Données de santé : Clever Cloud et d’autres sociétés saisissent la CEDH

CEDHDH

Il y a une semaine, on apprenait que le Conseil d’État validait l’autorisation de la CNIL au Health Data Hub de stocker l’entrepôt de données EMC2 dans Azure de Microsoft. La société Clever Cloud nous avait alors confié qu’elle porterait probablement l’affaire devant la Cour européenne des droits de l’Homme. Dont acte.

Vincent Hermann

Le 29 novembre à 09h33

5 min

Droit

Bref rappel des faits. En début d’année, la CNIL a donné l’autorisation au Health Data Hub (HDH) de stocker un nouvel entrepôt de données dans Azure. Le HDH se sert en effet de la solution cloud de Microsoft pour l’ensemble de ses besoins. Le nouvel entrepôt, EMC2, contient les données de plusieurs établissements hospitaliers européens et est créé à des fins de recherche.

La décision avait fait bondir. Le député Philippe Latombe soulignait alors que la CNIL avait décidé dans la loi et n’avait donc pas le choix. En effet, le Data Privacy Framework établit une adéquation entre les cadres réglementaires européen et américain sur les données personnelles. Il invitait à lire entre les lignes de la décision et prophétisait alors que la décision serait attaquée devant le Conseil d’État.

« Ça va être sanglant » : la CNIL autorise les données de santé chez Microsoft

Elle l’a effectivement été deux fois. Une première en référé, menée par un groupement d’entreprises, dont Clever Cloud, qui s’est soldée par un échec. Une seconde sur le fond, dont la décision a été rendue la semaine dernière : nouvel échec. Philippe Latombe nous indiquait alors ne pas être surpris, mais estimait que le Conseil d’État était dans l’erreur.

Clever Cloud n’avait alors pas réagi officiellement, mais envisageait sérieusement de saisir la CEDH.

« Refus de protéger les données de santé des Français »

Clever Cloud nous a bien annoncé hier soir saisir la Cour européenne des droits de l’Homme. Dans un communiqué qu'elle n'a pas encore publié sur son site mais qu'elle nous a transmis, elle rappelle que le traitement des données de santé par le HDH expose celles-ci « à de possibles interceptions par les services de renseignement américain en vertu de l’application extraterritoriale du droit du renseignement américain, et notamment du FISA Act ».

La société pointe, dans la décision du Conseil d’État, que le risque d’un accès aux données « par les autorités des États-Unis, sur le fondement des lois de ce pays, par l'intermédiaire de la société mère de l'hébergeur », ne peut être totalement exclu. Malgré cela, les risques n’ont pas été jugés suffisants pour remettre en cause le projet, déplore Clever Cloud.

Des garanties insuffisantes

Comme Philippe Latombe, la société critique les justifications du Conseil d’État : la pseudonymisation des données et la certification de Microsoft comme HDS (Hébergeur de données de santé), rendant obligatoires les audits réguliers.

Insuffisant pour Clever Cloud : « il est de doctrine courante que la pseudonymisation des données n’apporte aucune garantie définitive quant à la protection des données personnelles, encore moins au regard des capacités de traitement des Intelligences Artificielles qui facilitent considérablement la réidentification ».

Quant aux audits liés à l’accréditation HDS, ils « n’apportent aucune garantie supplémentaire face à des demandes d’accès extrajuridictionelles émises en particulier par la NSA et dont la spécificité est justement d’être couvertes par le secret ». Clever Cloud note également qu’aucune de ces justifications n’entre dans le cadre du RGPD.

« Aussi triste que prévisible »

Quentin Adam, CEO de Clever Cloud, dénonce une situation « aussi triste que prévisible ». « Malgré les Safe Harbor et Privacy Shield, voilà que nous validons le Health Data Hub (HDH) sans tirer les leçons du passé. Le refus de le soumettre à l’examen de la Cour de justice de l’Union européenne est un affront aux citoyens européens, qui révèle une réticence troublante à affronter les enjeux réels de notre souveraineté numérique », ajoute Quentin Adam.

