Le Conseil d’Etat précise les conditions du recours à un hébergeur de Cloud Computing américain dans le secteur de la santé
11.04.2021
Gestion d'entreprise
Par une ordonnance rendue en référé le 12 mars 2021, le Conseil d’Etat a autorisé Doctolib, la plateforme assurant la prise de rendez-vous dans le cadre de la vaccination contre la Covid-19, de recourir à un hébergeur Cloud américain. Selon Daniel Kadar, avocat associé, Laetitia Gaillard et Stéphanie Abdesselam, collaboratrices chez Reed Smith, la décision fournit des enseignements précieux sur les garanties et critères susceptibles d’autoriser l’hébergement de données personnelles par une société américaine tout en assurant sa conformité à la réglementation existante.
Dans cette affaire, les serveurs de Doctolib - auxquels le gouvernement français a confié la gestion des rendez-vous de vaccination contre la covid-19 - étaient hébergés par une filiale luxembourgeoise de l’hébergeur américain AWS.
Le choix du gouvernement français de recourir à une plateforme hébergée par la filiale d’une société mère américaine a soulevé de fortes inquiétudes parmi les associations et syndicats professionnels de la santé, faisant directement écho à la décision rendue par la Cour de Justice de l’Union Européenne (CJUE) dite « Schrems II ».
Pour rappel, cette décision avait mis en lumière l’existence de risques - pour les droits fondamentaux des personnes - liés aux transfert de données personnelles vers les États-Unis, en raison du programme de surveillance prévu par la législation américaine contraignant les sociétés soumises au droit américain à répondre aux demandes d’accéder à ces données des autorités publiques américaines.
C’est dans ce contexte réglementaire incertain que des associations et syndicats de professionnels de la santé ont contesté la validité de la collaboration du gouvernement avec Doctolib, arguant que le schéma d’hébergement des données proposé par la plateforme porterait atteinte à la sécurité de leurs données.
La décision rendue par la Conseil d’Etat mérite d’être lue avec attention car elle fournit des enseignements précieux sur les garanties et critères susceptibles d’autoriser l’hébergement de données personnelles par une société américaine tout en assurant sa conformité à la réglementation donnée personnelle.
A la suite de l’invalidation du Privacy Shield, plusieurs associations avaient déjà contesté, devant le Conseil d’Etat, la validité de l’hébergement des données contenue sur la Plateforme des Données de Santé françaises (« PDS »), actuellement confié à une filiale de la société américaine Microsoft.
A cette occasion, la CNIL- dont l’avis avait été sollicité par le Conseil d’Etat avant de se prononcer - avait exprimé son approche avec fermeté : le recours à une société de droit américain pour héberger la PDS étant incompatible avec la décision de la CJUE, il existait selon la CNIL deux options alternatives possibles, (i) le changement d’hébergeur afin de recourir à un prestataire Cloud relevant du droit d’un pays membre de l’UE, ou (ii) à défaut, la mise en place de garanties complémentaires spécifiques, étant entendu que la CNIL assumait sa préférence pour la première solution.
Le Conseil d’Etat, dans le cadre d’une procédure en référé, avait tempéré la position de la CNIL en refusant de suspendre en urgence l’hébergement de la Plateforme des Données de Santé. Cela étant, le Conseil d’Etat avait explicitement reconnu l’existence d’un risque d’interception des données hébergées par les autorités américaines, et avait à ce titre exigé l’instauration de garanties supplémentaires visant à garantir un niveau de protection des données adéquat.
La question qui restait alors en suspens était de déterminer concrètement les garanties complémentaires qu’il convenait de mettre en place. La décision « Doctolib » donne à cet égard un éclairage bienvenu.
Dans la décision « Doctolib », le Conseil d’Etat procède à une analyse factuelle détaillée des aspects et garanties lui permettant de conclure au caractère suffisant des mesures de sécurité mises en place par Doctolib et son prestataire Cloud américain.
Niveau de sensibilité des données hébergées et durée de conservation limitée
Il est important de noter que le Conseil d’Etat a tenu à motiver sa décision autour du niveau de sensibilité qu’il accordait aux données en question, et ce faisant en les disqualifiant de données de santé.
