Articles Team Labruyère Articles Team Labruyère

La protection des libertés fondamentales face au suivi de la pandémie COVID-19

La CNIL s’est prononcée sur un projet de décret autorisant la création d’un système d’information (SI) « VACCIN-COVID » où seraient traitées des données personnelles afin de gérer et suivre la campagne de vaccination contre la COVID-19.

La protection des libertés fondamentales face au suivi de la pandémie COVID-19 .gif

Voilà déjà quelques jours que la campagne de vaccination anti-COVID-19 a débuté. En France, comme dans de nombreux autres pays européens, le Gouvernement est vivement critiqué pour sa lenteur. On peut néanmoins noter de précieuses informations quant à la protection des données personnelles dans le cadre de cette campagne et à la garantie du respect des droits et libertés fondamentales des patients.

Revenons au 10 décembre 2020 lorsque la CNIL s’est prononcée sur un projet de décret autorisant la création d’un système d’information (SI) « VACCIN-COVID » où seraient traitées des données personnelles afin de gérer et suivre la campagne de vaccination contre la COVID-19.

La CNIL est ainsi venue encadrer ce traitement en adressant au Ministre de la santé des recommandations visant à assurer la conformité du traitement à la règlementation en vigueur.

Le décret autorisant la création d'un traitement de données à caractère personnel relatif aux vaccinations contre la COVID-19 est entré en vigueur le 26 décembre 2020.

Le 30 décembre 2020, la CNIL a pris acte des améliorations apportées au décret, à la suite de ses recommandations.

Il est important de noter que la vaccination contre la COVID-19 n’est pas obligatoire en France, à ce jour. En effet, les seuls vaccins obligatoires sont limitativement énumérés aux articles L3111-1 et suivants du Code de la santé publique.

Le fait que le VACCIN COVID ne soit pas obligatoire en l’absence de modifications législatives en ce sens, participe au respect du droit à l’intégrité de la personne, c’est-à-dire notamment le droit de donner son consentement libre et éclairé dans le cadre d’actes médicaux. Ce principe est garanti à tout citoyen, conformément à la Charte des droits fondamentaux (article 3).

Le Gouvernement est d’ailleurs venu mettre en avant l’importance de la traçabilité du recueil du consentement lors de la campagne de vaccination, dans son guide à destination du personnel de santé habilité à administrer le vaccin anti-COVID. :

« Il est indispensable d’assurer la traçabilité du recueil du consentement. L’ensemble de la procédure (consultation pré-vaccinale, consentement, vaccination, suivi) est inscrit dans le dossier médical du patient et retracé dans le système d’information de suivi de la vaccination (VACCIN-COVID). »

A titre d’exemple, en Espagne, la vaccination reste certes volontaire mais le Ministre de la Santé a indiqué que le Gouvernement allait tenir un registre des personnes refusant de se faire vacciner contre la COVID-19, fichier amené à être partagé avec d’autres pays européens.

1) Sur les finalités poursuivies (article 1 du décret)

Le SI « VACCIN-COVID » vise à :

- organiser la vaccination des personnes,

- organiser le suivi et l'approvisionnement en vaccins et consommables,

- organiser la production d'informations à destination des personnes vaccinées,

- organiser la mise à disposition de données relatives à la vaccination à des fins de calcul d'indicateurs et de recherche,

- organiser un suivi de pharmacovigilance ainsi que la prise en charge financière des actes liés à la vaccination.

Le projet de décret prévoyait également comme finalité de traitement, l’identification et l'orientation vers un parcours de soins adapté. Or, la CNIL a demandé au Gouvernement de préciser cette notion, ce qui fut chose faite. Le Gouvernement a ainsi indiqué qu’il s’agissait d’orienter les personnes souffrant d'effets indésirables dus à la vaccination.

La CNIL a alors constaté que les finalités du traitement étaient clairement déterminées, explicites et légitimes, et ce conformément à l’article 5 du RGPD

L’utilisation par les autorités publiques du SI « VACCIN-COVID », comme de l’application #TousAntiCovid, est donc strictement encadrée par la législation européenne. 

