Blog Données personnelles
Quelle solution pour les transferts de données aux Etats-Unis ? La CNIL répond à propos du Health Data Hub
La lecture du mémoire en observations de la CNIL sur la requête en référé déposée par le Conseil National du Logiciel Libre confirme, à propos du Heath Data Hub, la situation très délicate dans laquelle se trouvent désormais les acteurs qui transfèrent des données personnelles aux Etats-Unis.
L’autorité de protection des données avait, dès avant l’arrêt de la CJUE du 16 juillet 2020 dit Schrems II, considéré que l’hébergement des données de santé pseudonymisées issues des bases constitutives du HDH par Microsoft Azure devait conduire le gouvernement à une « extrême vigilance s’agissant des conditions de conservation et des modalités d’accès aux données », et recommandait à terme un hébergement de la base par des entités relevant des juridictions de l’Union Européenne.
Ses observations reprennent aujourd’hui les termes de l’arrêt de la CJUE qui invalide le Privacy Shield au motif principal que le droit étasunien, du fait de la section 702 du FISA et l’Executive Order 12333, n’assure pas un niveau de protection équivalent au RGPD.
On sait également que les clauses contractuelles types élaborées par la Commission Européenne, qui sont utilisées habituellement pour les transferts de données hors UE, restent valides sous réserve, pour les pays qui n’offrent pas de protection équivalente, de la mise en place, soit de mesures additionnelles pour assurer le niveau de protection requis, soit d’une notification à l’autorité de protection des données de l’intention de continuer à transférer des données personnelles sans ces garanties.
Situation actuellement impossible s’agissant des Etats-Unis dans la mesure où les destinataires doivent apporter la garantie que les données qu’ils reçoivent ne pourront pas être accessibles ou lues au titre du FISA et de l’EO12333, sans compter l’application de Cloud Act.
La solution un temps avancée par le HDH de la mise en place d’un « Customer Lockbox », c’est-à-dire d’un système de contrôle a priori des accès des administrateurs de Microsoft aux données, qui serait géré par le HDH lui-même n’est pas suffisant puisqu’il comporte des exceptions qui annulent le bénéfice de la solution avancée. En effet, ce contrôle a priori pourrait être annulé en cas de « scénarios inattendus ou imprévisibles correspondant à des catastrophes ou en cas d’accès fortuit aux données par un ingénieur Microsoft ».
Un nouvel avenant annoncé par le HDH qui limite encore les transferts de données est toujours en cours d’instruction. Les données de la base restent entreposées « au repos » en Europe et le HDH resterait maître de la détermination de la zone géographique dans laquelle la résolution d’incidents pourra être traitée.
Mais en tout état de cause, la société Microsoft reste soumise aux éventuelles injonctions des services de renseignement américain et au regard des règles de protection des données personnelles, ces demandes peuvent être considérées comme des divulgations non autorisées de données en application de l’article 48 du RGPD dès lors qu’elles ne se fondent sur aucun accord international ou traité d’entraide judiciaire et qu’elles ne peuvent s’inscrire dans aucune des dispositions du chapitre V du RGPD.
Le HDH est loin d’être le seul dans cette situation très difficile et tout autre entrepôt de données de santé ou toute autre organisation qui fait héberger ses données par une entreprise américaine est aujourd’hui dans une situation similaire.
Que deviennent donc les autorisations délivrées par la CNIL après l’arrêt Schrems II ?
Dans la recherche d’une solution pragmatique, la CNIL fait le constat logique qu’on ne peut stopper les transferts autorisés avant l’arrêt de la CJUE de façon soudaine et péremptoire.
Une période transitoire limitée au strict nécessaire peut être fondée sur l’article 49 1) d du RGPD qui autorise pour des motifs d’intérêt public, à condition qu’ils soient reconnus par le droit de l’Etat membre, des dérogations aux exigences de protection des transferts de données.
Reste à déterminer pour chacun ce motif d’intérêt public et d’être en mesure de le démontrer, le temps de trouver un autre hébergeur et d’attendre les positions du Comité européen de la protection des données à la suite de l’arrêt de la CJUE du 16 juillet 2020.
Notons d’ores et déjà que l’arrêté du 10 juillet 2020 prescrivant les mesures générales nécessaires pour faire face à l’épidémie de covid-19 dans les territoires sortis de l’état d’urgence sanitaire et dans ceux où il a été prorogé a été modifié le 9 octobre dernier et comporte désormais à propos des données recueillies par le HDH dans le cadre de l‘épidémie de Covid 19 à son article 30 la phrase suivante : « Aucun transfert de données à caractère personnel ne peut être réalisé en dehors de l’Union européenne ».
Dernière minute : le juge des référés du Conseil d’Etat, dans une Ordonnance du 13 octobre 2020, ordonne au Health Data Hub de justifier « avoir conclu, dans un délai de quinze jours à compter de la notification de la présente décision, un nouvel avenant aux documents contractuels l’unissant à la société Microsoft Ireland Operations Limited pour préciser que la loi applicable dont il est fait mention dans l’avenant du 3 septembre 2020 est celle du droit de l’Union ou du droit de l’Etat membre auquel la société est soumise et que les modifications que cet avenant apporte à l’addendum sur la protection des données pour les services en ligne Microsoft s’appliquent à l’ensemble des services fournis par Microsoft susceptibles d’être utilisés pour le traitement de données à caractère personnel du système de santé ».