Le cas d’espèce du Health Data Hub applicable à tout entrepôt de données de santé

Le collectif à l’origine de l’action, comprenant 18 requérants issus du milieu du logiciel libre, d’associations de patients, de syndicats de médecins et techniciens et du milieu du journalisme, dénonçait le choix de confier à Microsoft l’hébergement des données de santé du HDH, essentiellement en raison de l’absence d’appel d’offre et des effets de l’extraterritorialité du droit américain. Pour mieux comprendre le cas d’espèce, il convient de repréciser le HDH.

Premières inquiétudes

La plateforme des données de santé, organisme public, également appelé « Health Data Hub » (HDH), a été créée fin novembre 2019, pour faciliter le partage des données de santé issues de sources très variées afin de favoriser la recherche et répondre au défi de l’usage des traitements algorithmiques, conformément aux préconisations du rapport du député Villani.

Le système d’information en lui-même, qui a vocation à regrouper l’ensemble des données de santé de toute la population soignée en France, soit plus de 67 millions de personnes, a été mis en service en avril 2020 de façon anticipée et sur un périmètre limité pour les besoins de la gestion de l’urgence sanitaire et de l’amélioration des connaissances sur le virus covid-19.

La plateforme des données de santé a ainsi signé, le 15 avril 2020, un contrat avec Microsoft Ireland Operations Limited, filiale irlandaise de la société américaine Microsoft, pour l’hébergement des données et l’utilisation de logiciels nécessaires à leur traitement.

A l’époque, la CNIL avait donné son avis sur l’utilisation du HDH dans le cadre de la crise sanitaire. Elle s’était alors inquiétée du fait que le choix de Microsoft pour l’hébergement des données (malgré un hébergement des données au repos sur des serveurs aux Pays-Bas) impliquait le risque que des transferts de données vers les États-Unis soient réalisés. Sans estimer que la situation était illégale (des clauses contractuelles types ayant été signées entre les parties pour encadrer ces transferts), la CNIL avait recommandé que, à plus long terme, l’hébergement et les services de gestion du HDH puissent être « réservés à des entités relevant exclusivement des juridictions de l’Union européenne ».

Ces mêmes craintes avaient d’ailleurs été annoncées également par notre cabinet dans un article dénonçant l’entrée du loup dans la bergerie.

L’arrêt Schrems II

Or, durant l’été, un arrêt dit Schrems II, du nom de l’activiste autrichien militant pour la protection des données, à l’origine déjà de l’invalidation du Safe Harbor, a été rendu par la Cour de Justice de l’Union européenne, arrêt qui a radicalement changé la situation du recours à des solutions d’hébergement fournies par des acteurs étatsuniens.

Cet arrêt a estimé, au regard de deux réglementations américaines relatives à la sécurité nationale, la section 702 du FISA et l’Executive Order 12333, que le droit étatsunien n’assure pas un niveau de protection essentiellement équivalent au droit européen relatif à la protection des données et a ainsi invalidé la décision d’adéquation 2016/1250 du Privacy Shield.  Dès lors, un des trois fondements permettant les transferts de données personnelles vers les États-Unis tombait. En effet, pour rappel, les transferts de données personnelles vers un pays tiers hors de l’Union européenne sont possibles soit :

• En vertu d’une décision d’adéquation (article 45 du RGPD), tel que le Privacy Shield ; ou
• En vertu de garanties appropriées, que sont notamment les clauses contractuelles types adoptées par la Commission européenne, mais également les règles d’entreprises contraignantes (article 46 et 47 du RGPD) ; ou
• En vertu d’une dérogation prévue pour des situations particulières (article 49 du RGPD).

Le premier fondement invalidé, le deuxième fondement a également été étudié par la Cour. L’arrêt Schrems II n’a pas invalidé les clauses contractuelles types élaborées par la Commission européenne, mais a néanmoins indiqué que si des transferts sont effectivement envisagés à destination des États-Unis, notamment sur la base de clauses contractuelles types, des mesures additionnelles doivent être prévues par le responsable de traitement pour assurer le niveau de protection des données requis.

C’est donc au regard de cet arrêt décisif que le contrat d’hébergement conclu entre la Plateforme des données de santé et Microsoft Ireland a été porté en référé devant les juridictions administratives.

L’analyse relative au HDH, menée par le Conseil d’État mais surtout par la CNIL dans son Mémoire en observations, doit servir à tout entrepôt de données de santé, dépendant d’établissement hospitaliers ou d’autres responsables de traitement, qui sont hébergés par des sociétés étatsuniennes, voire qui autorisent plus largement des transferts vers les États-Unis. En adoptant une analyse sur du long terme, il convient de retenir trois enseignements.

