En matière de risque de transferts de données personnelles vers un pays n’assurant plus une protection adéquate (États-Unis), le Conseil d’État n’a pas appliqué de principe de précaution. En l’état de l’instruction, il n’apparaît pas que des données à caractère personnel du système de santé français puissent à ce jour faire l’objet de transferts en dehors de l’Union européenne en application du contrat conclu entre la Plateforme des données de santé Health Data Hub et Microsoft.
En revanche, sensible aux observations de la CNIL, le Conseil d’Etat a fait injonction à la Plateforme des données de santé de conclure, dans un délai de quinze jours, un nouvel avenant aux documents contractuels l’unissant à la société Microsoft Ireland Operations Limited pour préciser que la loi applicable dont il est fait mention dans l’avenant du 3 septembre 2020 est celle du droit de l’Union ou du droit de l’Etat membre auquel la société est soumise et que les modifications que cet avenant apporte à l’addendum sur la protection des données pour les services en ligne Microsoft s’appliquent à l’ensemble des services fournis par Microsoft susceptibles d’être utilisés pour le traitement de données à caractère personnel du système de santé.
Contexte de l’affaire
Pour les besoins du stockage et de la mise à disposition des données de santé dont elle est chargée, la Plateforme des données de santé a signé le 15 avril 2020 avec la société de droit irlandais Microsoft Ireland Operations Limited, filiale de la société américaine Microsoft Corporation, un contrat lui donnant accès à un ensemble de produits « Microsoft Azure », comprenant en particulier l’hébergement des données de santé et la concession de licences de logiciels nécessaires au traitement de ces données pour les finalités légalement autorisées.
Plusieurs associations ont fait valoir les risques que cette situation comporte au regard du droit au respect de la vie privée, compte tenu de possibles transferts de données vers les Etats-Unis, soit en application du contrat conclu avec la société Microsoft Ireland Operations Limited, soit en raison de demandes qui seraient adressées à cette société en dehors même des transferts contractuellement consentis par la Plateforme des données de santé.
Transfert de données personnelles vers les États-Unis
Il résulte de l’ arrêt de la grande chambre du 16 juillet 2020, Data Protection Commissioner contre Facebook Ireland Ltd et Maximillian Schrems, C-311/18, qu’aucun transfert de données à caractère personnel vers les Etats-Unis ne peut plus avoir lieu sur le fondement de l’article 45 du règlement général sur la protection des données. Si un transfert reste possible sur le fondement de l’article 46, c’est à la condition que soient prévues des garanties appropriées et que les personnes concernées disposent de droits opposables et de voies de droit effectives.
Or il résulte du même arrêt que, dans le cas où les autorités publiques américaines auraient accès, sur le fondement de l’article 702 du FISA ou de l’EO 12333, à des données à caractère personnel transférées depuis l’Union européenne, les personnes concernées ne disposeraient pas de droits opposables aux autorités américaines devant les tribunaux, sans qu’il apparaisse, en l’état de l’instruction, que des garanties appropriées puissent être prévues pour y remédier.
Dans ces conditions, tout transfert de données personnelles vers les Etats-Unis, par une entreprise pouvant faire l’objet de demandes des autorités américaines sur les fondements mentionnés ci-dessus, est susceptible de contrevenir par lui-même aux articles 44 et suivants du règlement général sur la protection des données, sauf à pouvoir être justifié au regard de son article 49, qui comporte des dérogations pour un certain nombre de situations particulières.
Statut des entreprises américaines en France
Force est de constater que le Conseil d’Etat n’aurait pas pu, juridiquement, aller plus loin. En effet, la CJUE s’est seulement prononcée, dans son arrêt du 16 juillet 2020, sur les conditions dans lesquelles peuvent avoir lieu des transferts de données à caractère personnel vers les Etats-Unis et non sur celles dans lesquelles de telles données peuvent être traitées, sur le territoire de l’Union européenne, par des sociétés de droit américain ou leurs filiales en qualité de sous-traitants, voire de responsables de traitement.
A fortiori, elle ne s’est pas prononcée sur les conséquences que pourraient avoir les constats opérés par son arrêt sur de tels traitements, alors même que, s’agissant des transferts de données à caractère personnel vers des pays tiers, son arrêt en mentionne la possibilité sur le fondement de l’article 49 du règlement général sur la protection des données, qui permet notamment les transferts nécessaires pour des motifs importants d’intérêt public reconnus par le droit de l’Union ou le droit de l’Etat membre auquel le responsable du traitement est soumis.
En deuxième lieu, les associations n’ont pas invoqué de violation directe du RGDP mais seulement le risque d’une telle violation, dans l’hypothèse où Microsoft ne serait pas en mesure de s’opposer à une demande d’accéder à certaines données formulée par les autorités américaines, si celles-ci y voyaient un intérêt au regard de l’objectif d’obtention d’informations en matière de renseignement extérieur poursuivi par les programmes de surveillance, alors au surplus que ces données sont pseudonymisées.