2) Sur les destinataires des données (article 3 du décret)

La CNIL rappelle que chaque responsable de traitement doit définir un profil fonctionnel de destinataire, strictement limité à sa mission, afin de garantir que seules les personnes habilitées et soumises au secret professionnel peuvent accéder aux données de « VACCIN-COVID ».

S’agissant du partage de ces données entre différents systèmes d’information détenus par des autorités publiques, la CNIL a indiqué que les responsables de traitement de chaque SI devaient être clairement indiqués :

« Le ministère devrait mentionner la liste des traitements et des systèmes d'information dans lesquels les données du SI « VACCIN-COVID » seront appelées à figurer, les catégories de données transmises pour chacun de ces traitements ou systèmes, ainsi que les organismes responsables de ces traitements. Dans l'hypothèse où il n'entendrait pas compléter le décret sur ce point, la Commission invite le ministère à diffuser ces informations, par exemple en les rendant publiques sur son site web. »


La CNIL précise que le Gouvernement ayant signalé souhaiter recourir à des sous-traitants, la même logique de transparence vis-à-vis des personnes concernées trouve à s’appliquer : la CNIL invite le Gouvernement à mentionner expressément le recours à des sous-traitants dans le décret ou sur son site web, ainsi que la liste des sous-traitants.

Cette volonté de la CNIL est dans la droite ligne de ce qui est imposée aussi aux personnes morales : le responsable de traitement doit conclure un contrat de protection des données avec ses sous-traitants. Ces derniers sont soumis aux obligations de l’article 28 du RGPD. Cette règle permet notamment au responsable de traitement de contrôler la conformité de ses sous-traitants en les auditant et d’ainsi garantir la bonne protection des données des personnes concernées quand les données sont confiées à un tiers.

Ainsi, l’encadrement des contrats avec les prestataires par le RGPD participe au respect de la vie privée et de la protection des données personnelles, et ce conformément à la Charte des droits fondamentaux (article 7 et 8) et à la Convention européenne de sauvegarde des droits de l’Homme dite CESDH (article 8).

3) Sur les données pseudonymisées (article 3 du décret)

Ces données pourront être transmises aux organismes suivants :

- pour suivre la couverture vaccinale et organiser la vaccination : à l’agence nationale de la santé publique et aux agences régionales de santé ;

- à des fins statistiques : à la direction de la recherche, des évaluations, des études et des statistiques ;

- dans le cadre de l’urgence sanitaire et pour améliorer les connaissances sur le virus : à la plateforme de données de santé – Health Data Hub et à la CNAM.

La CNIL relève que la liste des données pseudonymisées n’est pas détaillée dans le projet de décret.

Or, conformément au principe de minimisation énoncé à l’article 5 du RGPD, seules les données adéquates, pertinentes et limitées à ce qui est nécessaire (au regard des finalités) peuvent être transmises à des destinataires.

La CNIL invite donc le Gouvernement à préciser la liste des données pouvant être transmises.

Au vu des enjeux pour les droits et libertés fondamentales des personnes concernées par la pseudonymisation de leurs données, le Gouvernement s’est engagé à transmettre à la CNIL une analyse d’impact relative à la pseudonymisation.

L’établissement clair et précis des catégories de destinataires de données, conformément aux exigences de l’article 13 du RGPD, garantissent l’information éclairée des personnes concernées et l’absence d’ingérence d’autorités non habilitées de prime abord.

Et ce, contrairement à ce que l’on note actuellement à Singapour où les autorités policières peuvent désormais accéder aux données collectées par l’application « Trace Together » dans le cadre d’enquête criminelles. Pourtant, l’application avait été développée prima facie uniquement pour lutter contre la pandémie COVID-19. Nous reviendrons sur ce point en fin d’article.

4) Sur le transfert de données hors de l’Union

Aucune donnée ne sera transmise hors de l’Union européenne, garantissant ainsi la pleine protection des données, accordée par la législation européenne, sans risque d’ingérence par des autorités étrangères.

Il est néanmoins souhaitable de connaître l’hébergeur du SI « VACCCIN-COVID », afin de ne pas être face à une filiale d’une entreprise américaine, comme ce fut le cas pour la Plateforme de données de santé (hébergée par Microsoft).

