Juin 1949 : les librairies de Londres découvrent la formule, promise à la célébrité, du fameux roman de George Orwell. 1984 est-il réellement derrière nous ? La publication, au Journal officiel du 30 juin, du décret relatif au système national des données de santé et de l’avis de la CNIL rendu à son sujet est l’occasion de faire le point sur une question d’une actualité brûlante : celle de l’hébergement des données de santé.
Le meilleur dramaturge n’aurait pas fait mieux : le drame s’écrit en cinq actes et son dénouement qui tarde à venir tient le spectateur en haleine jusqu’à ce que le rideau tombe.
Reprenons donc.
Acte I: 16 juillet 2020
Coup de tonnerre dans le ciel électronique. Par un arrêt rendu dans une formation solennelle, la « grande chambre », composée de 13 juges issus d’autant d’Etats membres différents, de la CJUE juge, en réponse à des questions qui lui ont été posées par la Haute Cour d’Irlande :
- Que, s’agissant tout d’abord de sa portée territoriale, le règlement européen sur la protection des données (RGPD) s’applique aux données à caractère personnel transmises à des fins commerciales par une personne domiciliée sur le territoire de l’Union à une personne située dans un pays tiers, même si les données ainsi transmises sont destinées à être retraitées par les autorités administratives de l’Etat tiers en cause ;
- Qu’en conséquence, une telle transmission n’est possible que pour autant que le retraitement des données à réaliser dans le pays tiers soit entouré d’un niveau de protection équivalent à celui garanti par le RGPD sur le territoire de l’Union ;
- Qu’à défaut, le transfert de données doit être suspendu par l’autorité administrative chargée de la protection des données dans l’Etat membre d’où ces données doivent être transférées ;
- Que la décision de la Commission du 12 juillet 2016 relative au « bouclier de protection » conclu dans le cadre des transferts de données entre l’Union et les Etats-Unis ne satisfait pas à ce standard de protection et, par conséquent, est invalide. Cette décision de la CJUE, dite Schrems II, du nom de l’un des défendeurs (l’autre étant Facebook), sonne donc le coup d’arrêt du cadre légal de transmission des données négocié avec les Etats-Unis connu sous le nom de « Privacy shield ».
Acte II: 13 octobre 2020
Quelques semaines plus tard, le Conseil d’Etat, saisi en référé par un ensemble d’associations qui s’inquiètent du traitement par Microsoft des données recueillies dans le cadre de la pandémie de Covid 19, enjoint au groupement d’intérêt public (GIP) Plateforme des données de santé (Health Data Hub) qui a vocation à rassembler les données de santé de modifier le contrat qui le lie à Microsoft Irlande pour prévoir que la loi applicable au contrat est la loi européenne ou la loi de l’Etat membre de traitement. Le Conseil d’Etat relève que le contrat conclu entre la Plateforme et Microsoft Irlande, aux termes duquel le traitement des données est effectué aux Pays-Bas, exclut tout transfert de données vers les Etats-Unis mais relève également que certaines précautions sont à prendre, notamment quant à la détermination du droit applicable. Le Conseil d’Etat n’écarte pas totalement que Microsoft Irlande ait à faire face à une demande de transfert par les autorités américaines, mais il estime que l’illégalité en cause n’est pas suffisamment manifeste pour justifier, en référé une suspension du traitement par le seul motif que celui-ci est effectué par la filiale d’une société américaine. Enfin, le juge des référés demande à la Plateforme de poursuivre les pourparlers avec Microsoft pour assurer un niveau de protection satisfaisant et exclure tout risque de transfert vers les Etats-Unis.
Acte III: 29 octobre 2020
Alors que le délai imparti par le Conseil d’Etat à Microsoft et à la Plateforme pour modifier les termes de leur contrat n’est pas achevé, la CNIL rend son avis sur le projet de décret relatif au système national des données de santé. C’est cet avis, très sévère, dont la presse avait eu connaissance, qui vient d’être officiellement publié, en même temps que le décret qu’il concerne. On y apprend notamment que l’avant-projet de décret, tel qu’il avait été communiqué à la CNIL, ne répondait pas aux exigences posées par la CJUE puisque la CNIL, au titre de ses « observations liminaires » qui portent par ailleurs sur le manque de clarté et de lisibilité du texte, source d’insécurité juridique et de pratiques élitistes qui réservent la compréhension du dispositif « aux seuls experts du domaine », demande « qu’il soit fait interdiction à l’ensemble de ces données de faire l’objet d’un transfert de données en dehors de l’Union européenne, quelles que soient les modalités d’hébergement. Elle prend acte de l’engagement du ministère de modifier le projet de décret sur ce point ».
Acte IV: 30 juin 2021
Le Gouvernement publie le décret n° 2021 848 du 29 juin 2021 relatif au traitement de données à caractère personnel dénommé « système national des données de santé ». Sur la question du transfert de données, le décret prévoit, dans la rédaction de l’article R 1461-1 du code de la santé publique résultant de l’article 1er du décret, « qu’aucun transfert de données à caractère personnel ne peut être réalisé en dehors de l’Union européenne, sauf dans le cas d’accès ponctuels aux données par des personnes situées en dehors de l’Union européenne, pour une finalité relevant du I de l’article L 1461-3 ». Cet article législatif renvoie lui-même à l’article L 1461-1 du code qui énumère de façon limitative les différentes finalités du système. On pourrait donc croire la hache de guerre entre Microsoft et l’Europe ou, en tout cas la France, enterrée. Et pourtant…
Acte V: Quelles prévisions?
Si les propos officiels se veulent rassurants, tels ceux de la « patronne » de la Plateforme qui, en février, déclarait que l’on pouvait être rassurés dès lors que les données étaient hébergées en région parisienne, on peut penser que le conflit entre la loi américaine et la loi européenne ne cessera qu’avec la désignation d’un opérateur européen en lieu et place d’une filiale européenne d’une entreprise d’origine américaine. Rappelons que l’un des principes de base du droit américain est celui de l’extra-territorialité, en vertu duquel la filiale française de Microsoft est soumise au droit américain exactement dans les mêmes conditions qu’une filiale californienne. Pour la loi américaine, que le traitement soit effectué par une filiale de Microsoft ou par le personnel de l’ambassade américaine à Paris est indifférent. Dès lors, on peut prévoir que les conflits ne manqueront pas, à commencer par ceux relatifs à l’interprétation de l’exception prévue par le code. Affaire à suivre donc !