En troisième lieu, il existe un intérêt public important à permettre la poursuite de l’utilisation des données de santé pour les besoins de la gestion de l’urgence sanitaire et de l’amélioration des connaissances sur le SARS-CoV-2 et, à cette fin, de permettre le recours aux moyens techniques, sans équivalent à ce jour, dont dispose la Plateforme des données de santé par le biais du contrat passé avec Microsoft, sous réserve, pour chaque projet, ainsi qu’il découle de l’arrêté du 10 juillet 2020, que ce recours, et le stockage des données qu’il implique, soit une mesure proportionnée aux risques sanitaires encourus et appropriée aux circonstances de temps et de lieu, compte tenu, tout à la fois, de l’urgence s’attachant à sa conduite et de l’absence de solution technique alternative satisfaisante permettant d’y procéder dans les délais utiles.
Cadre juridique de la plateforme Health Data Hub
Les données traitées par la Plateforme des données de santé Health Data Hub sont hébergées dans des centres de données situés aux Pays- Bas, avant de l’être prochainement dans des centres de données situés en France.
La Plateforme des données de santé et la société Microsoft ont conclu, le 3 septembre 2020, un avenant prévoyant, pour les services en ligne « Azure » qu’il énumère, que Microsoft ne traitera pas les données de la Plateforme en dehors de la zone géographique spécifiée par celle-ci sans son approbation et que dans l’hypothèse où un accès aux données serait nécessaire pour les besoins des opérations d’exploitation des services en ligne et de résolution d’incident menées par Microsoft depuis un lieu extérieur à cette zone, il serait soumis à l’autorisation préalable de la Plateforme.
La Plateforme des données de santé s’est engagée à l’égard de la CNIL à refuser tout transfert. Les seules données dont le transfert en dehors de l’Union européenne présente une utilité sont des données de télémétrie, pour contrôler le bon fonctionnement des services offerts par Microsoft, ainsi que des données de facturation. Ainsi, il n’apparaît pas, en l’état de l’instruction, que la Plateforme des données de santé puisse se trouver contrainte, pour des raisons techniques, de donner son accord à un transfert de données de santé.
En outre, par un arrêté du 9 octobre 2020 postérieur à l’introduction de la requête, le ministre des solidarités et de la santé a complété l’article 30 de l’arrêté du 10 juillet 2020, relatif aux mesures concernant le traitement des données à caractère personnel du système de santé, pour prévoir que : « Aucun transfert de données à caractère personnel ne peut être réalisé en dehors de l’Union européenne ».
Ces dispositions font ainsi désormais obstacle à ce que la Plateforme des données de santé puisse faire usage de la faculté qui lui reste ouverte dans le contrat conclu avec Microsoft d’autoriser un transfert de données à caractère personnel du système de santé.
Traitement des données de santé du Covid 19 par le Health Data Hub
En ce qui concerne les dispositions encadrant la collecte et le traitement des données en lien avec l’épidémie de covid-19 sur la Plateforme des données de santé, d’une part, l’article L. 1462-1 du code de la santé publique, prévoit qu’un groupement d’intérêt public, dénommé « Plateforme des données de santé » et constitué entre l’Etat, des organismes assurant une représentation des malades et des usagers du système de santé, des producteurs de données de santé et des utilisateurs publics et privés de données de santé, y compris des organismes de recherche en santé, est notamment chargé de réunir, organiser et mettre à disposition les données du système national des données de santé mentionné à l’article L. 1461-1 du même code et de promouvoir l’innovation dans l’utilisation des données de santé.
L’avenant à la convention constitutive du groupement d’intérêt public « Institut national des données de santé » portant création du groupement d’intérêt public « Plateforme des données de santé » ou « Health Data Hub » a été approuvé le 29 novembre 2019 par un arrêté de la ministre des armées, de la ministre des solidarités et de la santé, du ministre de l’économie et des finances, de la ministre du travail, du ministre de l’éducation nationale et de la jeunesse, du ministre de l’action et des comptes publics, de la ministre de l’enseignement supérieur, de la recherche et de l’innovation et du ministre de l’agriculture et de l’alimentation.
D’autre part, aux termes du premier alinéa de l’article L. 3131-1 du code de la santé publique : « En cas de menace sanitaire grave appelant des mesures d’urgence, notamment en cas de menace d’épidémie, le ministre chargé de la santé peut, par arrêté motivé, prescrire dans l’intérêt de la santé publique toute mesure proportionnée aux risques courus et appropriée aux circonstances de temps et de lieu afin de prévenir et de limiter les conséquences des menaces possibles sur la santé de la population. Le ministre peut également prendre de telles mesures après la fin de l’état d’urgence sanitaire prévu au chapitre I er bis du présent titre, afin d’assurer la disparition durable de la situation de crise sanitaire ».
