La CNIL autorise l’hébergement de données de santé sur EMC2, l’entrepôt de données développé par Microsoft
M2 PIDAN- Propriété intellectuelle et Droit des affaires numériques
sous la direction de Madame Mélanie Clément-Fontaine et Madame Valérie-Laure Benabou
Cet article est écrit dans un cadre associatif, en dehors de tout encadrement académique.
Suite à une saisie du Groupement d’Intérêt Public Plateforme des Données de Santé (GIP PDS), la CNIL autorise officiellement le 31 janvier 2024 au géant américain Microsoft de désormais stocker les données de santé issues de l’Assurance Maladie. La délibération 2023-146 du 21 décembre 2023 du régulateur détaille la décision qui suscite beaucoup de contestations et d’inquiétudes. Plusieurs enjeux sont en question, notamment la potentielle transmission de données vers des pays non membres de l’Union Européenne (II). Mais il convient d’abord de rappeler les motivations de la CNIL, essentiellement liées a la nature des données (I).
I. Le régime spécial des données de santé et des données issues de la recherche : le caractère d’intérêt public
Les données de santé présentent un caractère particulier. En effet, elles sont définies comme étant relatives à la santé physique ou mentale, passée, présente ou future, d’une personne physique (y compris la prestation de services de soins de santé) qui révèlent des informations sur l’état de santé de cette personne (1) . La notion de donnée de santé est lato sensu. Concrètement, cela signifie que toute donnée relevant de l’état sanitaire d’une personne est une donnée de santé. De plus, le caractère sensible de ces données fait qu’elles bénéficient du régime de traitement de « données à caractère particulier » consacré à l’article 9 du RGPD. Par conséquent, le traitement de ces données est fortement observé. Ledit article consacre un principe clair : le traitement des données sensibles est interdit.
Cependant, l’article 9.2 effectue une liste exhaustive des exceptions qui permettraient le traitement des données sensibles. Dans ce cas, le traitement serait autorisé lorsqu’il « est nécessaire pour des motifs d'intérêt public dans le domaine de la santé publique, tels que la protection contre les menaces transfrontalières graves pesant sur la santé, ou aux fins de garantir des normes élevées de qualité et de sécurité des soins de santé et des médicaments ou des dispositifs médicaux, sur la base du droit de l'Union ou du droit de l'État membre qui prévoit des mesures appropriées et spécifiques pour la sauvegarde des droits et libertés de la personne concernée, notamment le secret professionnel » (article 9 2)i). Ainsi, dans le cas de l’EMC2, le traitement est autorisé parce qu’il répond à des finalités d’ordre public, à savoir l’élaboration d’une recherche visant à mesurer l’efficacité de certains médicaments et traitements remboursés par l’Assurance, la prévention de certaines pathologies et l’observation de la prise en charge des patients. De plus, la CNIL mentionne expressément le «secret d’affaires » évoqué à l’article 9 dans sa délibération afin de préciser les acteurs qui auront accès à la liste des données sensibles qui seront traitées, rappelant qu’elles « sont soumises au secret professionnel dans les conditions définies par les articles 226-13 et 226-14 du code pénal ». De ce fait, l’accès illicite à ces données constitue une infraction pénale.
La minimisation et pseudonymisation des données relevées :
La CNIL mentionne la minimisation et pseudonymisation des données dans sa délibération de décembre.
Le principe de minimisation des données est consacre a l’article 5-1-c) du RGPD. Selon ce principe, les données à caractère personnel relevées doivent être adéquates, pertinentes et limitées à ce qui est nécessaire au regard des finalités pour lesquelles elles sont traitées. La CNIL considère qu’en l’espèce, le traitement des données est proportionnel aux données relevées.
Il est important de noter que la CNIL consacre une certaine importance à la pseudonymisation des données et détaille cette démarche dans la délibération. La pseudonymisation est un traitement de données à caractère personnel effectué de manière à ce qu'on ne puisse pas attribuer les données à une personne physique sans avoir recours à des informations supplémentaires. Il s’agit d’une démarche importance parce qu’elle permet de réduire le risque d’assimilation de l’individu à ses données et, partant, l’atteinte à la vie privée de ce dernier. Cependant, il convient de souligner que cette mesure est assez technique et suppose une intervention active d’une équipe d’ingénieurs, ce qui peut être couteux. Il n’est donc pas certain que tous les hôpitaux puissent se doter d’une pareille mesure.