1er enseignement : Démontrer l’absence totale de transferts vers les États-Unis

L’absence absolue de tout transfert de données personnelles et a fortiori de données de santé vers les États-Unis est le premier enseignement qui ressort de cette décision. En d’autres termes, un entrepôt de données de santé ne doit, ni être hébergé sur des serveurs aux États-Unis, ni faire l’objet de traitements, telles des opérations de maintenance, aux États-Unis. On distinguera ainsi l’hébergement des données « au repos » et les transferts résiduels.

Concernant l’hébergement des données « au repos »

En l’espèce, dès le mois d’avril, il avait été convenu entre les parties que les données du HDH seraient hébergées sur des serveurs aux Pays bas, avant de l’être bientôt en France.

Cette solution est régulièrement proposée par les prestataires quelle que soit leur nationalité, proposant ainsi un hébergement sur des serveurs situés sur le territoire de l’Union européenne.

Concernant tout autre transfert résiduel de données de santé

La décision devient intéressante sur la notion de transferts résiduels de données de santé, transferts mis en œuvre notamment dans le cadre d’opérations d’administration ou de maintenance.

En effet, la plateforme de données de santé avait choisi un dispositif dénommé « Customer Lockbox » proposé par Microsoft et instituant un système de contrôle des accès des administrateurs de Microsoft sur autorisation de la plateforme qui aurait ainsi gardé la main sur ces transferts. Cependant, ce dispositif comportait des exceptions notamment en cas « de scénarios inattendus ou imprévisibles correspondant à des catastrophes ou en cas d’accès fortuit aux données par un ingénieur Microsoft ». La CNIL, dans sa délibération d’avril 2020, avait ainsi appelé à une extrême vigilance sur ces transferts résiduels.

A la suite de la décision Schrems II et sentant le vent tourner, les parties ont conclu un avenant en septembre 2020 limitant d’avantage les transferts « y compris pour la résolution d’incidents » et ce pour des services énumérés. Cet avenant venait ainsi limiter les transferts de données de santé à l’initiative de Microsoft.

Toutefois, le Conseil d’État vient verrouiller d’avantage encore le dispositif en ordonnant qu’un nouvel avenant soit conclu pour stipuler expressément que l’ensemble des services fournis par Microsoft seront couverts par cette limitation relative aux transferts résiduels.

Enfin, une fois que les transferts de données de santé à l’initiative de Microsoft ont été verrouillés, encore fallait-il s’assurer que la plateforme de données de santé ne soit pas en mesure d’autoriser de tels transferts. C’est seulement confronté à cette procédure instituée par le collectif, que le Ministre des solidarités et de la santé a pris en urgence un arrêté ministériel le 9 octobre 2020, interdisant formellement à la plateforme de données de santé d’autoriser tout transfert de données à caractère personnel.

Cette décision est riche d’enseignement pour les entrepôts de données notamment sur la distinction hébergement au repos et transferts résiduels. Il ressort de cette décision que les entrepôts de données confrontés aux mêmes problématiques que le HDH devront ainsi :

• s’assurer que l’hébergement des données au repos est réalisé sur des serveurs situés au sein de l’Union européenne ;
• veiller à ce qu’aucun transfert résiduel, notamment au titre de l’administration de l’entrepôt ou de la maintenance, ne soit possible à l’initiative du sous-traitant ;
• s’engager à ne pas autoriser de tels transferts. Si ces engagements ne pourront pas prendre la forme d’un arrêté ministériel, comme ce fut le cas en l’espèce, un engagement formel et écrit, voire une déclaration publique devront ainsi être envisagés par les entrepôts de données.

2ème enseignement : Confier l’hébergement de ces données à des sociétés non soumises au droit étatsunien

Il ressort un second enseignement de cette décision, moins claire dans l’ordonnance du Conseil d’État que dans le mémoire de la CNIL : l’hébergement du HDH et des entrepôts de données de santé par des acteurs soumis au droit étatsunien est illégal.

Cette décision vient en effet compléter l’arrêt Schrems II. En effet, l’arrêt Schrems II concernait uniquement le cas où un opérateur transfère, de sa propre initiative, des données personnelles vers les États-Unis, et non le cas où les données sont traitées sur le territoire de l’Union européenne par des sociétés de droit étatsunien ou leurs filiales, comme c’était le cas en l’espèce, les serveurs de Microsoft Azure étant situés aux Pays-Bas.