L’article 30 de l’arrêté du 10 juillet 2020 prescrivant les mesures générales nécessaires pour faire face à l’épidémie de covid-19 dans les territoires sortis de l’état d’urgence sanitaire et dans ceux où il a été prorogé, pris sur le fondement de ces dispositions et de celles de l’article L. 3131-16 du code de la santé publique, prévoit, au sein d’un chapitre consacré au traitement des données à caractère personnel du système de santé, que
: « I.- Aux seules fins de faciliter l’utilisation des données de santé pour les besoins de la gestion de l’urgence sanitaire et de l’amélioration des connaissances sur le virus covid-19, le groupement d’intérêt public mentionné à l’article L. 1462-1 du code de la santé publique et la Caisse nationale de l’assurance maladie sont autorisés à recevoir les catégories de données à caractère personnel suivantes :
– les données issues du système national des données de santé mentionné à l’article L. 1461-1 du même code ainsi que, dans le respect de son référentiel de sécurité :
– des données de pharmacie ;
– des données de prise en charge en ville telles que des diagnostics ou des données déclaratives de symptômes issues d’applications mobiles de santé et d’outils de télésuivi, télésurveillance ou télémédecine ;
– des résultats d’examens biologiques réalisés par les laboratoires hospitaliers et les laboratoires de biologie médicale de ville ;
– des données relatives aux urgences collectées par l’Agence nationale de santé publique dans le cadre du réseau de surveillance coordonnée des urgences ;
– des données relatives aux appels recueillis au niveau des services d’aide médicale urgente et des services concourant à l’aide médicale urgente ;
– des données relatives à l’activité et à la consommation de soins dans les établissements ou services médico-sociaux, notamment dans les établissements d’hébergement pour personnes âgées dépendantes ;
– des enquêtes réalisées auprès des personnes pour évaluer leur vécu ;
– des données non directement identifiantes issues du système d’identification unique des victimes mentionné à l’article L. 3131-9-1 du code de la santé publique ;
– des données cliniques telles que d’imagerie, de pharmacie, de biologie, de virologie, de comptes rendus médicaux de cohortes de patients pris en charge dans des centres de santé en vue de leur agrégation.
II.- Le groupement d’intérêt public et la Caisse nationale de l’assurance maladie ne peuvent collecter que les données nécessaires à la poursuite d’une finalité d’intérêt public en lien avec l’épidémie actuelle de covid-19. Ils sont responsables du stockage et de la mise à disposition des données. Ils sont autorisés à croiser les données mentionnées au I.
La Caisse nationale de l’assurance maladie est responsable des opérations de pseudonymisation dans le cadre du croisement des données et peut traiter le numéro d’inscription au répertoire national d’identification des personnes physiques à cette fin.
Seuls des responsables de traitement autorisés dans les conditions prévues aux articles 66 et 76 de la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés, l’Etat mettant en œuvre des traitements mentionnés au 6° de l’article 65 de cette même loi, la Caisse nationale de l’assurance maladie mettant en œuvre des traitements mentionnés au 3° de l’article 65 de cette même loi, ou les organismes et les services chargés d’une mission de service public mentionnés à l’article 67 de cette même loi, peuvent traiter les données ainsi rassemblées par le groupement d’intérêt public.
III.- Les données ne peuvent être traitées que pour des projets poursuivant une finalité d’intérêt public en lien avec l’épidémie actuelle de covid-19 et jusqu’à l’entrée en vigueur des dispositions prises en application de l’article 41 de la loi du 24 juillet 2019 susvisée et au plus tard le 30 octobre 2020.
Les données ne peuvent être traitées que sur la plateforme technologique du groupement d’intérêt public et sur la plateforme de la Caisse nationale de l’assurance maladie, et ne peuvent pas en être extraites. Au sein de ces plateformes, les données ci-dessus mentionnées ne peuvent contenir ni les noms et prénoms des personnes, ni leur numéro d’inscription au Répertoire national d’identification des personnes physiques, ni leur adresse.
Le groupement d’intérêt public établit et met à disposition sur son site internet un répertoire public qui recense la liste et les caractéristiques de tous les projets portant sur ces données ».
Un risque dénoncé par la CNIL
La CNIL, dans les observations qu’elle a produites à la suite de la communication de la requête, estimait, en l’état des informations dont elle dispose, que le risque d’un transfert vers les États-Unis ne peut être totalement écarté.
En outre, il résulte de l’instruction que les mesures techniques mises en œuvre par Microsoft ou susceptibles de l’être à brève échéance n’écartent pas toute possibilité pour cette entreprise d’accéder aux données traitées sous la responsabilité de la Plateforme des données de santé, en dépit des précautions, limitant ce risque, qui entourent le chiffrement dont elles font l’objet et le stockage des clés de chiffrement utilisées.
Il ne peut ainsi être totalement exclu, sur le plan technique, que Microsoft soit amenée à faire droit à une demande des autorités américaines fondée sur l’article 702 du FISA, ce qui méconnaîtrait alors les articles 28 et 48 du règlement général sur la protection des données, cités au point 5, qui interdisent qu’un sous-traitant transfère des données à caractère personnel vers un pays tiers si ce n’est sur instruction du responsable du traitement ou en vertu d’une obligation prévue par le droit de l’Union européenne ou d’un Etat membre, et que puisse être reconnue ou rendue exécutoire une décision d’une autorité administrative d’un pays tiers exigeant d’un responsable du traitement ou d’un sous-traitant qu’il transfère ou divulgue des données à caractère personnel, sauf sous certaines conditions qui ne seraient en l’espèce pas remplies. Télécharger la décision