Avec ce même souci, le régime juridique de la protection des données de santé – dites « données sensibles » – a été réformé par la loi n°2016-41 du 26 janvier 2016 de modernisation de notre système de santé, d’une part, et par le règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données (« RGPD »), d’autre part.
Précisément, l’article 4 alinéa 15 du RGPD a établi une définition des « données concernant la santé » énonçant qu’il s’agit de toutes :
« les données à caractère personnel relatives à la santé physique ou mentale d’une personne physique, y compris la prestation de services de soins de santé, qui révèlent des informations sur l’état de santé de cette personne ».
Ce faisant, le législateur fait de nos données de santé des informations sensibles, à user en conséquence avec précaution, soumis à un contrôle accru, notamment de l’Agence Numérique de Santé.
Or, nul n’ignore qu’il y a actuellement une véritable compétition dans les nouvelles technologies de santé, au vu de l’usage croissant qui est fait des technosciences et des modèles économiques induits. La collecte des données de santé se pratique désormais à tous niveaux : chez le professionnel de santé (carte vitale, mutuelle, dossier médical partagé) comme chez le pharmacien (délivrance de médicaments sur ordonnance, transmission aux caisses et mutuelles), mais encore sur son smartphone.
Le développement de nouvelles technologies, dont la période du Covid19 a accru le besoin comme la dépendance, montre que l’acteur qui sera en capacité de brasser un maximum de données, sera en mesure de délivrer les services les plus performant et par conséquent les mieux rémunérés. L’usage de l’intelligence artificielle en matière d’e-santé en dépend notamment.
I – Le Health Data Hub (HDH) français
Le Health Data Hub (HDH) est devenu l’outil de collecte et de centralisation des données de santé, aux fins de recherche et d’analyse. Il est aussi dénommé plateforme des données de santé.
Il s’agit d’une plate-forme numérique d’agrégation et de « massification » des données de santé. Ce système, institué depuis le 2 décembre 2019, lequel doit permettre de croiser les bases de données de santé disponibles (système national des données de santé, données des hôpitaux, de la médecine de ville, etc.) et de faciliter leur consultation par toutes les différentes équipes scientifiques de recherche médicale. Ce groupement d’intérêt public a été créé sous l’autorité de l’Institut national des données de santé (INDS, art. L. 1461-1 du Code de la santé publique) suivant arrêté du 29 novembre 2019 portant approbation d’un avenant à la convention constitutive du groupement d’intérêt public « Institut national des données de santé » portant création du groupement d’intérêt public « Plateforme des données de santé ».
Toutefois, depuis sa création par la loi n° 2019-774 du 24 juillet 2019 relative à l’organisation et la transformation du système de santé de nombreuses voix s’élèvent pour en dénoncer les risques.
En effet, le HDH regroupe les données issues de centres hospitaliers, des pharmacies ou encore du dossier médical partagé lesquelles sont stockées sur le cloud de Microsoft.
Ce choix du Cloud Azure ne fait pas l’unanimité d’autant plus que Microsoft a été nommé via une dispense de marché public par un contrat en date du 15 avril 2020 (« Données de santé : la plate-forme de la discorde », Le Monde, 2 décembre 2019). La directrice du HDH assurait pourtant que le géant américain était « le seul capable de répondre à nos demandes » justifiant de ce fait ladite dispense. Étonnamment, ce choix a été fait alors que seule Microsoft était effectivement hébergeur de données de santé (HDS) certifié ; ce n’est que postérieurement qu’OVHCloud et d’autres opérateurs français étaient in fine certifiés.
Enfin, Microsoft est régi par le droit américain en application duquel les entreprises américaines doivent « communiquer les contenus de communications électroniques et tout enregistrement ou autre information relatifs à un client ou abonné, qui sont en leur possession ou dont ils ont la garde ou le contrôle, que ces communications, enregistrements ou autres informations soient localisés à l’intérieur ou à l’extérieur des États-Unis » (Clarifying lawful overseas use of data act ou cloud act (H.R. 4943), 6/02/2018).
