Entrepôts de données de santé : vers une souveraineté numérique ?

Article rédigé le 7 février 2022 par Me Laurence Huin et Céline Cadoret

Suite au récent retrait par le gouvernement de sa demande d’autorisation auprès de la CNIL pour le Health Data Hub et ce à la suite des inquiétudes liées notamment à son hébergement par Microsoft, (voir notre précédent article sur le sujet et celui concernant l’hébergement de Doctolib par Amazon Web Services), l’analyse du référentiel de la CNIL relatif aux entrepôts de données dans le domaine de la santé est particulièrement instructive en ce qui concerne la gestion de la sous-traitance et le transfert de données en dehors de l’Union européenne.

Sans surprise, le nouveau référentiel de la CNIL relatif aux entrepôts de données de santé rappelle certaines exigences en cas de recours à un prestataire pour la constitution d’un entrepôt de données de santé (EDS). De manière classique, le responsable de traitement devra veiller à conclure un contrat de sous-traitance respectant les dispositions de l’article 28 du RGPD. En termes de sécurité, il devra s’assurer que le prestataire mette en œuvre des mesures techniques et organisationnelles conformes à celles établies dans le référentiel et que le prestataire ait obtenu la certification Hébergeur de Données de Santé (HDS). Nous ne nous attarderons en conséquent pas sur ces points.

En revanche, il ressort de ce référentiel que la CNIL entend poursuivre sa volonté de protéger les données contenues au sein d’un entrepôt de données de santé contre toute législation qui n’assurerait pas un niveau de protection suffisante en matière de données à caractère personnel.

Une exigence dans la sélection des prestataires

De manière lacunaire, la CNIL prévoit au point 11.3 du référentiel que :

« Seuls les entrepôts ayant recours à un sous-traitant relevant exclusivement des juridictions de l’Union européenne ou d’un pays considéré comme adéquat au sens de l’article 45 du RGPD sont conformes au présent référentiel »

Condition essentielle pour pouvoir se conformer au référentiel et ainsi éviter, soit de demander une autorisation spécifique auprès de la CNIL (article 66 de la loi Informatique et Libertés), soit de recueillir le consentement des personnes concernées (article 65 de la loi Informatique et Libertés), cette exigence relative au choix des prestataires mérite une analyse approfondie pour en comprendre la portée et ses enjeux.

Cette analyse concernera dans un premier temps la compréhension de la notion « relever exclusivement des juridictions » et dans un second temps l’étendue du territoire géographique concerné.

Analyse de la formulation « Relever exclusivement des juridictions » 

A titre liminaire, cette formulation commence à être familière des lecteurs des décisions de la CNIL. Cette dernière avait en effet déjà évoqué cette expression, dans son avis concernant l’hébergement de la plateforme Health Data Hub par Microsoft en avril 2020, ainsi que dans son Mémoire en observations présenté au juge des référés du Conseil d’Etat saisi à ce sujet en octobre 2020. Dans son avis, la CNIL avait considéré que les services d’hébergement de la plateforme devaient être « réservés à des entités relevant exclusivement des juridictions de l’Union européenne ».

Que signifie l’expression « relever exclusivement des juridictions » utilisée au sein du référentiel ?

Pour comprendre l’expression utilisée au sein du référentiel, il convient de se reporter à ses précédentes délibérations où la CNIL se montrait plus loquace. Dans sa délibération n° 2020-044 du 20 avril 2020 portant avis sur la mise en place du Health Data Hub précitée, la CNIL avait considéré que « Toute demande d’accès d’une juridiction ou d’une autorité administrative d’un pays tiers, adressée au sous-traitant, en dehors d’un accord international applicable ou, selon l’interprétation du CEPD, de l’application d’une dérogation relative à l’intérêt vital de la personne concernée, ne pourrait donc être considérée comme licite » et qu’à ce titre, pour la constitution d’un entrepôt de données de santé, il était nécessaire de recourir à des « entités qui relèvent exclusivement des juridictions de l’Union européenne », compte tenu des « éventuels risques matériels et juridiques en matière d’accès direct par les autorités de pays tiers ».

On comprend donc que la CNIL entend s’assurer que les prestataires auxquels recourent les responsables de traitement ne soient pas soumis à une demande d’accès aux données de l’entrepôt formulée par une juridiction d’un pays tiers (pour le périmètre géographique exacte, voir notre point 1.2). On relèvera que l’expression utilisée dans le référentiel ne fait pas référence aux autorités administratives ; des précisions seront donc attendues sur ce point.

En tout état de cause, la CNIL vise par l’emploi de cette formulation, et notamment le terme « exclusivement », toute législation d’un pays tiers ayant une portée extraterritoriale en matière d’accès aux données à caractère personnel, et en premier lieu, deux réglementations américaines relatives à la sécurité nationale, la section 702 du « Foreign Intelligence Surveillance Act » (FISA) et le décret présidentiel Executive Order 12333. Ces législations extraterritoriales, en totale contradiction avec l’article 48 du RGPD relatif au transfert ou aux divulgations non autorisées de données, visent à obtenir l’accès à des données à caractère personnel, quel que soit la localisation des données et le lieu d’implémentation des acteurs qui y sont soumis.

