Par une délibération du 21 décembre 2023, la CNIL a autorisé le groupement d’intérêt public « Plateforme de Données de Santé » à créer un entrepôt de données de santé baptisé « EMC2 ». Ce dernier sera hébergé par Microsoft Azure pour une durée de trois ans. Une décision que la CNIL a prise « avec regrets ». Le choix de Microsoft Azure a été fait par le GIP PDS en réponse à un appel d’offres de l’Agence européenne du médicament. Cet entrepôt aura pour objectif de faciliter la recherche dans le domaine de la santé.
Les questions qui entourent la souveraineté numérique et la protection des données personnelles stratégiques se posent à un moment crucial. Au moment où les cyberattaques explosent, la dépendance aux technologies américaines s’accentue. Elles sont perçues comme plus performantes et sécurisantes. Alors que faire ? Faut-il confier les données de santé, données sensibles des Français, à une société américaine, pour bénéficier de sa sécurité de pointe ? Ou faut-il privilégier un cloud souverain européen moins performant, mais garantissant la protection contre les intrusions et l’espionnage extraterritorial ?
La CNIL s’est trouvée face à un dilemme cornélien : choisir entre le risque de cyberattaques ou celui de l’accès par les autorités américaines aux données de santé du projet ? L’autorité opte pour la sécurité qu’offre le cloud Microsoft, et ce, bien qu’une violation des données par les services de renseignement américains soit à envisager.
Il convient de voir le cadre juridique relatif à la création d’un entrepôt de données de santé. Il faut également déterminer les risques qui entourent le transfert de données vers les États-Unis. Enfin, il convient d’analyser les raisons qui ont poussé la CNIL à autoriser le GIP PDS à faire le choix de Microsoft comme hébergeur des données du projet.
Le cadre juridique relatif à la création de l’entrepôt EMC2 au regard du RGPD
Comme il s’agit d’un traitement de données à caractère personnel, le projet doit être conforme aux règles qui les protègent. Le traitement doit à ce titre être licite (article 6.1.e), poursuivre une finalité déterminée, explicite et légitime (article 5.1.b). Il doit satisfaire au principe de minimisation (article 5.1.c) et à celui de limitation de conservation (article 5.1.c). Par ailleurs, le traitement de données en question doit être conforme à des règles particulières puisqu’il s’agit de données sensibles, dont le traitement est en principe interdit (article 9). Les données de santé sont des données qui doivent être particulièrement bien protégées et dont le traitement requiert des exigences qui vont au-delà du simple traitement de données à caractère personnel. À titre d’exemple, des formalités préalables peuvent être exigées et un contrôle plus poussé peut être réalisé par la CNIL. Sur ces points, cette dernière a annoncé dans sa délibération que les exigences du RGPD ont été respectées.
Les risques relatifs au transfert de données vers les États-Unis
L’hébergement des données du projet chez Microsoft met en lumière un conflit de lois qui suscite certaines craintes relatives à la protection des données personnelles. En effet, les États-Unis sont réputés comme ayant une législation plus souple que le droit de l’Union en matière de protection des données personnelles. En l’espèce, bien que Microsoft Azure soit située sur le territoire de l’Union, elle fait partie d’un groupe de sociétés dont la mère est située aux États-Unis. Elle est, à ce titre, soumise à des lois extraterritoriales. Des lois à priori moins protectrices que celles du droit de l’Union.
C’est dans ce cadre que plusieurs décisions d’adéquation ont été élaborées par la Commission européenne et les États-Unis afin que le transfert de données transatlantique soit facilité. Le Safe Harbor et le Privacy Shield ont tous deux été invalidés par la CJUE dans ses célèbres arrêts Schrems I en 2015 et Schrems II en 2020. Cependant, le 10 juillet 2023, un accord a été trouvé entre la Commission et les États-Unis. Il s’agit du Data Privacy Framework. Cette nouvelle décision d’adéquation fait des États-Unis un tiers de confiance. Cela signifie qu’aux yeux de la Commission, les États-Unis ont une législation équivalente à celle du RGPD en matière de protection des données personnelles.
Pour autant, certains juristes européens, dont Max Schrems (qui espère voir un jour cette décision invalidée par la CJUE) trouvent que cette décision est loin d’être satisfaisante. Le Cloud Act étant toujours en vigueur ainsi que la section 702 du Foreign Intelligence Act prolongée jusqu’en avril 2024, les services de renseignement américains restent en mesure d’enjoindre à Microsoft de leur fournir les données du projet EMC2. D’un côté, une telle injonction constituerait un grave manquement au devoir de confidentialité qui incombe à Microsoft au regard du RGPD. De l’autre, Microsoft se verrait dans l’obligation de divulguer les données personnelles du projet EMC2 si les services de renseignement l’ordonnaient au sens de la législation américaine. Le fait que les centres de données soient situés en France ne remet pas en cause cette éventualité.
Une autorisation de la CNIL « non pas sans regrets »
La CNIL a émis des réserves dans sa délibération quant au choix de l’opérateur cloud qui héberge les données de santé du projet. Le choix de Microsoft Azure apparaît en nette contradiction avec la politique française sur la protection des données personnelles stratégiques telles que les données de santé. Une circulaire de la Première ministre du 31 mai 2023 évoquait l’importance d’une politique « cloud au centre » s’agissant des données de santé. En d’autres termes, la circulaire évoquait l’importance pour les pouvoirs publics, d’avoir recours à des cloud souverains certifiés SecNum Cloud afin d’éviter de perdre la main sur des données particulièrement sensibles. À ce titre, la CNIL a demandé qu’une expertise soit faite sur la possibilité d’avoir recours à des opérateurs français voire européens afin de garantir la souveraineté des données de santé européennes. Le rapport souligne qu’aucun prestataire souverain n’est en mesure de mener à bien le projet pour satisfaire aux exigences de la CNIL et à celles de la convention de prestation conclue avec l’Agence européenne du médicament. En conséquence, la CNIL autorise, à regret, l’hébergement des données chez Microsoft pour une durée de 3 ans, le temps de la migration vers un cloud souverain.
Le 18 mars 2024, plusieurs associations et entreprises françaises ont saisi le Conseil d’État pour contester le choix de Microsoft comme hébergeur des données de santé du projet EMC2. Ce recours en justice vise à obtenir l’annulation de l’attribution du marché à Microsoft. Il vise également à garantir que les données de santé des citoyens français soient hébergées par une solution souveraine et respectueuse des réglementations nationales et européennes en matière de protection des données.
Antoine CANDAU
M2 Cyberjustice – Promotion 2023/2024
Sources :
https://www.legifrance.gouv.fr/cnil/id/CNILTEXT000049057224