Interpellé sur ce point à l’occasion d’une question au Gouvernement, le Ministère des solidarités et de la santé avait alors répondu que cette règle américaine ne devrait pas trouver à s’appliquer « au contexte du Health Data Hub puisque l’intégralité des données stockées dans la plateforme est dé-identifiée et chacun des jeux de données est indépendamment stocké dans un espace dédié à son producteur et chiffré avec une clé à laquelle Microsoft n’a pas accès » (Réponse du Ministère des solidarités et de la santé publiée dans le JO Sénat du 13/02/2020, p. 819, à la question écrite n°14130 de M. Claude Raynal (Haute-Garonne – SOCR) publiée dans le JO Sénat du 30/01/2020, p. 504.)
Compte tenu de cette ambiguïté juridique et technologique, dans un contexte particulier de pandémie et d’atteinte aux libertés individuelles (confinement, limitation à la liberté d’aller et de venir), un collectif a alerté les pouvoirs publics sur ce choix inopportun et saisi le Conseil d’Etat sous le visa de l’article L. 3131-1 du Code de la santé publique, applicable en cas de « menace sanitaire grave appelant des mesures d’urgence ».
II – L’arrêt du 13 octobre 2020 rendu par le Conseil d’Etat
La requête tendait donc à faire annuler le contrat du 15 avril 2020 confiant à Microsoft Ireland Ltd l’hébergement de la plate-forme Health Data Hub.
À l’occasion de l’instance qui s’est déroulée devant la plus haute juridiction administrative, statuant en référé, la CNIL a pris position en regard de la protection – toute relative – des données personnelles comme conséquence de la décision de la Cour de Justice de l’Union Européenne d’annuler le « Privacy Shield » (arrêt CJUE C-311/18 Data Protection Commissioner contre Facebook Ireland Ltd dit « Schrems II » du 16 juillet 2020 – dont le requérant Max Schrems avait déjà été à l’origine de l’invalidation du « Safe Harbor » suivant arrêt du 6 octobre 2015), traité transatlantique de transfert des données personnelles.
Dans son mémoire en observations du 8 octobre 2020, la présidente de la CNIL a ainsi précisé au Conseil d’Etat que les États-Unis, du fait de leur loi de sécurité nationale et de renseignement électronique n’offraient pas les garanties de protection adéquate, et qu’en vertu du Cloud Act US de mars 2018, il en était de même pour les hébergeurs soumis à la législation « étasunienne ». Cet avis sévère de la CNIL était de nature à mettre en garde la haute juridiction.
En effet, en considérant l’avis de la CNIL, confier à Microsoft la conservation de données sensibles, revenait à les exposer à l’ingérence des services de renseignement américains, d’une part, et violait la décision de la CJUE du fait de la suspension des transferts transatlantiques dernièrement prononcée sur le même fondement, d’autre part, en contravention depuis lors avec l’article 48 du RGPD.
Suivant ordonnance du 13 octobre 2020, le Conseil d’Etat n’a toutefois pas inversé l’ordre des choses, évoquant des risques davantage que des violations avérée. Il a pris acte d’un avenant en date du 2 septembre 2020 (après l’arrêt Schrems II) aux termes duquel Microsoft s’engageait à ne pas traiter les données de santé hébergées hors d’Europe. En outre, par un arrêté du 9 octobre 2020 pris par le ministre des solidarités et de la santé, tout transfert hors Union Européenne a été interdit.
Compte tenu de ces garanties, le Conseil d’Etat avait par voie de conséquence confirmé provisoirement Azure-Microsoft comme hébergeur du Heath data hub, en raison de l’urgence liée à la crise sanitaire actuelle, estimant qu’il n’était pas envisageable de faire cesser sine die les activités de la plate-forme, sans disposer de technologie alternative.
Ainsi, le Conseil d’État avait ainsi autorisé le Health Data Hub à continuer à travailler avec Microsoft, sous le contrôle étroit de la CNIL, chargée de renforcer la protection des droits des personnes concernées sur leurs données personnelles, et sous réserve de la conclusion d’un nouvel avenant écartant clairement l’application des lois américaines. Ce faisant, le mandat du Microsoft était maintenu à brève échéance, en raison de la crise sanitaire dans le contexte de l’époque.
En conséquence de quoi, si Microsoft s’était vu confirmée dans son mandat d’hébergement et de traitement des données de santé des Français, elle a néanmoins été placée sous la tutelle de la CNIL et contrainte de conserver les données sur le territoire européen dans l’attente d’un véritable appel d’offres que le secrétaire d’État au numérique s’était engagé à lancer post Covid19, suivant déclaration au Sénat du 8 octobre 2020.