5) Sur les droits garantis (article 5 du décret)

Les personnes concernées disposeront d’un droit d’accès, de limitation et de rectification, conformément aux exigences du RGPD.

Un droit d’opposition et un droit à l’effacement pourront également être exercés dans l’hypothèse où la vaccination n’a pas encore eu lieu. Ces droits ne pourront plus être exercés après le consentement à l’acte vaccinal car cela vise à garantir l’objectif d’intérêt public qu’est la pharmacovigilance.

Néanmoins, une personne concernée pourra tout de même exercer son droit d’opposition dans le cadre des données pseudonymisées transmises à la Plateforme de données de santé ou à la CNAM, même après avoir consenti à l’acte vaccinal, car ces traitements répondent à la gestion de l’urgence sanitaire (finalité vouée à disparaître à la fin de la période légale d’état d’urgence sanitaire) ainsi qu’à des besoins de recherches.

La CNIL insiste sur la nécessité d’informer clairement les personnes de leurs droits. Ce droit à l’information est un droit fondamental garanti non seulement par le RGPD mais également par la Charte des droits fondamentaux (article 11).

6) Des durées limitées (avis de la CNIL)

Là encore, le RGPD vient encadrer l’utilisation des données de santé par les autorités publiques. En effet, conformément au §39 du RGPD, le responsable de traitement doit définir des durées de conservation, limitées au strict minimum. Autrement dit, on ne peut pas conserver indéfiniment des données personnelles.

Ainsi, les données seront conservées pendant une durée de 10 ans à compter de leur collecte, sauf en cas de détection de risques nouveaux. Dans ce deuxième cas, les données seront conservées pendant une durée de 30 ans.

Ces durées sont justifiées par l’objectif de santé publique poursuivie par la collecte.

7) Sur l’information des personnes concernées (article 4 du décret)

Après avoir été invité par la CNIL a précisé la manière dont il entendait informer les personnes concernées, le Gouvernement a indiqué que les personnes répondant aux critères d’éligibilité au VACCIN-COVID, recevront un bon de vaccination comportant une mention d’information conforme aux exigences du RGPD. Chaque professionnel de santé recevra également une note d’information individuelle à ce sujet.

Là encore, le droit fondamental d’information est garanti.

Parallèle avec la politique de Singapour

De l’autre coté de la planète, à Singapour, l’application « Trace Together » (l’équivalent de notre « Tous anti Covid ») fait parler d’elle. En effet, si notre SI « VACCIN-COVID » ou notre application « Tous anti Covid » ne sont utilisés qu’à des fins de pharmacovigilance et/ou de gestion de l’urgence sanitaire, à Singapour la police peut désormais détourner les données collectées par l’application « Trace Together » afin de les utiliser dans le cadre d’enquêtes criminelles.

L’impact de ce détournement est colossal : aujourd’hui, 78 % de la population singapourienne a téléchargé l’application « Trace Together ».

Le succès du téléchargement de cette application est en partie due au fait que le Gouvernement singapourien avait indiqué que ce téléchargement serait probablement obligatoire pour quiconque souhaiterait se rendre dans un lieu public à compter de début 2021.

Singapour peut désormais mettre en place une surveillance de masse de sa population, via une application qui était de prime abord destinée à lutter contre la pandémie de Covid-19.

Si en France et en Union européenne, nous pouvons nous réjouir du nombre de garde fous législatifs et réglementaires qui protègent notre droit à l’information, nos données personnelles et plus généralement, notre vie privée. Il nous faut néanmoins rester attentifs puisque le Gouvernement a déposé le 21 décembre 2020 un projet de loi instituant un régime pérenne de gestion des urgences sanitaires.

Dans ce projet, le Gouvernement prévoit notamment la possibilité « de conditionner l’accès à certains lieux et l’exercice de certaines activités à la réalisation d’un dépistage ou à la prise d’un traitement préventif ou curatif d’un dépistage ou (de) la prise d’un traitement préventif ou curatif ». Si cette disposition venait à entrée en vigueur, la liberté fondamentale de circulation (article 2 de la CESDH), la liberté de réunion (article 11 CESDH) et le droit à l’intégrité de la personne (article 3 Charte des droits fondamentaux) pourraient s’en trouver amoindris.