Reconnaissance du risque par le Conseil d’État 

Le Conseil d’État, en s’appuyant sur les observations de la CNIL, reconnaît qu’ « il ne peut ainsi être totalement exclu, sur le plan technique, que Microsoft soit amenée à faire droit à une demande des autorités américaines fondée sur l’article 702 du FISA » constituant ainsi une victoire pour les requérants.

Sans revenir sur l’analyse détaillée de la CNIL sur les dispositions étatsuniennes (FISA Section 702 et l’Executive Order 12 333), il conviendra de relever que l’avenant signé récemment entre la plateforme de données de santé et Microsoft prévoyait que Microsoft « ne divulguera ni ne donnera accès à une quelconque Donnée Traitée aux autorités, sauf si la loi l’exige ».

Dès lors, indépendamment de l’absence de transfert à l’initiative de la plateforme ou de Microsoft, il a été reconnu que des transferts de données de santé initiés à la demande des services de renseignement des États-Unis pouvaient être possibles.

Illégalité

Un tel transfert des données de santé vers les États-Unis à la demande des services de renseignements étatsuniens est illégal en ce qu’il méconnaît les articles 28 et 48 du RGPD :

• l’article 28 du RGPD interdit en effet qu’un sous-traitant transfère des données à caractère personnel vers un pays tiers, si ce n’est sur instruction du responsable du traitement ou en vertu d’une obligation prévue par le droit de l’Union européenne ou d’un État membre,
• l’article 48 du RGPD interdit que puisse être reconnue ou rendue exécutoire une décision d’une autorité administrative d’un pays tiers exigeant d’un responsable du traitement ou d’un sous-traitant qu’il transfère ou divulgue des données à caractère personnel, sauf si cette décision est fondée sur un accord international, tel qu’un traité d’entraide judiciaire, ce qui n’est pas le cas des dispositions FISA Section 702 et l’Executive Order 12 333.

Tout entrepôt de données devra également appliquer le second enseignement qui ressort de cette décision. Au regard de l’illégalité que constituerait un tel transfert, tout entrepôt de données de santé devra confier l’hébergement de ces données à des sociétés non soumises au droit étatsunien. A titre de précision, dans ses observations, la CNIL souligne « qu’il ne suffit pas que l’hébergeur ait son siège social hors des États-Unis pour ne pas être soumis en partie au droit étatsunien, s’il exerce une activité dans ce pays ».  

Par ailleurs, les entrepôts de données de santé veilleront à l’application de cette obligation notamment au regard des conséquences sur les formalités à effectuer auprès de la CNIL dans le cadre de la recherche scientifique. La CNIL laisse en effet entendre, dans ses observations, que le non-respect de cette obligation serait « problématique » pour la poursuite des autorisations de traitement de ces données, notamment dans le cadre de recherches scientifiques.

3ème enseignement : Modifier les conditions d’hébergement

Pour les entrepôts de données qui auraient déjà fait le choix d’un hébergement assuré par des acteurs soumis au droit étatsunien, un troisième enseignement est à retenir : les entrepôts de données de santé devront modifier les conditions d’hébergement des données de santé et ce, selon différentes échéances.

A très court terme, la non-suspension de l’hébergement

La décision du Conseil d’État de refuser de suspendre le traitement a été rendue « à très court terme » comme l’indique son communiqué. Le Conseil d’État a ainsi justifié sa décision par l’intérêt public important de permettre la poursuite de l’utilisation des données de santé pour répondre aux besoins de l’épidémie de la gestion de l’urgence sanitaire et pour améliorer les connaissances sur l’épidémie covid-19.

Pour le Conseil d’État, les moyens techniques dont dispose le HDH sont en effet « sans équivalent à ce jour » et aucune solution technique alternative satisfaisante n’existerait pour éviter d’interrompre brusquement les quelques projets en cours sur le Health Data Hub.

Cet argument peut laisser perplexe au regard des doutes qui pèse sur l’obtention du marché par Microsoft dont plusieurs médias se sont fait l’écho, mais également l’absence d’étude de marchés concernant les autres opérateurs, notamment au regard du nombre croissant d’hébergeurs certifiés HDS. Enfin, on peut là encore s’interroger sur la légitimité à invoquer la crise sanitaire pour justifier une atteinte à la protection des données personnelles.  Par ailleurs, cet intérêt légitime reconnu pour le HDH ne sera pas nécessairement retenu pour tous les entrepôts de données de santé.

Malgré ces critiques, une période transitoire sera nécessaire pour permettre aux entrepôts de données de santé de se soustraire à la possibilité d’une communication aux services de renseignement étatsuniens.

