Corinne Thiérache (Cabinet Alerion) : “Il est recommandé de se montrer vigilant quant aux garanties proposées par les HDS américains”

À la suite de son ordonnance en référé du 13 octobre 2020 sur le Health Data Hub et Microsoft, le Conseil d’État explique qu'”une violation du règlement général sur la protection des données (RGPD) demeure (…) hypothétique, car elle supposerait que Microsoft ne soit pas en mesure de s’opposer à une éventuelle demande des autorités américaines”. Dans quels cas Microsoft pourrait-il s’y opposer ?

Le Cloud Act, à y regarder de plus près, contient des garde-fous. Ce texte américain concerne les enquêtes sur les activités criminelles majeures supposées incluant le terrorisme. Les fournisseurs présents aux États-Unis peuvent s’opposer à une demande de divulgation des données par les États-Unis dès lors que la personne dont les données font l’objet de la demande n’est pas américaine ou ne réside pas sur le territoire américain et que la transmission des données crée un risque significatif de contravention à une ou plusieurs lois étrangères locales. En 2014, avant même l’application du Cloud Act, Microsoft avait d’ailleurs initié un bras de fer avec les autorités américaines qui s’est prolongé devant la Cour suprême en 2017, en s’opposant à communiquer au département américain de la Justice des données hébergées sur des serveurs en Irlande : il avait déjà été invoqué les règles de protection des données personnelles en Europe, dont le futur RGPD. 

Un débat contradictoire peut également avoir lieu quant à l’application du texte (contour précis du “serious crime”), qui prendra en compte notamment la possibilité d’obtenir l’information par des moyens qui seraient moins dommageables ou attentatoires à la vie privée de la personne de façon disproportionnée par rapport à l’objectif poursuivi. Bien que le texte soit complexe, le Cloud Act n’instaure pas une divulgation automatique des données personnelles. Il aménage des conditions strictes et prévoit des moyens de s’y opposer. Je rappelle en outre qu’à l’époque de l’affaire opposant Microsoft aux autorités américaines, le Privacy Shield n’avait pas encore été invalidé (en juillet 2020, ndlr). Aujourd’hui, nous restons toujours dans l’attente de la signature d’un “executive agreement” entre les États-Unis et l’Union européenne ou la France, comme l’y invite le Cloud Act pour organiser l’éventuelle communication des données personnelles entre ces pays sur une base de réciprocité.

Enfin, il faut souligner qu’il existe d’autres bases légales américaines que le Cloud Act pour exiger des sociétés américaines de transférer certaines données à caractère personnel, comme le FISA (Foreign Intelligence Surveillance Act, adopté en 1978 et amendé en 2008, ndlr) et l’Executive Order 12333 (signé en 1981, ndlr). 

Y a-t-il eu d’autres affaires de ce type opposant des fournisseurs américains à leurs autorités ?

Pas à ma connaissance mais il est trop tôt pour avoir un retour sur des décisions américaines à propos d’un texte récent (le Cloud Act date de 2018, ndlr). Les sociétés américaines savent que la question est très importante pour elles compte tenu de la part de leur chiffre d’affaires réalisée en Europe : elles doivent montrer à leurs clients européens qu’elles les protègent, voire les défendent face à l’administration américaine. La protection des données constitue aujourd’hui un enjeu, en termes d’image et de communication, en sus de l’impact économique au vu des sanctions susceptibles d’être prononcées en cas de manquement.

Lorsque le Privacy Shield a remplacé le Safe Harbor, alors invalidé lui aussi par la Cour de justice de l’Union européenne (CJUE) le 6 octobre 2015, la Commission nationale de l’informatique et des libertés (CNIL) avertissait déjà de ses faiblesses. L’invalidation du Privacy Shield par la suite n’était donc pas une grande surprise. La CJUE a voulu créer un électrochoc et contraindre les parties prenantes à ouvrir de nouvelles discussions. Dans les faits, les sociétés européennes n’étaient pas en situtation, du jour au lendemain, de ne plus avoir de recours à des prestataires américains et c’est ce que dit le Conseil d’État dans sa décision rendue en référé : certes, il existe un risque de transfert de données mais que fait-on en période de pandémie ? C’est une question de gestion des priorités. 

En effet, aucune interdiction n’est prononcée en l’état par le Conseil d’État vis-à-vis du Health Data Hub mais des “précautions” sont à prendre. De son côté, la CNIL a évoqué, à la suite de l’invalidation du Privacy Shield, la mise en place possible de “mesures complémentaires” pour les acteurs ayant contracté avec des sociétés américaines. 