En tout état de cause, les députés seront consultés, le Conseil constitutionnel sera consulté et ainsi, si ce projet venait à voir le jour, nous pourrions compter sur nos institutions pour venir encadrer et recadrer ces dispositions. Affaire à suivre !

Mise à jour du 22 janvier 2021 :

Pour rappel, dans la lutte contre la COVID-19, le Gouvernement a déployé 4 outils de traitement : les fichiers SI-DEP et Contact COVID, l’application TousAntiCovid et le SI VACCIN-COVID.

Le 21 janvier 2021, la CNIL a rendu un deuxième avis sur les conditions de mise en oeuvre de ces 4 traitements. Elle note notamment :

  • Contact COVID :

    • Traitement par la CNAM : des mauvaises pratiques résiduelles subsistent concernant les conditions d’authentification et la traçabilité des données. De plus, les données ne sont pas hébergées chez un tiers habilité à cette fin. Or les données de santé doivent obligatoirement être hébergées chez un tiers certifié.

    • Traitement par les ARS : la CNIL a invité une ARS à se conformer dans un délai d’un mois concernant les mesures de sécurité et durées de conservation. Des courriers de sensibilisation vont être adressés aux ARS sur le sujet.

  • TOUSANTICOVID : la CNIL constate la conformité de l’application en matière de protection des données mais urge le Gouvernement à développer des initiatives et des indicateurs permettant d’évaluer pleinement l’effectivité sanitaire du dispositif.

  • SI VACCIN-COVID : la CNIL procédera à des contrôles tout au long du mois de janvier 2021 et son prochain avis public fera état des résultats.

La CNIL a également alerté sur d’autres contrôles effectués dans la lutte contre la COVID-19 : les cahiers de rappel, présents dans certains établissements recevant du public. La CNIL a notamment constaté que certains établissements avaient utilisés ces cahiers de rappel à des fins de prospections commerciales, en violation du RGPD. La CNIL a donc issu un rappel à l’ordre à ces établissements.

La CNIL souhaite également rassurer les personnes concernées par les traitements liés à la pandémie en indiquant qu’elle procédera à des contrôles à l’issue de la mise en œuvre de tous ces traitements, pour s’assurer de la suppression effective des données.

Sources :

Décret n° 2020-1690 du 25 décembre 2020 autorisant la création d'un traitement de données à caractère personnel relatif aux vaccinations contre la covid-19

Guide de la vaccination pour les médecins, infirmiers et pharmaciens

Code de la santé publique, Chapitre Ier : vaccinations

RÈGLEMENT (UE) 2016/679 DU PARLEMENT EUROPÉEN ET DU CONSEIL du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE dit RGPD

CNIL, 30/12/2020 : la collecte de données dans le cadre de la vaccination contre la Covid-19 : quelles garanties pour les personnes ?

Channel New Asia, 04/01/2021 : Singapore Police Force can obtain TraceTogether data for criminal investigations: Desmond Tan

ZDNet, 04/01/2021, Singapore police can access COVID-19 contact tracing data for criminal investigations

Euronews, 29/12/2020 : Spain to keep registry of citizens who refuse to be vaccinated against coronavirus

Charte des droits fondamentaux

Convention européenne de sauvegarde des droits de l’Homme

CNIL, 21/01/2021 : publication du deuxième avis adressé au Parlement sur les conditions de mise en œuvre de SI-DEP, Contact Covid, Vaccin COVID et TousAntiCovid

Lire la suite
Articles Team Labruyère Articles Team Labruyère

Amazon lance Shopper Panel : un programme qui achète les données des consommateurs

La commercialisation des données est un débat sans fin qu’Amazon n’a pas peur de relancer ! En effet, le géant américain vient de lancer un nouveau programme baptisé Shopper Panel qui récompense les consommateurs acceptant de partager leurs données d’achats.

giphy.gif

La commercialisation des données est un débat sans fin qu’Amazon n’a pas peur de relancer ! En effet, le géant américain vient de lancer un nouveau programme baptisé Shopper Panel qui récompense les consommateurs acceptant de partager leurs données d’achats.

