C’est le principal grief qui est adressé au Health Data Hub, cette toute jeune plateforme française conçue pour accueillir, croiser et mettre à disposition des données de santé à des fins de recherche médicale : au lieu de s’appuyer sur une entreprise nationale pour assurer l’hébergement de ce projet, ou au moins sur une firme européenne, c’est Microsoft, géant américain du cloud, qui a été sollicité.
Ce contrat liant ce dispositif français avec une société étrangère a suscité toutes sortes de questionnements, qu’il s’agisse des conditions dans lesquelles Microsoft a été retenu, de la capacité de l’écosystème français ou européen du « cloud » à être au niveau, mais aussi et surtout sur le devenir des données de santé. En clair, y a-t-il un risque de transfert aux USA pour une raison ou pour une autre ?
Un risque de transfert vers les USA incertain
Pour le Conseil d’État, plus haute instance de l’ordre administratif français, ce péril n’est pas prouvé par l’instruction du dossier et les éléments fournis par les plaignants. Dans une ordonnance rendue en référé, c’est-à-dire en urgence et non dans le cadre d’un examen au fond, l’institution modère les craintes d’une circulation des données de santé entre les deux rives de l’Atlantique, en pointant tous les mécanismes juridiques, contractuels et techniques qui interviennent pour l’empêcher.
Elle fait ainsi observer que le contrat conclu entre le Health Data Hub et Microsoft « prévoit la soumission aux exigences de la réglementation française en matière d’hébergement de données de santé » et que la perspective d’une perquisition de la part des États-Unis sur ces informations sensibles par nature est improbable, cela alors même qu’il existe une loi américaine l’autorisant.
Il est fait référence ici au Cloud Act (« Clarifying Lawful Overseas Use of Data Act »), la loi clarifiant l’utilisation légale des données stockées à l’étranger. Celle-ci donne droit aux autorités américaines, grâce à des outils juridiques spécifiques, d’obliger les entreprises américaines de fournir des données se trouvant sur leurs serveurs, y compris ceux basés à l’étranger, en cas de mandat ou d’assignation en justice.
Sur les effets concrets du Cloud Act sur le Health Data Hub, le Conseil d’État relève que ce cas de figure n’interviendrait que « pour les besoins d’une enquête criminelle » et il faudrait en outre qu’il soit autorisé par un juge — comme n’importe quelle autre situation d’ailleurs. Or, le Conseil d’État explique que les requérants n’ont pas démontré quel serait l’intérêt pour un magistrat américain de lancer une telle demande d’accès, pour une affaire pénale, sur des données qui ont été préalablement pseudonymisées. S’il y en a un, il n’a pas été étayé.
Sur les données pseudonymisées, d’ailleurs, le Conseil d’État relève l’existence de « trois pseudonymisations successives » — la pseudonymisation réduit le risque d’identification des personnes en supprimant des informations permettant une identification immédiate. Cela « contribue à garantir le droit au respect de la vie privée », tout en évitant de passer par la case de l’anonymisation.
Pourquoi ? Parce que cette dernière solution, certes idéale en matière de confidentialité, serait dans le cas du Health Data Hub handicapante : « Il résulte de l’instruction que l’anonymisation des données considérées conduirait soit à un appauvrissement, soit à une agrégation des données disponibles, affectant ainsi la pertinence des travaux d’évaluation ou de recherche conduits», avance le juge administratif. En somme, le mieux serait l’ennemi du bien.
Concernant les autres outils juridiques que les États-Unis pourraient mettre en œuvre, à savoir l’article 702 de la loi sur la surveillance en matière de renseignement extérieur (FISA ou Foreign Intelligence Surveillance Act) et le décret présidentiel n° 12333, qui date de 1981 et qui a été amendé par d’autres décrets (n°13355 et 13470), régissant l’interception des communications à l’étranger, le Conseil d’État est tout aussi prudent.