Dès lors, par cette expression, la CNIL appelle les acteurs mettant en place des entrepôts de données de santé à s’assurer, non pas de la nationalité de leurs prestataires, ni de la localisation de l’hébergement des bases de données au repos, mais de leur soumission, totale ou partielle, à des injonctions de juridictions tiers les obligeant à leur transférer des données stockées et traitées au sein de l’entrepôt de données. Cette analyse rappelle les mesures supplémentaires, énoncées dans l’arrêt Schrems II rendu par la Cour de Justice de l’Union européenne le 16 juillet 2020, et nécessaires pour tout responsable de traitement qui souhaite transférer des données personnelles vers les Etats-Unis sur la base des clauses contractuelles types.

Ainsi, pour se conformer à ce référentiel, le responsable de traitement, à l’issue de son analyse, ne pourra pas recourir pour l’exploitation ou l’hébergement de l’entrepôt de données de santé à une filiale implantée dans un pays de l’Union européenne garantissant un hébergement des données au repos sur le territoire, si la société en question dépend de lois d’un pays qui peuvent avoir une portée extraterritoriale en matière d’accès aux données à caractère personnel.

Et du périmètre « De l’Union européenne ou d’un pays reconnu comme adéquat par la Commission européenne »

On comprend avec ce référentiel que le choix des prestataires auxquels fera appel le responsable de traitement portera sur un territoire très limité, à savoir relever exclusivement des 45 juridictions suivantes :

• • Celles des 27 pays de l’Union européenne ;

• • Celles des pays membres de l’Association européenne de libre-échange (Norvège, Lichtenstein, Islande, Suisse) dans la mesure où le RGPD a été incorporé par une décision de la Commission mixte de l’Espace Economique Européen, au sein de l’Accord sur l’Espace économique européen ;

• • Ou celles des pays reconnus comme adéquats par la Commission européenne, c’est-à-dire que le pays en question a fait l’objet d’une décision d’adéquation de la part de cette dernière. Ces décisions d’adéquation rendues par la Commission permettent de constater que les lois et les règlementations du pays assurent un niveau de protection au moins équivalent à celui de l’Union européenne.

La Commission européenne a pour le moment émis ces décisions d’adéquation pour seulement 14 pays, dont par exemple le Japon, l’Argentine, ou très récemment le Royaume-Uni le 28 juin 2021 en raison de son retrait de l’Union européenne et la Corée du sud par une décision en date du 17 décembre 2021.

L’analyse précédemment évoquée doit conduire à la certitude que le prestataire auquel le responsable de traitement entend recourir ne sera pas soumis, même partiellement à des demandes d’accès formulées par une juridiction autre que celle des 45 pays évoqués ci-dessus, permettant à des autorités d’un pays tiers d’accéder aux données de l’entrepôt.

On comprend donc que cette exigence posée par le référentiel de la CNIL en quelques lignes est loin d’être négligeable et nécessitera un travail conséquent pour le responsable de traitement dans le choix de ses prestataires ; l’illustration du Health Data Hub et la difficulté à respecter l’engagement du gouvernement à retirer l’hébergement et l’exploitation des données de santé des Français à Microsoft d’ici deux ans est un parfait exemple.

Une limitation particulièrement stricte des transferts en dehors de l’Union européenne

Le référentiel est également intéressant dans la mesure où il a une approche visant à limiter de manière très stricte les transferts de données en dehors de l’Union européenne, tout d’abord en définissant de manière très large ce qu’est un « transfert » (1), mais aussi, en n’autorisant que les transferts de données à caractère personnel vers des pays ayant fait l’objet d’une décision d’adéquation par la Commission européenne (2).

Une définition très large de la notion de « transfert »

La notion de « transfert » n’est nullement définie par le RGPD. Le Comité européen sur la protection des données (CEPD) a toutefois récemment apporté des précisions sur ce que signifie la notion de « transfert » dans ses lignes directrices adoptées le 18 novembre 2021 au sujet de l’articulation entre les dispositions relatives au transfert de données à caractère personnel et le champ d’application territorial du RGPD.

Le CEPD expose au sein de ses lignes directrices quels sont les critères cumulatifs à prendre en compte pour définir ce qu’est un transfert de données en dehors de l’Union européenne, à savoir :

• • un responsable de traitement ou un sous-traitant soumis au RGPD pour le traitement concerné ;

• • l’importateur de ces données se trouve dans un pays tiers ou une organisation internationale, indépendamment du fait que cet importateur soit ou non soumis au RGPD ;

• • le responsable de traitement ou le sous-traitant « divulgue par transmission ou autrement» des données à caractère personnel à un autre responsable de traitement, un responsable conjoint ou un sous-traitant.