Mais de quoi parle-t-on exactement ?

Amazon a décidé de solliciter les consommateurs en suivant leurs habitudes d’achats, en dehors de sa plateforme www.amazon.com, via l’application Amazon Shopper Panel. Amazon justifie cette démarche par la volonté d’améliorer ses services et de proposer des publicités plus ciblées.

L’entreprise de Jeff Bezos souhaite ainsi identifier quels sont les produits et services que le consommateur préfère acheter en dehors de sa plateforme.

Comment ça marche ?

Pour le moment cette application n’est disponible que pour les consommateurs américains, sur invitation.

Le consommateur doit envoyer 10 factures par mois pour tout achat effectué chez des commerçants autre qu’Amazon (la liste peut être très variée : épiceries, grands magasins, pharmacie, cinémas, restaurants).

Amazon indique que la collecte repose sur l’opt-in : le consommateur ne communique que les données qu’il a décidé de communiquer et peut à tout moment supprimer les reçus.

Quelles données ?

Les données pouvant figurer sur une facture sont notamment les nom, prénom, coordonnées de contact (email, téléphone, adresse postale). En outre, sur les factures de pharmacie, les médicaments achetés peuvent indiqur des informations sur l’état de santé de l’acheteur et sont donc considérées comme des données sensibles. Enfin, Shopper Panel étant une application, Amazon collecte notamment les données de connexions, le type de téléphone que le consommateur utilise ou encore le type de système d’exploitation utilisé.

Amazon indique néanmoins qu’elle supprimera les informations qu’elle considère comme sensibles, en précisant que tel est le cas pour les factures de pharmacie. Encore faut-il que cette suppression soit effective.

Le débat sur la commercialisation de données sensibles reste ouvert.

Quel est le prix de ces données ?

L’utilisateur du programme Amazon Shopper Panel recevra 10 dollars par mois, sous forme de solde Amazon ou de don de bienfaisance (le programme contient une liste limitative de 12 organisations caritatives bénéficiaires). Amazon indique qu’en répondant en plus à des enquêtes, les consommateurs pourront également bénéficier de récompenses supplémentaires, sans indiquer lesquelles.

Sources :  

https://advertising.amazon.com/en-us/blog/consumers-shop-omnichannel/

https://techcrunch.com/2020/10/20/amazon-launches-a-program-to-pay-consumers-for-their-data-on-non-amazon-purchases/

https://panel.amazon.com/

Lire la suite
Articles Team Labruyère Articles Team Labruyère

« TousAntiCovid » : Nouvel essai pour l’application du Gouvernement

La version 2.0 de l’application « Stop Covid » vient d’être annoncée ce 22 octobre par le Gouvernement. L’application de traçage des cas contacts se fait une nouvelle santé afin de lutter contre la propagation du virus Covid-19.

TousAntiCovid.gif

La version 2.0 de l’application « Stop Covid » vient d’être annoncée ce 22 octobre par le Gouvernement. L’application de traçage des cas contacts se fait une nouvelle santé afin de lutter contre la propagation du virus Covid-19.

En effet alors que sa précédente version a fait un vrai flop (voir notre article ici), ne comptabilisant que 2,6 millions téléchargements depuis le mois de juin, « Tous AntiCovid » se dote de nouvelles fonctionnalités, pour une meilleure utilisation.

  • Rappel sur le fonctionnement de l’app

Comme son prédécesseur, « TousAntiCovid » est un dispositif d’alerte permettant de tracer les contacts de l’utilisateur, afin d’identifier les chaînes de contamination et donc de l’avertir lorsqu’il a été en contact avec des personnes ayant été testées positives au virus.  

L’application mobile qui est toujours basée uniquement sur le volontariat, utilise la technologie  Bluetooth et n’a donc pas recours à la géolocalisation. De ce fait, seuls les utilisateurs ayant téléchargé et activé l’application pourront s’échanger des informations.

Tout comme « Stop Covid », l’application est conçue à partir du protocole « Robert » qui suit la logique de minimisation des données et de protection dès la conception.

