Nos données de santé en danger… quand l’arbre de la crise sanitaire cache la forêt de la perte de souveraineté !
Par Nathalie Martial-Braz, Professeure de droit privé, Université de Paris, Membre de l’Institut Universitaire de France.
Par Nathalie Martial-Braz, Professeure de droit privé, Université de Paris, Membre de l’Institut Universitaire de France
Le Health Data Hub (HDH), ou Plateforme des données de santé, est née aux termes d’un arrêté du 29 novembre 2019 de cette volonté, annoncée à grand bruit1, de promouvoir des entrepôts de données prompts à nourrir des algorithmes d’intelligence artificielle nationaux ou à tout le moins européens, ce afin de « conforter, en France et en Europe, l’écosystème de l’IA ». La promesse était belle : la French Tech n’allait plus avoir à s’exporter et les GAFAM n’auraient qu’à bien se tenir ! La France allait devenir un champion de l’intelligence artificielle, notamment dans le domaine de la santé, grâce au trésor de guerre constitué de longue date par les nombreuses institutions publiques en charge du traitement des données sensibles des 67 millions de citoyens2. « Souveraineté » devait donc constituer le maître mot de cette entreprise stratégique de développement de l’intelligence artificielle nationale. « Souveraineté » dont on a pu éprouver la nécessité à l’occasion d’une crise sanitaire mondiale suscitant un repli national massif de l’ensemble des États soulignant d’autant plus la dépendance desdits États ayant abandonné leur autonomie sur l’autel du gain de productivité. « Souveraineté », encore, que l’on a brandie et cherché à promouvoir lorsque la question de mettre le numérique au service du suivi de l’épidémie a été posée pour refuser la solution toute faite proposée par les géants que sont Apple et Google, solution pourtant forcément interopérable dans l’ensemble des États y souscrivant, mais il fallait la jouer Française et centralisée !
L’hébergement hors UE… le nœud gordien de la perte de souveraineté !
Comment comprendre dès lors que dans un tel contexte le choix des autorités publiques se soit porté sur un de ces GAFAM, Microsoft, plutôt que sur un acteur français tel qu’OVH ou une solution européenne, à l’instar de l’initiative franco-allemande lancée le 4 juin, GAIA-X, permettant de conserver une souveraineté, pour assurer l’hébergement du plus important entrepôt de données sensibles dont la France dispose. Si nombreux s’en sont émus depuis la signature du contrat de sous-traitance avec Microsoft à la fin de l’année 2019, la CNIL, singulièrement, a insisté dans sa délibération n° 2020-044 du 20 avril 2020 relative au projet d’arrêté complétant l’arrêté du 23 mars 2020 prescrivant les mesures d’organisation et de fonctionnement du système de santé nécessaires pour faire face à l’épidémie de covid-19 dans le cadre de l’état d’urgence sanitaire, sur la nécessité d’entourer le HDH des « garanties suffisantes au regard du respect des principes fondamentaux du droit à la protection des données à caractère personnel ». Préconisant par conséquent que des mesures techniques et juridiques soient adoptées pour assurer un haut niveau de protection des données. Ce faisant, la CNIL relève que son examen ne peut être complet relativement aux transferts hors UE de ces données de santé et de leur divulgation non autorisée par le droit de l’Union dès lors que les contrats fournis ne précisent « ni la localisation des données ni l’ensemble des garanties relatives aux modalités d’accès aux données par les administrateurs de l’hébergeur ». Après avoir rappelé le contexte justifiant les inquiétudes du Comité européen à la protection des données relativement à l’accès par les juridictions américaines aux données transférées vers les États-Unis pour des impératifs de sécurité nationale3 et les contentieux relatifs à ces préoccupations devant la Cour de Justice4 , la CNIL recommande expressément que « la Plateforme des données de santé assure un hébergement et un traitement des données sur le territoire de l’Union européenne ». De même, à plus long terme, la CNIL émet le souhait que « eu égard à la sensibilité des données en cause, que son hébergement et les services liés à sa gestion puissent être réservés à des entités relevant exclusivement des juridictions de l’Union européenne ». En dépit de ces mises en garde, l’arrêté du 21 avril 2020 complétant l’arrêté du 23 mars 2020 prescrivant les mesures d’organisation et de fonctionnement du système de santé nécessaires pour faire face à l’épidémie de covid-19 dans le cadre de l’état d’urgence sanitaire confie le traitement et la collecte des données de santé à la plateforme du HDH hébergée sur le cloud de Microsoft Azure.