Le patron évoque une « inertie politique » face à des faits « éloquents ». Il rappelle notamment la reconnaissance par Microsoft, devant la justice britannique, de son incapacité à garantir la confidentialité des données. « La vraie question n’est pas de savoir si cet accord échouera, son échec est déjà écrit », déclare Quentin Adam, en référence au Data Privacy Framework. « Mais quand l’Europe décidera-t-elle de transformer ses discours en actions concrètes pour enfin protéger nos valeurs et nos droits ? ».

Clever Cloud, avec les sociétés Nexedi, Rapid Space International, Cleyrop, l’association Open Internet Project, l’Association de défense des libertés constitutionnelles, l’association Les Licornes célestes, Benjamin Bayart, Bernard Benhamou, Quentin Adam et le Conseil national du logiciel libre saisissent en conséquence la CEDH. La bataille autour du dépôt EMC2 est donc loin d’être terminée.

Commentaires (5)

eglyn Abonné

Modifié le 29/11/2024 à 10h25

Franchement, je comprends même pas que l'Etat, qui nous bassine de souveraineté numérique, laisse faire un truc aussi grotesque avec toujours comme argument:
"mais siii, dans le contrat, y a marqué qu'ils ont pas le droit de regarder, donc ils le feront pas, c'est o-bli-gé !"

Ou ils sont naïf, ou stupide, ou bien Microsoft leur tient les couilles...

potn Abonné

Aujourd'hui à 10h44

Un peu des 3 je pense.
Il suffit de regarder combien d'entreprises ont fait le choix de stocker leurs données dans le cloud de Microsoft (notamment dans le Sharepoint O365) pour voir à quel point la situation est larvée...
J'attends avec impatience le premier cas rendu public d'espionnage industriel d'une entreprise française par le biais du SP de l'entreprise.

alex.d. Abonné

Aujourd'hui à 10h47

D'autant plus que le problème, ce n'est pas ce qu'il y a dans le contrat, mais la loi américaine (qui prévaut sur le contrat).

GruntZ Abonné

Aujourd'hui à 10h52

Réponse 3

fred42 Abonné

Aujourd'hui à 11h14

Voici d'abord la décision du Conseil d'État (merci à 01net.com pour le lien vers la décision).

On y voit que le Conseil d'État rejette un peu facilement la saisie préjudicielle de la CJUE au point 12 en expliquant qu'ils s'appuient sur leur point 6.

Dans ce point 6, ils expliquent que la décision d'adéquation (l'accord entre l'UE et les USA qui est contesté par les requérants) garantit le niveau de protection adéquat et aussi que les articles 46 et 49 du RGPD ne rendent pas obligatoire la décision d'adéquation.
Cela est vrai, mais, on ne peut pas soutenir que les garanties appropriées de l'article 46 puissent être faites par Microsoft qui doit se soumettre au droit US.
Quand à l'article 49, c'est un peu l'arme nucléaire et le Conseil d'État n'explique pas sur quelle partie de l'article il s'appuie ni pourquoi il serait applicable. Je pense que c'est :

d) le transfert est nécessaire pour des motifs importants d'intérêt public;

les autres me semblent non applicables ici, mais on utilise généralement ce genre de justifications quand on ne sait justifier une décision.
Le RGPD explique que :

L'intérêt public visé au paragraphe 1, premier alinéa, point d), est reconnu par le droit de l'Union ou le droit de l'État membre auquel le responsable du traitement est soumis.

Et le Conseil d'État ne dit pas où est reconnu cet intérêt public dans la loi nationale ou de l'UE.

C'est donc du foutage de gueule et ils doivent le savoir.

En gros, ils commencent par dire que la décision d'adéquation visée par la demande de question préjudicielle garantit le niveau de protection alors que c'est justement ce que les requérants demandent de le vérifier auprès de la CJUE, ensuite que de toute façon, cette décision d'adéquation n'est pas obligatoire sans préciser pourquoi les 2 autres articles du RGPD 46 et 49 qu'ils citent seraient vérifiés ici.

Du foutage de gueule, je vous disais !