 

  • Les nouveautés de l’app  

« TousAntiCovid » se veut être un centre d’informations pour les français. L’’application dispose désormais d’actualités, qui sont mises à jour en fonction de l’évolution de la pandémie.

De plus, l’application met à disposition des utilisateurs, des liens vers des outils numériques, telles qu’une carte des lieux où il est possible de se faire tester ainsi que les attestations de déplacement dérogatoire. Cependant l’application ne dispose pas encore de QR Code à scanner à l’entrée des restaurants pour s’enregistrer ni permettant de prendre un rendez-vous afin de se faire tester directement. 

  • Ce qu’en pense la CNIL :

Dans son analyse la CNIL conclut que la nouvelle version de l’application mobile n’apporte pas de réelles modifications concernant le traitement des données personnelles.  Ainsi la CNIL ne devrait pas se saisir afin d’en faire un contrôle approfondi. Comme souligné dans son avis rendu en septembre dernier, l’application mobile de traçage est respectueuse des données personnelles et toutes les préconisations demandées par l’autorité de régulation ont été prises en compte.

Cependant la CNIL reste vigilante et met un point d’honneur à ce que le principe relatif à la vie privée des utilisateurs soit respecté par cette nouvelle version.  C’est pourquoi, en fonction des évolutions à venir de l’application et notamment concernant des modifications du traitement des données personnelles, la Commission envisage d’effectuer des contrôles.

 

Le plus grand défi reste sans surprise le même qu’avec « Stop Covid » : cette nouvelle application sera-t-elle assez convaincante pour que les français la téléchargent et surtout, l’utilisent ?

Cédric 0, Secrétaire d'État chargé du Numérique adresse en ce sens des mots d’encouragements aux français : « Nous avons besoin de vous, (...) téléchargez-la” expliquait-il, parce qu’elle “n’est utile que si nous sommes très nombreux à le faire”.

Retrouvez l’analyse complète de la CNIL juste ici : https://www.cnil.fr/fr/tousanticovid-la-cnil-revient-sur-levolution-de-lapplication-stopcovid

Lire la suite
Articles, Jurisprudence Team Labruyère Articles, Jurisprudence Team Labruyère

Données de santé nationales hébergées par l’américain Microsoft en Irlande : le Conseil d’Etat refuse de suspendre la plateforme Health Data Hub

Le 28 septembre 2020, plusieurs associations, syndicats et requérants individuels se sont insurgés contre le risque que cet hébergement par Microsoft pouvait représenter au regard du droit au respect de la vie privée et à la protection des données personnelles. Ils ont donc saisi le juge référé-liberté du Conseil d’Etat.

giphy (1).gif

Faits

Créé par arrêté le 29 novembre 2019, le Health Data Hub (ou Plateforme des données de santé) est un groupement d’intérêt public, rassemblant des données de santé issues de diverses sources[1]. Ces données de santé proviennent notamment de l’Assurance Maladie, l’Assistance Publique des Hôpitaux de Paris ou encore l’Institut national du cancer[2]. L’ambition de cette Plateforme est de centraliser les données de santé détenues par des entités françaises, dans une géante base de données commune, afin de faciliter la recherche.

Les projets de recherche menés sur cette Plateforme sont aujourd’hui encadrés par deux critères cumulatifs[3] 

1.        Ils doivent obtenir un avis favorable d’un Comité de Protection des Personnes (CPP) lorsque leurs recherches impliquent la personne humaine ; ou bien un avis favorable du Comité Ethique et Scientifique pour les Recherches, les Etudes et les Evaluations dans le domaine de la Santé (CESREES) lorsque leurs recherches n’impliquent pas la personne humaine ;

2.       Ils doivent être autorisés par la CNIL sauf s’ils peuvent faire l’objet d’une déclaration de conformité à une méthodologie de référence.

Le 15 avril 2020, en pleine crise sanitaire due à la COVID-19, la Plateforme a signé un contrat avec une filiale irlandaise de l’entreprise américaine Microsoft afin que cette dernière héberge lesdites données de santé et concède à la Plateforme les licences de logiciels nécessaires au traitement de ces données pour les finalités légalement autorisées.

Cette décision a été vivement critiquée.

