Résumé du mémoire de la CNIL destiné au conseil d’Etat concernant le Health Data Hub

La CNIL a produit un mémoire destiné au Conseil d’Etat

La CNIL a produit un mémoire destiné au Conseil d’Etat dans le cadre de la requête en référé déposée par le Conseil National du Logiciel Libre dont les point clés sont les suivants :
La CNIL souhaite que le Conseil d’Etat demande l’arrêt du traitement et de la centralisation des données de l’épidémie Covid 19 sur la plateforme Data Health Hub pour violation du droit à la vie privée.
Elle rappelle qu’avant l’invalidation du Privacy Shield, elle avait déjà émis des réserves sur l’hébergement de la plateforme par Microsoft et que les services de l’Etat. Elle rappelle que la plateforme était déjà en train de travailler à la réversibilité de l’hébergement. Ses propos actuels encouragent à poursuivre ce qui avait été initié.

Sur les conséquences de l’invalidation du Privacy Shield

• Désormais, la poursuite du transfert de données est conditionnée par la mise en place de mesures additionnelles protégeant de la surveillance des autorités de renseignement des USA. Or, dès lors qu’une entreprise est soumise aux demandes sur la base du FISA et de l’Executive Order 12333, ces mesures additionnelles sont très délicates à mettre en œuvre. La CNIL rappelle que Microsoft entre dans ce périmètre de surveillance.
• Quand les entreprises ne sont pas directement soumises au FISA et à l’Executive Order 12333, les données en transit sont généralement soumises aux programmes de surveillance malgré tout. La raison est que les canaux de transmission sont soumis à ces programmes. Pour ces données en transit, on pourrait considérer le chiffrement comme une mesure valable (il faut attendre le résultat des travaux du Comité Européen de la Protection des Données pour que cela soit confirmé).
• Au-delà du transfert volontaire de données par un opérateur Européen vers un opérateur US, il faut aussi examiner les transferts de données qui sont sur le sol Européen, par une entreprise américaine, sur la base d’une injonction administrative ou judiciaire de la part des services de renseignement étasuniens.

Concernant l’existence de transferts de données de santé de la plateforme vers les USA à l’initiative de la plateforme

Rappel de contexte
• Il y a bien des transferts possibles lorsque Microsoft réalise des opérations d’administration des SI.
• Les clés de chiffrement sont détenues par Microsoft.

La CNIL rappelle les mesures choisies pour limiter les accès aux données par Microsoft et leurs limites :
• La plateforme utilise un système de Microsoft appelé « Customer Lockbox » qui institue un contrôle des accès des administrateurs de Microsoft par la plateforme mais il y a des exceptions en cas de « scenarios inattendus, imprévisibles ou accès fortuits par un ingénieur Microsoft ».
• Il y a une pseudonymisation des données mais la CNIL considère qu’elle n’empêche pas totalement d’identifier les personnes au vu du nombre de données de santé très détaillées déjà présentes et des données qui viendront alimenter la plateforme à l’avenir. D’où la position prise par la CNIL le 20 avril dernier :
https://www.cnil.fr/sites/default/files/atoms/files/deliberation_du_20_avril_2020_portant_avis_sur_projet_darrete_relatif_a_lorganisation_du_systeme_de_sante.pdf
• À la suite de cet avis de la CNIL, un avenant au contrat a été rédigé. Il est en cours d’instruction. Il doit permettre à la plateforme de déterminer la zone géographique
dans laquelle les données seront traitées même pour la résolution d’incidents. Le souci est que l’avenant ne semble pas couvrir tous les services en ligne Azure souscrits dans le contrat principal.
La CNIL souhaite que cette clause couvre aussi le dispositif du « Customer Lockbox » et surtout les exceptions qui y sont attachées.

Concernant l’existence de transferts à la demande des services du renseignement des USA

Petit rappel de la CNIL : dans le contrat, il est précisé : « Microsoft ne divulguera ni ne donnera accès à une quelconque donnée traitée aux autorités, sauf si la loi l’exige ».
Or la loi américaine peut exiger de Microsoft la divulgation des informations Cloud Act ou non…

La CNIL reprend ensuite les règlementations visées par l’arrêt Schrems 2 pour en pointer les dangers :
• la section 702 du FISA ne restreint pas les demandes d’accès aux seules données stockées aux USA. Les autorités américaines ont même confirmé la réalité des demandes d’accès sur la base du FISA, dans un livre blanc publié en septembre 2020.
• L’Executive Order 12 333 est un décret présidentiel au champ d’application très large qui :
– permet aux services de renseignement de procéder eux-mêmes aux interceptions.
Donc pas besoin de demandes envoyées aux opérateurs.
– s’applique aux données en dehors du territoire américain.
– comprend les informations concernant « des sociétés et d’autres organisations commerciales » dans son périmètre d’informations accessibles.

CONCLUSIONS DE LA CNIL :

• Même en l’absence de transfert volontaire par la plateforme vers les USA, Microsoft peut être obligé par le FISA et l’Executive Order 12 333, à des injonctions des services de renseignement l’obligeant à leur transférer des données stockées et traitées sur le territoire de l’Union Européenne.
Or ces demandes doivent être considérées comme des divulgations non autorisées par le droit européen (cf. article 48 du RGPD).

• Cette situation dépasse largement le cadre du Health Data Hub et attire l’attention sur les nombreux entrepôts de données de santé, dépendants d’établissement hospitaliers ou d’autres responsables de traitement qui sont dans la même situation. Du coup, la poursuite des autorisations de traitement de ces données, notamment dans le cadre de la recherche scientifique, devient problématique.

• Il y a, depuis l’invalidation du Privacy Shield, une obligation de soustraire les données de la plateforme à la possibilité d’une communication aux services de renseignement US.
La CNIL rappelle qu’il ne suffit pas que l’hébergeur ait son siège social en dehors des USA pour ne pas être soumis en partie au droit US, s’il exerce une activité dans ce pays. Dans ce cas, c’est à l’hébergeur de montrer que des mesures organisationnelles appropriées lui permettent d’assurer le niveau de protection requis.

Il y a peut-être un moyen (dont la faisabilité est à confirmer par les travaux du CEPD) pour protéger les données : « mettre en place un dispositif contractuel par lequel la société américaine met en place un accord de licence avec une société européenne qui a seule la possibilité d’agit sur les données déchiffrées et qui bénéficie des services et de l’expertise de la société américaine, sans que celle-ci n’ait jamais accès aux données ».

Malgré ces pistes, il est nécessaire de changer d’hébergeur pour le Health Data Hub et pour les autres entrepôts de santé hébergés par des société soumises au droit US. Au vu de la complexité notamment technique de ce changement, une période de transition est nécessaire mais elle doit rester limitée au stricte nécessaire.