La minimisation et pseudonymisation sont deux pierres angulaires de la protection des données ou, plutôt, la réduction du risque d’attaques par assimilation. Bien que ces mécanismes soient efficaces, un autre risque, plus important, pèse sur les données hébergées sur l’EMC2.
II. La potentielle transmission de données vers des pays non membres de l’Union Européenne
Cette transmission de données soulève divers enjeux, surtout au niveau de la loi applicable. Or, afin de désigner la loi applicable, des critères sont mis en place.
Cependant, il faut être vigilant : l’adoption d’un certain critère aura une incidence sur le régime juridique appliqué à la donnée.
Recommandé par LinkedIn
La nationalité ou la résidence de l’hébergeur : quel critère choisir ?
Le RGPD est un règlement européen. A priori, sa portée est restreinte aux pays de l’UE. Bien que le règlement prévoie des dispositions spécifiques pour le transfert de données vers des Etats tiers, si l’applicabilité du RGPD fait défaut, ces dispositions ne pourront pas s’appliquer.
En droit international , il existe des mécanismes afin de déterminer la loi applicable.
Il s’agit principalement du critère de résidence et de celui de la nationalité. En vertu du premier, une personne physique ou morale établie dans un Etat se voit appliquer la loi de ce dernier du fait de sa résidence. Ainsi, le droit français et européen devrait s’appliquer a Microsoft puisqu’il existe une filiale de la compagnie en France. Selon le second critère, la loi de l’Etat de la personne devrait s’appliquer à celle-ci, où qu’elle soit. Ainsi, Microsoft étant une compagnie états-unienne, la loi des Etats Unis, notamment le Cloud Act, devrait s’appliquer. Nous voyons donc un évident conflit de loi.
La tension entre le Cloud Act et le RGPD
L’importance de ce conflit est renforcée du fait de la tension qu’il existe entre le RGPD et le Cloud Act. En effet, en vertu de ce dernier, les autorités américaines munies d’un mandat peuvent demander à ce que les données hébergées par une compagnie lui soient révélées si elle estime que ces données présentent un intérêt. Or, cette accessibilité des données prônée par le Cloud Act entre en conflit direct avec le RGPD. Alors que le texte américain prône l’ouverture des données pour des fins d’enquête et de lutte contre le crime organisé, le texte européen est plus soucieux de l’intérêt de chaque individu et tend à le conserver en y limitant l’accès. Mais encore, le conflit est plus prononcé, puisque la transmission des données peut avoir lieu sans la connaissance de l’usager européen. En effet, les autorités américaines demandent généralement l’accès aux données lorsqu’elles sont liées à des organisations criminelles (trafic de stupéfiants, terrorisme). De plus, le Cloud Act a été mis en place par l’administration Trump suite à un litige survenu entre les autorités américaines et Microsoft, qui refusait de transmettre des données, avançant que ce serait une violation du RGPD.
Cette possible transmission des données est inquiétante, mais il existe des gardes fous qui permettraient de réduire son impact. Tout d’abord, les autorités américaines qui saisissent les entreprises doivent être équipées d’un mandat ; toute demande fait sans mandat est impossible. Mais encore, le temps d’obtention d’un mandat pourrait jouer a l’avantage des entreprises, qui pourraient renforcer leurs mécanismes de pseudonymisation des données.
Ensuite, il existe des voies de recours contre la demande des autorités. En effet, si la demande d’accès est considérée infondée ou si elle entre en conflit avec les lois del’Etat ou l’entreprise est installée (dans notre cas le RGPD), celle-ci peut saisir, sous 14 jours, l’autorité judiciaire compétente pour contester la demande des autorités américaines. De ce fait, le recours serait exercé devant la CNIL. De plus, sur le premier trimestre de 2019, une seule transmission de données extraterritoriales a été effectuée par Microsoft, pour 126 demandes de transmission.
La CNIL reste donc responsable des données des utilisateurs de l’Assurance Maladie. En cas de recours par Microsoft, ce qui devrait arriver, la CNIL devrait ainsi maintenir son intransigeance et veiller a appliquer les normes législatives européennes.
Selon Emmanuelle Mignon, « ce n ’est pas le Cloud Act qui est dangereux pour les entreprises européennes. C’est la manière dont l’Union européenne va réagir et les risques induits par les lenteurs de son processus de décision, quand ce n’est pas sa paralysie. »
Sources :
IP Legal Assistant PES Trainee - Third Board of Appeal of EUIPO
10 moisBeau travail Christina Yammine ❤️
Étudiante IEJ UVSQ
10 moisBravo Christina Yammine pour ce super article !!