Cloud act américain : des impacts sur l’hébergement des données de santé ?

Le 23 mars 2018, le Clarifying lawful overseas use of data act (Cloud act, c’est-à-dire loi clarifiant l’utilisation légale des données à l’étranger) a été ratifié par le gouvernement américain. Ce texte “vise donc à contraindre les sociétés américaines à divulguer des informations sur leurs utilisateurs mêmes lorsque les données ne sont pas stockées sur le territoire américain”, indique Corinne Thiérache, avocat au Barreau de Paris, associée au cabinet Alerion. Elle précise : “conformément à la section « préservation of records ; comity analysis of legal process », les fournisseurs de services de communication électronique ou de services informatiques à distance (dont font partie Facebook, Google, etc.) peuvent être contraints à la divulgation de données concernant leurs utilisateurs sur demande d’une autorité gouvernementale américaine. Cette section précise également que cette divulgation porte sur les informations localisées aux Etats-Unis mais également à l’étranger”. Elle pointe néanmoins une nuance : “La réglementation américaine ne s’applique pas à toutes les entités juridiques d’une société”. Ainsi, les données hébergées par une filiale française ne devraient pas être concernées.

De plus, la loi américaine stipule deux conditions cumulatives permettant à l’entreprise de refuser la communication des données : l’utilisateur ou abonné n’est pas américain et ne réside pas aux Etats-Unis, et la divulgation par le prestataire peut causer un risque matériel par violation d’une loi étrangère. Et, cette procédure est limitée par la loi, détaille Corinne Thiérache.

Les données de santé concernées

Si cette loi vise tous les types de données, celles de santé sont également concernées. Corinne Thiérache souligne : “Le risque existe également car les fournisseurs de services de communication électronique ou de services informatiques à distance comme Facebook, Snapchat, Google etc. possèdent évidemment des données sensibles sur leurs utilisateurs. En effet, les utilisateurs étant libres de poster des informations les concernant, une requête auprès d’un de ses acteurs peut évidemment contenir de telles données et serait contraire à la loi française et au RGPD”.

La question se pose également pour l’hébergement de données de santé. En France, les entreprises exerçant cette activité sont soumises à des obligations particulières. Auparavant, agréés, les hébergeurs de données de santé doivent maintenant répondre à la certification. “Le décret 2018-137 du 26 février 2018 définit la procédure de certification et organise la transition entre l’agrément et la certification”, précise l’Asip Santé. Actuellement 120 hébergeurs de données de santé ont obtenu l’agrément, selon l’agence. Corinne Thierache explique : “Dans un tel contexte, il nous apparaît évident qu’en cas de demande de communication par une autorité américaine, celle-ci sera refusée en l’attente de décision d’un tribunal conformément au Cloud act, compte tenu de l’impact sensible d’une telle communication. Là encore, cette législation américaine a pour conséquence que devront être privilégiés des acteurs économiques non américains (de préférence français ou européen de manière générale)”.