Pour justifier cette approche, le Conseil d’Etat précise qu’en l’espèce seules des données d’« identification des personnes » et des « données relatives aux rendez-vous » sont traitées et hébergées. En outre, le Conseil d’Etat considère que les données portant sur les éventuels motifs médicaux d’éligibilité à la vaccination (c’est-à-dire les données de santé), ne sont pas nécessaires pour prendre un rendez-vous sur la plateforme dans la mesure où les personnes sont uniquement tenues de certifier sur l’honneur qu’elles entrent dans la « priorité vaccinale ».
Par ailleurs, le Conseil d’Etat a relevé que les mesures relatives à la conservation des données renforçaient en l’espèce le niveau de protection de la plateforme, telle que notamment la suppression automatique des données à l’issue d’un délai de 3 mois, ou encore la faculté dont disposent les utilisateurs de supprimer directement et à tout moment leurs données.
L’analyse susvisée a été perçue par certains comme un contournement de la question centrale qui restait en suspens depuis l’arrêt Schrems II, à savoir quel positionnement les autorités françaises comptent adopter dans l’hypothèse où les données hébergées par un hébergeur soumis au droit américain constituent véritablement des données de santé.
Cela étant, et c’est précisément ici que se situe la plus-value de la décision Doctolib, le Conseil d’Etat a apporté des indications utiles sur la nature des garanties complémentaires appropriées en cas de recours à un hébergeur américain.
Garantie contractuelle vs. programmes de surveillance
Le Conseil d’Etat met en exergue la garantie d’ordre contractuel qui existe en l’espèce : un addendum complémentaire engageant la société Doctolib et son hébergeur à contester toute demande d’accès aux données qui pourrait être exercée par les autorités américaines. Les dispositions contractuelles relevées par le Conseil d’Etat exigent à ce titre un niveau d’opposition renforcé en cas de demande d’accès aux données « générales » ou ne respectant pas la règlementation en vigueur.
Garantie technique— Chiffrement
Le Conseil d’Etat acquiesce également au choix du dispositif de sécurisation des données hébergées retenu. Il a, en effet, jugé que la procédure de chiffrement mise en place, fondée sur un « schéma triangulaire » consistant à attribuer une clé de déchiffrement à un tiers de confiance soumis au droit de l’UE faisait efficacement obstacle à la lecture des données par des tiers, et constituait une garantie technique suffisante.
Le premier enseignement qui doit être dégagé de cette décision est ainsi qu’il n’existe pas en France d’interdiction absolue de recourir à un fournisseur Cloud américain. En effet, le recours à une filiale européenne d’un hébergeur Cloud américain peut assurer un niveau de sécurité suffisant aux données eu égard à la réglementation européenne.
Il faut néanmoins tempérer la portée de cette décision pour deux raisons principales. D’une part, les enjeux attachés à la gestion de la campagne vaccinale en France, et le rôle crucial que joue la plateforme Doctolib dans la prise de rendez-vous de vaccination contre la Covid-19, constituent un facteur qui a vraisemblablement pesé dans la balance du Conseil d’Etat.
D’autre part, le Conseil d’Etat a en l’espèce minimisé le niveau de sensibilité des données hébergées concernées en refusant de les qualifier de « données de santé ». A cet égard, il faut avoir conscience que des garanties supplémentaires à celles identifiées dans la présente décision devront nécessairement être envisagées en cas d’hébergement de données de santé. Les recommandations de la CNIL sur cet aspect seraient d’ailleurs les bienvenues, dans la mesure où son souhait d’exclure les serveurs américains des prestataires de solutions Cloud vient d’être récusé pour la deuxième fois par le Conseil d’Etat.
Cette décision fournit également des indications précieuses sur les protections complémentaires qu’il convient en tout état de cause d’instaurer en cas de recours à un hébergeur américain. Les magistrats français attachent de toute évidence une particulière importance au mécanisme contractuel : la précision et la force contraignante des engagements contractuels pris par l’hébergeur au regard du système juridique auquel il est soumis constituera un critère déterminant sur le niveau de protection de l’hébergement.
Enfin, et d’un point de vue plus structurel, il faut remarquer que l’intervention du juge suprême continue et vraisemblablement continuera de façonner le cadre réglementaire en matière de protection des données en France.