Ainsi et aux vues de ce dernier critère, une transmission, un acte de communication ou une mise à disposition de données en dehors de l’Union européenne pourra être considéré comme un « transfert ».

L’article 12.1 du référentiel de la CNIL conforte cette approche du CEPD en disposant qu’un transfert est « tout accès distant aux données depuis l’extérieur du territoire européen ». On comprend donc avec cette définition que le référentiel entend encadrer n’importe quel transfert qui pourrait être opéré sur des entrepôts de données de santé, y compris lorsqu’une personne se connecte à distance pour y accéder.

Cet article du référentiel reprend dès lors les idées qui avaient émergé de la décision du juge des référés du Conseil d’état relative à l’hébergement de la plateforme du Health Data Hub par Microsoft, considérant que tant l’hébergement au repos de données hors de l’Union européenne que les « transferts résiduels » dans le cadre d’opérations d’administration de l’entrepôt ou de sa maintenance à distance, sont considérés comme des transferts de données.

Cette approche très large de la notion de transfert amène ainsi à être particulièrement vigilant aux flux de données réalisés en dehors de l’Union européenne pour les entrepôts de données de santé, d’autant plus que ces transferts sont limités aux seuls pays reconnus comme adéquats par la Commission européenne.

Un transfert uniquement possible dans les pays ayant fait l’objet d’une décision d’adéquation par la Commission européenne

Le RGPD prévoit qu’un transfert de données à caractère personnel en dehors de l’Union européenne est uniquement possible soit :

• • En vertu d’une décision d’adéquation rendue par la Commission européenne (article 45 du RGPD) ;

• • Le cas échéant, en vertu de garanties appropriées en mettant en œuvre l’un des mécanismes de transfert prévus par l’article 46 du RGPD (clauses contractuelles type ou règles d’entreprise contraignantes par exemple …) ;

• • Ou encore, en vertu d’une dérogation prévue pour des situations particulières (article 49 du RGPD).

Or, le référentiel prévoit, de manière beaucoup plus restrictive, dans son article 12.2 que « La mise en place et le fonctionnement d’un entrepôt ne peut entrainer le transfert de données à caractère personnel, directement ou indirectement identifiantes hors de l’Union européenne ou à destination d’un pays ne disposant pas d’un niveau de protection adéquat ».

Il ressort de cette exigence posée par le référentiel que la décision d’adéquation rendue par la Commission européenne est la seule garantie autorisée pour transférer des données d’un entrepôt vers un pays tiers.

Ainsi, est écarté par ce référentiel le mécanisme des clauses contractuelles types auquel de nombreux responsables de traitement recourent pour fonder légalement leurs transferts de données personnelles. Par cette disposition, la CNIL entend donc réduire considérablement les éventuels transferts de données de santé d’un entrepôt qui ne pourront être opérés, actuellement, que vers les quatorze pays bénéficiant d’une décision d’adéquation.

Dès lors, au regard de la définition très large des transferts de données hors de l’Union européenne, intégrant non seulement l’hébergement mais également un simple accès, et au regard de cette limitation aux seuls 14 pays bénéficiant d’une décision d’adéquation, les prestataires hébergeant des entrepôts de données de santé sur le territoire de l’Union européenne devront également limiter territorialement les opérations de maintenance (transferts résiduels). Nous comprenons qu’afin de pouvoir se conformer aux exigences de ce référentiel, de nombreux prestataires intervenant dans le fonctionnement d’un entrepôt de données de santé devront considérablement modifier l’organisation de leurs activités.

Pour conclure

Si ce référentiel représente une véritable opportunité pour les responsables de traitement d’entrepôts de données de santé de simplifier leurs formalités, il n’en reste pas moins que ce nouveau référentiel est une invitation à modifier les habitudes en matière de sous-traitance et de flux transfrontières, aussi bien pour les responsables de traitement, que pour les prestataires.

Ce référentiel doit en effet être considéré pour les prestataires intervenant dans le fonctionnement d’un entrepôt de données de santé comme une invitation à l’élaboration d’un code de conduite, tel que celui approuvé par la CNIL en juin dernier et concernant les prestataires de services d’infrastructure cloud. Actuellement très éloignés des exigences de la CNIL posées dans ce référentiel, les prestataires comprendront l’intérêt, voire même l’urgence, d’élaborer un code de conduite en la matière qui représentera un gage de confiance pour leurs clients.

En l’absence d’un tel code de conduite ou à défaut d’une conformité aux exigences posées par ce référentiel, les prestataires s’exposent au risque majeur de voir les responsables de traitement souhaitant mettre en œuvre un entrepôt de données de santé s’organiser pour développer, héberger et exploiter exclusivement en interne de tels entrepôts en l’absence d’une offre conforme sur le marché.