L’institution met ainsi en avant l’existence du bouclier de protection des données UE-États-Unis (ou Privacy Shield), un dispositif juridique auquel Microsoft adhère et qui fait l’objet d’un contrôle annuel de la part de la Commission européenne (il a été systématiquement validé, même si Bruxelles est critiqué pour ne pas se montrer plus exigeant), ainsi que le Règlement général sur la protection des données (RGPD), en vigueur depuis 2018.
Le Conseil d’État a aussi tenu compte du fait que « des mesures de contrôle interdisent tout accès aux employés de Microsoft sans l’accord » du Health Data Hub. Enfin, si des données sont amenées à circuler hors de l’Union européenne, cela se déroulera « dans le cadre du fonctionnement courant » de la plateforme, pour des opérations d’administration standards. En somme, pour de la maintenance et de la résolution d’incident, et non pas pour toucher aux données de santé.
Dans ces conditions, l’ordonnance conclut qu’en l’état de l’instruction et des éléments à disposition à date du 19 juin, les conditions dans lesquelles l’offre de Microsoft a été retenue pour le Health Data Hub sont « sans incidence » sur le droit à la protection des données personnelles. Par ailleurs, le fait qu’il s’agisse d’une compagnie américaine « ne peut être regardée comme portant une atteinte grave et manifestement illégale aux libertés fondamentales ».
Un niveau de pseudonymisation à vérifier
Le juge administratif ne boucle toutefois pas de chapitre sans donner au Health Data Hub et à la Commission nationale de l’informatique et des libertés (CNIL) des instructions à suivre. Ainsi, le Health Data Hub doit compléter sa communication en direction du public en mentionnant « le possible transfert de données hors de l’Union européenne, compte tenu du contrat passé avec son sous-traitant », mais aussi transférer à la CNIL le détail de la façon dont il pseudonymise les données.
Il s’agit de s’assurer que les procédés de pseudonymisation utilisés par la plateforme des données de santé assurent une protection suffisante des données de santé traitées. En effet, « le juge des référés ne dispose pas de pouvoirs d’instruction lui permettant de vérifier le caractère suffisant des mesures concrètes adoptées par la plateforme des données de santé ».
La CNIL, justement, a accusé le 19 juin bonne réception des exigences du Conseil d’État. L’enjeu est de taille : il s’agit de savoir si les techniques utilisées sont assez robustes pour empêcher toute ré-identification des personnes physiques concernées, ou du moins de la rendre si difficile que le jeu n’en vaudrait pas la chandelle — tout particulièrement sur un grand volume de données.
À l’heure actuelle, les données sont stockées sur le territoire de l’Union européenne, dans les centres de données Microsoft des Pays-Bas. L’entreprise américaine a en effet reçu la certification pour héberger des données de santé pour trois ans, en 2018. Il est toutefois envisagé de transférer ces données en France ou, si une entreprise française de cloud se montre au niveau, de lui passer le relais.
+ rapide, + pratique, + exclusif
Zéro publicité, fonctions avancées de lecture, articles résumés par l'I.A, contenus exclusifs et plus encore.
Découvrez les nombreux avantages de Numerama+.
Vous avez lu 0 articles sur Numerama ce mois-ci
Tout le monde n'a pas les moyens de payer pour l'information.
C'est pourquoi nous maintenons notre journalisme ouvert à tous.
Mais si vous le pouvez,
voici trois bonnes raisons de soutenir notre travail :
- 1 Numerama+ contribue à offrir une expérience gratuite à tous les lecteurs de Numerama.
- 2 Vous profiterez d'une lecture sans publicité, de nombreuses fonctions avancées de lecture et des contenus exclusifs.
- 3 Aider Numerama dans sa mission : comprendre le présent pour anticiper l'avenir.
Si vous croyez en un web gratuit et à une information de qualité accessible au plus grand nombre, rejoignez Numerama+.
Si vous avez aimé cet article, vous aimerez les suivants : ne les manquez pas en vous abonnant à Numerama sur Google News.