Cet hébergement, largement contesté également du fait du non respect des procédures classiques d’appel d’offre et de mise en concurrence, avait fait l’objet d’un courrier adressé au ministre des Solidarités et de la Santé par un collectif, Santénathon, regroupant des organisations du mouvement du logiciel libre et de l’Opensource. Face au mutisme ministériel, ce collectif rejoint par le collectif InterHop, composé de professionnels du secteur de la santé et de l’informatique médicale, mobilisé de longue date sur cette question de l’hébergement du HDH, et un certain nombre de personnalités et d’organisations soucieuses de la protection des données de santé ont déposé un référé liberté devant le Conseil d’État qui a rendu son ordonnance le 19 juin.
Une victoire à la Pyrrhus ?
Alors que l’ensemble des parties se sont rapidement félicitées de la décision rendue par le Conseil d’État qui impose au HDH de se mettre en conformité avec la loi auprès de la CNIL sous 5 jours, tant au regard des impératifs de pseudonymisation que d’information des personnes concernées, cette victoire n’est toutefois pas totale. En effet, relativement à l’hébergement des données sur le Cloud Microsoft Azure, les juges du Conseil d’État se montrent beaucoup plus nuancés. S’ils imposent une meilleure information des personnes concernées en obligeant la plateforme à publier sur le site que les données de santé hébergées sont transférées hors UE aux États-Unis, l’existence même de cet hébergement ne semble pas poser, en soi, de difficulté. Il y a en effet une distinction à opérer, Microsoft hébergeant les données de santé « au repos » dans des data centers situés sur le territoire de l’UE (Pays-Bas et à terme France) néanmoins, les données peuvent transiter par les États-Unis pour le fonctionnement de la solution technique et notamment pour des opérations d’administration. Or le Conseil d’État relève, tout d’abord, que l’existence de la décision d’adéquation de la Commission et de la reconnaissance du Privacy Shield5 , actuellement contestée, empêche de considérer que l’hébergement de ces données par Microsoft, société adhérant au Privacy Shield, soit en lui-même problématique. Le collectif ne parvient pas ensuite à convaincre le Conseil d’État du risque d’accès aux données ainsi hébergées sur le fondement du Cloud Act. En conséquence, le conseil décide que « la circonstance que cette société relève du droit américain et puisse être amenée, pour les opérations d’administration de la solution technique qu’elle propose, à transférer des données aux États-Unis, ne peut être regardée (…) comme portant une atteinte grave et manifestement illégale aux libertés fondamentales ». La décision reste toutefois éminemment contextuelle et pourrait donc être très différente si au plan européen, la décision d’adéquation venait à être remise en cause. Au-delà de la réponse juridique apportée par le Conseil d’État, souhaitons que la réponse politique qui pourrait être donnée soit à la hauteur des enjeux en cause.
[1] Rapport Villani, Donner un sens à l’intelligence artificielle, Remis lors du colloque IA for Humanity le 29 mars 2019 au Collège de France en présence du Président de la République.
[2] Sur ces données et les instituts en charge de leur collecte et de la gestion des accès, v. Droit des données personnelles. Les spécificités du droit français au regard du RGPD, dir. N. Martial-Braz et J. Rochfeld, n°506.
[3] Plus précisément sont en cause l’article 702 de la loi américaine FISA, le décret (« Executive Order ») n°12 333 et Clarifying Lawful Overseas Use of Data Act » du 23 mars 2018.
[4] CJUE C-311/18 décision à venir.
[5] Décision d’exécution (UE) 2016/1250 du 12 juillet 2016 conformément à la directive 95/46/CE du Parlement européen et du Conseil relative à l’adéquation de la protection assurée par le bouclier de protection des données États-Unis.
[vcex_button url= »https://www.leclubdesjuristes.com/newsletter/ » title= »Abonnement à la newsletter » style= »flat » align= »center » color= »black » size= »medium » target= » rel= »none »]S’abonner à la newsletter du Club des juristes[/vcex_button]