2019 s’est clos sur la polémique relative à l’incompatibilité présumée entre le RGPD et l’hébergement de données de santé, d’une part, et d’autre part, le Clarifying Lawful Overseas Use of Data Act.
Le législateur des Etats-Unis d’Amérique a-t-il fait exprès de titrer sa loi de sorte à former l’acrostiche CLOUD qui fait directement écho à l’appellation anglo-saxonne de l’informatique en nuage ? Auquel cas, il n’a peut-être pas été bien inspiré vu la chasse aux sorcières dont sont désormais victimes les fournisseurs de service américains. Et quand j’emploie cette expression de « chasse aux sorcières », je pèse mes mots.
De votre côté, avez-vous lu le Cloud ? Pas un extrait, pas une mauvaise traduction, pas un commentaire, non, le texte lui-même. Il est consultable ici. Ceci étant fait, revenons sur le dispositif mis en œuvre par le texte.
Le Cloud Act, comment ça marche?
Le Cloud Act est une loi permettant aux forces de l’ordre d’accéder à des données nécessaires dans le cadre d’enquête criminelle ou antiterroriste. L’objet du texte constitue une garantie en soi. Les données concernant la santé des patients et assurés sociaux français doivent avoir bien peu de valeur, dans ce domaine.
Les conditions de mise en œuvre du texte renforcent la garantie concernant les bases de données pseudonymisées, telles que le SNIIRAM ou le Health Data Hub. Le Cloud Act suppose en effet qu’une demande soit présentée à un juge et qu’il soit précisé d’une part l’identité de la personne dont les données sont requises, d’autre part de définir la nature des données recherchées et le lien qu’elles présentent avec l’enquête. Peu importe le degré de confiance de chacun dans la justice américaine. A ma connaissance, elle n’est pas présentée comme étant à la botte du gouvernement, tant s’en faut, mais peu importe. La confidentialité des données concernant la santé déposée chez un prestataire américain n’est pas menacée ipso facto par le Cloud Act. Concrètement, le contenu du Health Data Hub vous paraît-il réellement de nature à faciliter une enquête criminelle ou antiterroriste ? Mieux, la pseudonymisation des données qu’il contient vous semble-t-elle permettre à un juge d’autoriser le ciblage d’une personne en particulier ?
Autre élément à prendre en compte, avant de juger à l’emporte-pièce législateur et fournisseurs de service américains. Lorsqu’il reçoit la décision judiciaire, le prestataire peut la contester devant un juge et la faire retirer d’une part si la personne ciblée n’est pas de nationalité américaine et vit en dehors du territoire des Etats-Unis, d’autre part si la communication est de nature à entraîner la violation d’une loi étrangère. Reprenons le cas du Health Data Hub. La communication des données aux autorités US constituera de toute évidence une violation du principe d’intégrité et de confidentialité, posé à l’article 5§1, f du RGPD. Quant à la proportion de personnes de nationalité américaine ou résidant aux Etats-Unis figurant dedans, je ne suis pas même sûr qu’elle puisse être calculée ! le retrait d’une injonction de communication de données du Health Data Hub devrait donc être « facile » à plaider.
Un dernier rempart contre le Cloud Act, tel que perçu par ses détracteurs européens, repose sur le chiffrement. Le législateur américain impose la remise des données, pas leur déchiffrement. Un responsable de traitement prudent n’aurait donc qu’à mettre en place une des mesures de sécurité préconisée – pour ne pas dire serinée – par le RGPD pour rendre une injonction judiciaire inefficace. En matière d’hébergement de données de santé, la mise en œuvre d’un chiffrement des données par le candidat est une mesure vérifiée par le certificateur. Si l’on reprend le cas du Health Data Hub, il semble que non seulement les données soient effectivement chiffrées, mais surtout que l’hébergeur n’ait pas accès à la clé de chiffrement.
Les plus fervents partisans de la confidentialité rétorqueront sans doute « oui, mais la NSA ». Sincèrement, vu ses antécédents, vous croyez qu’une telle agence de renseignement va se plier à la procédure du Cloud Act et solliciter un juge ?
Le Cloud Act, ce n’est pas de la pêche au filet dans les Overseas Data. Les Etats-Unis ne font pas rapatrier pas la totalité des données européennes pour y farfouiller librement. Ils y accèdent dans un cas défini par la loi, pour trouver une information précise relative à une personne déterminée, et ce sous le contrôle non pas d’un, mais de deux juges.
Pour reprendre un célèbre « cri de Paris », « dormez, braves gens », et sur vos deux oreilles, donc.
Cloud Act, souveraineté et non-discrimination
Le Cloud Act est présenté en France de façon à déclencher une chasse aux sorcières. On le brandit comme un épouvantail législatif, afin d’inciter à la souveraineté numérique. C’est un enjeu, évidemment. A cet égard, rappelons d’ailleurs que l’Union Européenne prépare actuellement sa propre version du Cloud Act avec le Règlement « e-Evidence ».
Mais le principe de non-discrimination à raison de la nationalité, parfaitement applicable dans la commande publique (CJCE, 7 décembre 2000, Telaustria et Telefonadress), est également un enjeu. Peu importe la nationalité du fournisseur. S’il remplit les mêmes conditions que celles exigées d’un concurrent français, il doit pouvoir exercer en France. A fortiori lorsque, comme dans la santé, la satisfaction de ces conditions est attestée par un tiers de confiance, agréé par le COFRAC !
Malgré ces éléments, vous n’êtes toujours pas convaincu de la sécurité des données du Health Data Hub ? Un dernier élément alors. Pourquoi les autorités américaines s’embêteraient-elles à faire une recherche dans une base de données pseudonymisées, alors qu’il serait possible d’accéder aux données identifiantes hébergées par les professionnels et établissements de santé dans Office365 ?