrètes adoptées par la plateforme des données de santé ».

La CNIL, justement, a accusé le 19 juin bonne réception des exigences du Conseil d’État. L’enjeu est de taille : il s’agit de savoir si les techniques utilisées sont assez robustes pour empêcher toute ré-identification des personnes physiques concernées, ou du moins de la rendre si difficile que le jeu n’en vaudrait pas la chandelle — tout particulièrement sur un grand volume de données.

À l’heure actuelle, les données sont stockées sur le territoire de l’Union européenne, dans les centres de données Microsoft des Pays-Bas. L’entreprise américaine a en effet reçu la certification pour héberger des données de santé pour trois ans, en 2018. Il est toutefois envisagé de transférer ces données en France ou, si une entreprise française de cloud se montre au niveau, de lui passer le relais.

Crédit photo de la une : Steve Harwood