Une salle quasi comble, deux heures d’audience, et un rendu prévu dans les jours qui viennent. Ce mardi 19 mars en fin de matinée avait lieu une audience devant le Conseil d’État qui pourrait avoir des conséquences importantes sur nos données de santé.
Devant une salle quasi pleine, les juges de la plus haute cour administrative française ont entendu pendant près de deux heures les parties de cette affaire. D’un côté, on trouvait un groupe de sociétés, de particuliers et d’associations, représenté par l’avocat Jean-Baptiste Soufron. De l’autre, des représentants de la Commission nationale de l’informatique et des libertés (CNIL), mais aussi ceux du gouvernement et du Health Data Hub (HDH), la plateforme de données de santé des Français destinée à la recherche. Au cœur du litige : la question de l’hébergement de nos données de santé – et celles des Européens – par une société soumise aux lois extraterritoriales américaines : Microsoft.
De quoi est-il question ?
Quelques jours plus tôt, le groupe hétéroclite de requérants avait déposé deux recours visant une décision de la CNIL, prise le 21 décembre dernier, rappelle Quentin Adam, le président de Clever Cloud, que 01net.com a pu interviewer après l’audience. L’autorité française garante de nos libertés, validait, à regret et pour trois ans, l’hébergement par la société américaine Microsoft du « EMC2 » – une version européenne de la plateforme des données de santé française HDH, destinée à la recherche.
- Dans un premier recours, le référé suspension, les requérants demandent en urgence au Conseil d’État de suspendre la décision de la CNIL du 21 décembre 2023. C’est ce recours dont il était question ce mardi matin.
- Un second recours, au fond, a pour objectif d’annuler la décision de la CNIL. Cette affaire au fond sera jugée dans plusieurs mois.
L’audience au Conseil d’État de ce mardi est loin d’être un épisode isolé. Il s’inscrit dans la très longue saga qui entoure l’hébergement de nos données de santé et celles des Européens – une saga que nous suivons très régulièrement sur notre site.
À lire aussi : Nos données de santé sont-elles en danger ? Notre nouvelle émission Clic Droit décrypte l’EHDS
Qui attaque cette décision de la CNIL ?
Parmi les requérants, on trouve des sociétés françaises comme Clever Cloud, Cleyrop, Nexedi, Rapid.Space, dont certaines se présentent comme des concurrentes de Microsoft. En font aussi partie des ONG comme Open Internet Project, l’Association de défense des libertés constitutionnelles, ainsi que des particuliers comme Bernard Benhamou de l’Institut de la souveraineté numérique.
Pourquoi le fait d’avoir choisi Microsoft poserait problème ?
Concrètement, ces derniers demandent à la plus haute cour administrative d’annuler la décision de validation de la CNIL pour deux raisons.
D’abord parce que Microsoft a été choisi pour héberger le HDH et l’EMC2, sa version européenne. Or, il s’agit d’une société américaine soumise à la loi FISA. Avec cette règlementation, les agences de renseignement américaines peuvent avoir accès aux données stockées par les hébergeurs américains, y compris en Europe. Et pour certains, confier « cette mine d’or » à un acteur non européen est un renoncement franc et massif à la souveraineté européenne – en plus d’être une occasion manquée de faire grandir les acteurs locaux, via la commande publique.
Et il ne s’agit pas que d’une question économique. Même si Microsoft prévoit, dans ses contrats, une étanchéité à ces lois américaines, et même si les données de santé passeraient par un processus approfondi de pseudonymisation, les autorités américaines auront toujours accès aux données personnelles des Européens, explique Quentin Adam, à la tête de Clever Cloud.
Ce en dépit du fait qu’un nouvel accord transatlantique conclu entre la Commission européenne et l’administration Biden a été conclu en juillet dernier, ajoute-t-il.
À lire aussi : Comment l’Europe a abandonné vos données personnelles aux espions américains
Ce texte – le DPF, censé sécuriser le transfert de données personnelles de l’Europe vers les États-Unis, est contesté par de nombreuses associations de défense des droits, ainsi que des politiques français comme le député Philippe Latombe.