Pendant la période transitoire, la mise en œuvre de garanties

Dans l’intervalle, le Conseil d’État rappelle que la plateforme de données de santé, en qualité de responsable de traitement, est tenue de s’assurer que son sous-traitant, Microsoft, met en place des mesures techniques et organisationnelles appropriées pour garantir la protection des droits des personnes concernées.

A ce titre, pendant la période transitoire, il conviendra pour le HDH et tout autre entrepôt de données de santé engagé avec un opérateur soumis au droit étatsunien, de réaliser des audits chez leur hébergeur, tant sur pièces (étude des contrats), que sur place (vérification des niveaux de sécurité). Le cabinet Houdart reste à la disposition de tout entrepôt de données pour toute assistance dans ses vérifications.

Par ailleurs, pendant cette période transitoire, les entrepôts de données de santé devront disposer d’un fondement juridique permettant, tant que la situation n’est pas régularisée, de réaliser de tels transferts et ainsi d’obtenir les autorisations préalables de la CNIL.

Selon la CNIL, ce fondement serait celui de l’article 49, 1° d) du RGPD qui autorise des dérogations aux exigences minimales de protection des transferts pour des motifs importants d’intérêts publics. La CNIL assouplit ainsi son interprétation très restrictive de ces dérogations comme fondement pour un transfert de données personnelles, au motif que l’arrêt Schrems II aurait reconnu que les dérogations prévues à l’article 49 permettent de continuer certains transferts en l’absence de décision d’adéquation (article 45) ou d’autres garanties appropriées (article 46 et 47 du RGPD). La CNIL estime donc qu’il y aurait un intérêt public manifeste à ménager cette période de transition pour garantir la continuité de l’hébergement des données de santé et des usages qui y sont liés.

Cette période transitoire devra donc être active au regard de l’ensemble des garanties à mettre en œuvre.

Durée de la période transitoire

La durée de cette période transitoire doit être limitée au strict nécessaire selon les observations de la CNIL. Le Conseil d’État a en effet pris acte que les autorités publiques avaient fait part de leur volonté d’adopter « dans les délais les plus brefs possibles » le choix d’un nouveau sous-traitant.

Si ce bref délai permet de limiter les conséquences désastreuses du risque d’accès aux données de santé par les services de renseignement des États-Unis, il ne laisserait pas le temps d’attendre la montée en puissance d’acteurs européen, tel qu’espérée, notamment par le député Pierre-Alain Raphan.

Solution pérenne : le choix d’un nouveau sous-traitant comme solution évidente

Enfin, le Conseil d’État appelle dans son communiqué à une « solution pérenne » qui permettra d’éliminer tout risque d’accès aux données personnelles par les autorités américaines.

La solution pérenne la plus évidente consiste dans le changement d’hébergeur afin que ce dernier ne soit plus soumis au droit étatsunien. C’est cette solution qui serait privilégiée concernant spécifiquement le HDH. En effet, le Secrétaire d’État chargé de la Transition numérique, Cédric O, a indiqué, lors de son audition devant les sénateurs le 8 octobre dernier, travailler « au transfert du Health Data Hub sur des plates-formes françaises ou européennes ».

D’autres pistes sont également étudiées. La CNIL fait part, dans ses observations, d’un dispositif contractuel par lequel la société américaine met en place un accord de licence avec une société européenne qui a seule la possibilité d’agir sur les données déchiffrées, et qui bénéficie des services et de l’expertise de la société américaine sans que celle-ci n’ait jamais un accès aux données. La faisabilité de ce montage ainsi que la piste de la filialisation des activités déployées aux États-Unis sont actuellement étudiées par la CNIL en lien avec ses homologues européens.

On comprend donc que cette modification nécessaire des conditions d’hébergement, conduisant très certainement à un changement de prestataire, impliquera de lourdes dépenses pour les entrepôts de données, notamment afin de mener au mieux la réversibilité des services.

Cette décision du Conseil d’État spécifique au Health Data Hub doit donc servir de leçon à tous les autres entrepôts de données de santé. Il serait bon que les acteurs publics adoptent une véritable orientation politique dans la passation des marchés publics afin d’éviter de tels bouleversements au cours de l’exécution du contrat.

Dans le respect de la législation sur les contrats et sur les marchés publics, les entrepôts de données de santé devront adopter des prérequis dans le choix de leurs prestataires en s’appuyant sur les outils juridiques existants et largement suffisants. Ainsi de tels risques seraient évités et on cesserait une bonne fois pour toute d’utiliser la crise sanitaire pour justifier ces décisions mettant en jeu les données de santé de plus de 67 millions de personnes.