III – Les risques d’ingérences via des hébergeurs américains
Depuis 2020, malgré un débat nourri autour des questions de souveraineté numérique, et des interrogations récurrentes autour du mandat confié à Microsoft, qui n’a pas été remis en cause, peu d’évolution majeure.
Il faut néanmoins souligner l’adoption du Data Privacy Framework (DPF), qui a succédé au Privacy Shiled, annulé par la CJUE en 2020 et qui avait conduit le Conseil d’Etat à se prononcer le 13 octobre 2020.
Si l’article 2.1.1 du DPF prévoit un mécanisme de certification des entreprises américaines de sorte que « les organisations américaines s’engagent à respecter une série de principes de protection de la vie privée — les « principes du cadre de protection de la vie privée UE – États-Unis », y compris les principes complémentaires qui sont publiés par le ministère américain du commerce et qui figurent à l’annexe I de la présente décision », ce mécanisme sera in fine géré par le ministère américain du commerce qui donnera les accréditations. La Federal Trade Commission (FTC) sera en charge de vérifier leur conformité.
Et par ailleurs, les craintes et suspicions légitimes concernant les intrusions par les institutions, juridictions et services américains ne sont nullement écartées dans la mesure où l’article 3.1.1.1. dispose que :
« Les données à caractère personnel traitées par des organisations américaines certifiées qui seraient transférées depuis l’Union sur la base du CPD UE – États-Unis peuvent être consultées à des fins répressives par les procureurs fédéraux et les enquêteurs fédéraux des États-Unis selon des procédures différentes, comme expliqué en détail aux considérants 92 à 99. Ces procédures s’appliquent de la même manière lorsque des informations sont obtenues auprès de toute organisation américaine, indépendamment de la nationalité ou du lieu de résidence des personnes concernées ».
Rappelons les textes de référence qui précisément permettent ainsi d’asseoir cette hégémonie règlementaire au-delà des frontières de l’Amérique :
Executive Order 1233
Les agences de renseignement américaines ont la possibilité de requérir des données à caractère personnel en dehors des États-Unis, ce qui peut inclure des données à caractère personnel en transit entre l’Union et les États-Unis. La collecte en dehors des États-Unis est fondée sur le décret présidentiel n° 12333.
FISA
Le Foreign Intelligence Surveillance Atc (FISA) est une loi fédérale de 1978 offrant aux centrales de renseignement un droit d’accès exorbitant permettant la collecte d’information sur des puissances étrangères soit directement, soit par l’échange d’informations avec d’autres puissances étrangères.
Le FISA Amendments Act of 2008 a ajouté un nouveau chapitre VII à la loi initiale Foreign Intelligence Surveillance Act de 1978.
L’article 702 permet au Procureur générale des Etats-Unis et au Directeur du renseignement national d’autoriser conjointement le ciblage des personnes censées être raisonnablement situées à l’extérieur des États-Unis, mais elle est limitée au ciblage des personnes non américaines. Une fois autorisées, ces acquisitions de données SIGINT peuvent durer pendant des périodes allant jusqu’à un an.
En particulier, l’article 1181 du FISA : s’applique spécifiquement aux fournisseurs de services de Cloud computing (et pas seulement les opérateurs de télécommunications), ne cible que les données situées en dehors des États-Unis et appartenant à des personnes non-américaines, et supprime certaines contraintes qui empêchaient jusque-là de réaliser une surveillance électronique permanente et à grande échelle, et de récupérer tout type données.
C’est sur le fondement du FISA que le programme PRISM a été bâti, permettant aux agences telles que la NSA d’accéder aux données détenues notamment par Yahoo !, Microsoft, Google, Facebook, Platak, YouTube, Skype, AOL, Apple, etc., indépendamment de la nationalité ou de lieu de résidence des personnes visées, dont le scandale a été révélé en 2013 par Edward Snowden.