Procédure

Le 28 septembre 2020, plusieurs associations, syndicats et requérants individuels se sont insurgés contre le risque que cet hébergement par Microsoft pouvait représenter au regard du droit au respect de la vie privée et à la protection des données personnelles. Ils ont donc saisi le juge référé-liberté du Conseil d’Etat[4].

Microsoft étant une entreprise américaine, les requérants considèrent qu’il existe un risque grave et manifeste de transferts de données de santé vers les Etats-Unis et qu’il faut donc suspendre immédiatement le transfert entre Microsoft et la Plateforme de données de santé. Les requérants attirent l’attention de la juridiction sur le risque potentiel d’accès aux données par les autorités américaines, à des fins de surveillance. Ils rappellent à cet égard la récente invalidation du mécanisme certificateur dénommé Privacy Shield par la Cour de justice de l’Union européenne (CJUE) qui encadrait jusqu’alors les transferts de données UE-Etats-Unis (retrouvez nos articles sur le sujet juste ici).

Réponse du Conseil d’Etat

Le Conseil d’Etat relève trois points principaux :

1) D’un point de vue technique d’abord : les données sont actuellement hébergées dans un centre de données aux Pays-Bas et pourraient prochainement être transférées dans un centre de données en France. D’un point de vue légal ensuite : la Plateforme de données de santé et Microsoft se sont contractuellement engagés à ne pas transférer de données hors de l’Union européenne. La Plateforme de données de santé s’est engagée sur ce point auprès de la CNIL également. De plus, un arrêté du 9 octobre 2020 interdit tout transfert de données de santé dans le cadre de ce contrat.

2) La CJUE n’a à ce jour pas jugé que le droit de l’Union interdisait le transfert de données, sur le territoire de l’Union, à des entreprises américaines. Un tel transfert ne viole donc pas la législation de l’Union en matière de protection des données.

3) Le Conseil d’Etat relève que les données de santé sont pseudonymisées avant leur hébergement et traitement par Microsoft et qu’il existe un intérêt public important de maintenir cette plateforme en l’état car elle dispose d’importants moyens techniques utiles à la lutte contre la pandémie de COVID-19.

Le Conseil d’Etat considère alors que l’hébergement du Health Data Hub par Microsoft ne présente pas une illégalité grave et manifeste nécessitant la suspension immédiate du transfert de données de santé entre ces deux entités.

Néanmoins, le Conseil d’Etat n’exclut pas l’existence d’un risque de transfert de données vers les Etats-Unis. Il enjoint donc au Health Data Hub de continuer à renforcer la protection des données de santé hébergées par Microsoft via la recherche de mesures techniques et organisationnelles appropriées.

Le Conseil d’Etat ordonne à la Plateforme de conclure un avenant à son contrat avec Microsoft dans un délai de 15 jours suivants la notification de sa décision. Cet avenant devra stipuler que seul le droit de l’Union ou le droit de l’Etat membre auquel est soumis la filiale Microsoft (l’Irlande en l’occurrence) est applicable à l’ensemble des services Microsoft souscrits par le Health Data Hub.

Le Conseil d’Etat a par ailleurs souligné que l’hébergement du Health Data Hub par Microsoft était potentiellement une solution temporaire, en attendant qu’un nouveau sous-traitant soit désigné par le Gouvernement.

Enfin, le Conseil d’Etat a rappelé le rôle de la CNIL dans le contrôle des finalités poursuivies par les projets en lien avec la Plateforme de données de santé.

La décision par ici.


[1] Arrêté du 29 novembre 2019 https://www.legifrance.gouv.fr/jorf/id/JORFTEXT000039433105/

[2] Site officiel de la Plateforme de données de santé https://www.health-data-hub.fr/

[3] CNIL, plateforme des données de santé : https://www.cnil.fr/fr/la-plateforme-des-donnees-de-sante-health-data-hub

[4] Conseil d’Etat, référé-liberté, 14 octobre 2020 https://www.conseil-etat.fr/actualites/actualites/health-data-hub-et-protection-de-donnees-personnelles-des-precautions-doivent-etre-prises-dans-l-attente-d-une-solution-perenne

Lire la suite