Les requérants estiment ensuite que la conclusion validée par la CNIL est fausse : Microsoft n’est pas la seule solution existante pour héberger l’EMC2. Il existe, selon eux, des alternatives françaises au géant américain – des alternatives qui n’ont pas pu « candidater ». L’appel d’offres pour héberger la version française de la plateforme, le HDH, n’a en effet jamais été publié, malgré des promesses en ce sens du gouvernement. Même topo pour l’EMC2.
Les requérants souhaiteraient aussi que le Conseil d’État formule une question préjudicielle auprès de la Cour de justice de l’Union européenne, la CJUE. Il s’agit d’une procédure qui permet à une cour d’un des 27 pays de l’UE de demander au juge européen de trancher une question ou un sujet qui concerne le droit européen. Ici, la question a trait au DPF : le nouvel accord transatlantique de juillet dernier, qui vient remplacer le Privacy Shield, présente-t-il suffisamment de garanties pour les Européens ? Pour rappel, les deux accords précédents (le Privacy Shield et le Safe Harbor), qui autorisent le transfert de données personnelles de l’Europe vers les États-Unis, avaient été annulés deux fois par la même cour de justice, justement pour cette raison – un trop grand accès des autorités américaines aux données personnelles des Européens, et des garde-fous jugés insuffisants.
A lire aussi : Pourquoi le transfert de vos données personnelles aux Etats-Unis est un incroyable casse-tête
Quel est ce rapport au cœur du litige ?
Au cœur de ce litige se trouve un rapport rendu le 13 décembre dernier, rédigé par la Délégation du Numérique en Santé (DNS) — une branche du ministère de la Santé chargée des chantiers de e-santé. Ce rapport, qui désigne Microsoft comme hébergeur de l’EMC2, « n’est pas sérieux dans son approche », estime Quentin Adam, le PDG de Clever Cloud.
Avant d’écrire ce rapport, trois fournisseurs de cloud français comme Cloud Temple, Numspot et OVHCloud, avaient été consultés par la DNS, dans des conditions décrites par certains comme « rocambolesques ». Les exigences à remplir avaient été modifiées à plusieurs reprises, nous expliquaient les PDG de ces trois sociétés en janvier dernier.
À lire aussi : Health Data Hub : le cloud français est passé sur le grill… pour mieux faire gagner Microsoft ?
La conclusion de ce rapport était sans appel : aucun des trois clouders interrogés ne remplissait les conditions demandées – à savoir, être estampillé SecNumCloud, le label de cybersécurité et d’immunité aux lois extraterritoriales le plus élevé en France. Donc la solution de Microsoft, qui héberge déjà le HDH, devait être privilégiée – même si la société américaine n’a pas non plus ce précieux label. C’est ce texte qui a permis à la CNIL, le 21 décembre dernier, de dire en substance : je regrette sa conclusion, mais je valide le choix de Microsoft pour trois ans.
Qu’est-ce qui a été discuté pendant l’audience ?
Concrètement, l’audience s’est déroulée en trois temps. Ont été examinés la recevabilité de la demande, l’urgence à agir et les moyens invoqués, comme on peut le lire dans le déroulé décrit par Marc Rees, journaliste à L’Informé, sur son compte X.
Pendant près de deux heures, chaque partie a pris soin de défendre sa position. Les requérants ont soutenu qu’il y avait urgence à agir « car une fois que les data sont parties aux États-Unis, c’est terminé », a commenté Quentin Adam. Le HDH a de son côté rappelé qu’il s’appuyait sur l’accord transatlantique conclu en juillet dernier, un texte en vigueur négocié par la Commission européenne. La CNIL a pour sa part expliqué que le HDH ne devait pas perdre l’appel d’offres européen visant à mettre en place le EMC2.
Leurs arguments ont-ils fait mouche ? Difficile à dire. En toile de fond, le Conseil d’État aura la lourde tâche d’aborder des questions qui divisent : la CNIL a-t-elle eu raison de valider, fin décembre, et pour trois ans, l’hébergement de nos données de santé des Français – et des Européens – chez Microsoft ? Le nouvel accord transatlantique de transfert des données personnelles offre-t-il suffisamment de garanties aux Européens ? Le juge administratif français devra rendre sa décision sur le référé suspension – et non sur le fond – dans les jours qui viennent. Pour le reste, il faudra encore attendre quelques mois.
🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.