Le recours à la cryptographie pourrait constituer une solution parmi d’autres. Beaucoup d’acteurs économiques qui ont toujours des contrats avec Google, etc., ont décidé – du moins ceux qui le peuvent et qui en ont les moyens, parce que cela nécessite beaucoup de temps et d’argent – de crypter au maximum les données personnelles en leur possession. 

Il s’agirait ainsi de chiffrer les données de santé – car pseudonymisation ne veut pas dire anonymisation – et de conserver la clé de chiffrement en Europe. Cependant, cette solution n’est pas une solution miracle dans la mesure où l’on peut aisément imaginer que les autorités américaines auront toujours toutes les capacités technologiques pour accéder en réalité à ces données.

Les autorités savaient à l’époque que le Privacy Shield n’allait pas tenir longtemps et auraient pu s’y préparer en conséquence.

Corinne Thiérache
avocat au Barreau de Paris et associée du cabinet Alerion

Le Conseil d’État évoque, comme “solution pérenne qui permettra d’éliminer tout risque”, le “choix potentiel d’un nouveau sous-traitant” ou le “recours à un accord de licence”.

Cela signifie signer un partenariat avec un acteur européen. Si le Health Data Hub a considéré de facto qu’il n’existait pas de champion européen dans ce domaine, les autorités savaient à l’époque que le Privacy Shield n’allait pas tenir longtemps et auraient pu s’y préparer en conséquence. Cette question fait écho au sujet de la souveraineté numérique.

Il serait aussi possible de traiter avec une filiale autonome, disposant de ses propres règles organisationnelles. Par ailleurs, la conclusion d’un accord de licence autorisant le traitement de données par un tiers permettrait d’éviter que la société-mère puisse interagir. Ce tiers serait un sous-traitant ou un responsable conjoint de traitement. Cela peut suffire si le contrat de licence est précis en organisant les obligations et responsabilités de chacune des parties. Il permet aussi de mieux garantir l’absence de lien capitalistique et l’absence d’ingérence au niveau du management, donnant une autonomie plus grande qu’une filiale par rapport à sa société-mère américaine. 

Manifestement, un risque de transfert des données existe aussi si un acteur européen mène des activités sur le sol étatsunien ?

Selon le Cloud Act, si une entreprise non américaine offre depuis l’étranger des services électroniques ciblés vers le marché américain, les autorités pourraient la considérer comme étant “aux États-Unis”. Mais c’est la même chose avec le RGPD, selon lequel même les sociétés américaines qui n’ont aucune présence physique en Europe sont assujetties au RGPD dès lors qu’elles collectent des données de là où elles sont concernant des ressortissants européens. De plus en plus de textes de part et d’autre produisent ces effets extraterritoriaux.

Pour éviter tout risque, faudrait-il alors se replier sur des données européennes ? Et, dans le choix d’un hébergeur de données de santé, se tourner uniquement vers un hébergeur européen sans activité extraterritoriale ? 

Cela fait quelque temps, notamment pour les professions réglementées, qu’il est recommandé de trouver des solutions technologiques auprès d’acteurs économiques européens plutôt qu’auprès de sociétés américaines. À défaut, il est recommandé de se montrer très vigilant quant aux garanties proposées par les hébergeurs de données de santé américains, d’autant qu’il ne leur est pas interdit d’exercer une activité commerciale en Europe comme il n’est pas interdit de faire héberger les données par les filiales irlandaises d’une société-mère américaine. Il s’agit alors de vérifier contractuellement et de manière organisationnelle qu’il n’existe pas de conflit d’intérêts, s’assurer que la technologie repose sur de la cryptographie, que l’hébergeur a une filiale en Europe et que cette dernière a un contrat de licence avec un partenaire européen. 

Il revient aussi aux acteurs américains de donner des gages pour montrer qu’il est toujours possible de leur faire confiance. À eux de faire du lobbying dans leur propre pays et de contraindre la future administration américaine à se saisir de cette question pour trouver un cadre juridique qui apportera de la sérénité à tout le monde. Une crise peut aussi devenir une opportunité et mettre en lumière des acteurs européens que l’on disait moins performants. Les GAFAM sont si omniprésents qu’ils ne laissent que peu de place à d’autres acteurs qui n’attendent qu’une occasion pour émerger.