Cloud act : la possibilité américaine de saisir des données stockées a l’étranger
La section 2713 du Titre 18 du Code des Etats-Unis relatif à la conservation et la divulgation requises des communications et des dossiers dispose :
« Un fournisseur de services de communication électroniques ou un service informatique à distance devra se conformer aux obligations du présent chapitre pour préserver, sauvegarder, ou divulguer le contenu d’un fil ou d’une communication électronique et tout enregistrement ou toute autre information appartenant à un client ou un abonné en possession, détention ou contrôle du fournisseur, peu importe si une telle communication, enregistrement, ou autre information est localisé au sein ou en dehors des Etats-Unis. »[1]]
Par conséquent, les autorités de poursuite américaines sont régulièrement habilitées à solliciter la communication de données, quelle que soit leur nature, n’importe où dans le monde, lorsque leur hébergement est realisé sur un serveur appartenant à une société américaine, comme Microsoft, Oracle, IBM, Apple …
Une société correspondant à ces critères, à qui est adressée la demande de communication de données ne peut pas se prévaloir de la localisation hors frontières américaines des données cibles afin de refuser légitimement de les communiquer. En outre, la personne visée par la demande de communication des autorités américaines n’est pas avisée d’une telle requête.
Depuis lors, ce n’est plus seulement la localisation des serveurs et centres de stockage de données (« data centers ») qui prévaut – puisque selon leur nationalité américaine ils sont accessibles au Cloud Act – mais précisément la nationalité de l’opérateur numérique et sa position géographique compte tenu du droit applicable.
En cela, le Cloud Act a conduit à une profonde réflexion relative à la relocalisation géographique, juridique et technique des données pour ceux qui veulent s’en affranchir.
IV – Un revirement de la CNIL ?
Tandis que l’avis de la CNIL avait largement emporté la conviction du juge administratif en 2020, sa dernière position en la matière questionne et nourrit de nouveau le débat de la souveraineté numérique en matière d’hébergement de données.
Elle a ainsi adopté une délibération n° 2023-146 en date du 21 décembre 2023 autorisant le groupement d’intérêt public » Plateforme des données de santé » à mettre en œuvre un traitement automatisé de données à caractère personnel ayant pour finalité la constitution d’un entrepôt de données dans le domaine de la santé, dénommé » EMC2 « .
La CNIL relève tout d’abord qu’il n’existe aucun prestataire susceptible de protéger les données contre l’application de lois extraterritoriales de pays tiers. De manière générale, elle regrette que la stratégie mise en place pour favoriser l’accès des chercheurs aux données de santé n’ait pas fourni l’occasion de stimuler une offre européenne à même de répondre à ce besoin.
Dans ces conditions, elle autorise la constitution de l’entrepôt EMC2 pour une durée de trois ans, qui correspond à la réalisation du projet de migration de la plateforme de la PDS ; ce faisant, l’hébergement consenti à Microsoft n’est pas remis en cause.
Selon les clarifications rendues publiques le 31 janvier 2024, afin de s’en expliquer, la CNIL rappelle que les données du Health Data Hub devraient en toute logique être conservées sur le territoire français et conformément au Code de la santé publique (notamment sur les hébergeurs de données de santé).
La CNIL admet que le choix d’Azure (Microsoft) est discutable en raison des lois américaines de collecte et de communication de données ci-avant rappelées. C’est pourquoi, pour le futur hébergement de la plateforme, la CNIL souhaite que son hébergement et les services liés à sa gestion puissent être réservés à des entités relevant exclusivement des juridictions de l’Union européenne ou bénéficiant de certifications de type Secnumcloud.
Toutefois, le ministère de la Santé estime qu’aucune modification n’est susceptible d’intervenir avant 2025, faute de solution opérationnelle alternative bien que souhaitant faire le choix d’une solution souveraine.
En conséquence de quoi, depuis 2020, en dépit des décisions, proclamations et avis rendus depuis lors, le Health Data Hub continue à être hébergé chez Microsoft. Une mesure provisoire qui dure …
Par Olivier de MAISON ROUGE
Avocat, Docteur en droit
Dernier ouvrage paru : « Gagner la guerre économique. Plaidoyer pour une souveraineté économique et une indépendance stratégique » VA Editions, 2022
[1] 18 U.S. Code § 2713 – Required preservation and disclosure of communications and records:
« A provider of electronic communication service or remote computing service shall comply with the obligations of this chapter to preserve, backup, or disclose the contents of a wire or electronic communication and any record or other information pertaining to a customer or subscriber within such provider’s possession, custody, or control, regardless of whether such communication, record, or other information is located within or outside of the United States. »