Expertises des Systèmes d'information - Octobre 2020 - N°461 - Le mensuel du droit de l'informatique et du multimédia - 353

qu' « un trésor national ne peut pas
sortir du territoire douanier français,
sinon à titre temporaire et après
autorisation du ministère de la
Culture et aux seules "fins de restauration, d'expertise, de participation
à une manifestation culturelle ou de
dépôt dans une collection publique.
Tous les autres traitements doivent
intervenir sur le territoire national ».
Et de conclure que «  l'utilisation
d'un cloud non souverain qui, par
définition, ne permet pas de garantir
que l'ensemble des données sont
stockées et traitées sur le territoire
français, est donc illégale pour toute
institution produisant des archives
publiques, dont les collectivités
territoriales, leurs groupements
et leurs établissements publics  ».
Or, les données produites par les
établissements publics de santé, et
notamment les dossiers médicaux,
en tant que «  documents qui
procèdent de l'activité de l'Etat,
des collectivités territoriales, des
établissements publics et des autres
personnes morales de droit public »,
constituent bien évidemment des
archives publiques au sens de l'article
L. 211-4 du code du patrimoine. Une
telle interprétation reviendrait ainsi
à appliquer aux dossiers médicaux
le régime restrictif de circulation des
trésors nationaux.
Par ailleurs, la seule localisation des
données n'est pas suffisante pour
assurer une pleine souveraineté
sur les données de santé, compte
tenu des conflits de lois tels que
celui impliqué par le Cloud Act.
Il supposerait de permettre aux
personnes publiques d'écarter des
candidats à un contrat public en
raison de leur nationalité ou de
la nationalité des sociétés qui en
détiennent le contrôle. Or, tant les
principes d'égalité de traitement
des candidats et de liberté d'accès
à l'attribution d'un contrat public,
prévus par le code de la commande
publique, que le principe de
non-discrimination à raison de la
nationalité, expressément rappelé
par la jurisprudence européenne, ne
paraissent pas pouvoir admettre de
façon générale une telle possibilité17.
Seuls le peuvent des régimes

d'exception, dûment justifiés par
des impératifs tels que la sécurité
nationale.
Le cadre juridique n'étant pas, à tout
le moins à ce jour, pleinement adapté
à ce «  principe de souveraineté  »,
l'intérêt des mesures de sécurité
technique ne doit pas être négligé.
Le Conseil d'Etat ne s'y est pas
trompé, en recentrant le débat sur
les mesures de pseudonymisation
appliquées aux données de santé et
en chargeant la Cnil d'une mission
de vérification plus approfondie de
celles-ci. Si l'on retient l'argument
du peu de probabilité qu'un juge
américain considère nécessaires des
données qui ne révèlent pas l'identité de la personne, encore faut-il que
les mesures de pseudonymisation,
y compris de chiffrement réduisent
de façon suffisante les risques de
réidentification et les risques d'accès
non autorisés. Cette question n'est
pas simple18 mais il s'agit à ce jour de
l'un des moyens les plus sûrs d'assurer un contrôle effectif sur l'accès
aux données.
Il en ressort, pour finir, qu'une
clarification est nécessaire pour
que les personnes publiques ne
se retrouvent plus prises entre des
impératifs contradictoires de rapidité, de coût, de sécurité informatique,
de souveraineté numérique et de
libre accès à la commande publique.
La décision du Conseil d'Etat aura
eu le mérite de rappeler que le Health
Data Hub a tenté d'arbitrer au mieux
entre ces différents objectifs, dans le
respect du cadre juridique existant.

Lorraine MAISNIER-BOCHÉ
Avocat à la Cour
McDermott, Will & Emery
Atelier ADIJ Protection des
données personnelles

(3)	 M. Rees, « Health Data Hub : un collectif critique
le choix Microsoft », NextInpact, 13 mars 2020 ;
Interhop, communiqué du 30 avril 2020, Le gouvernement contraint les hôpitaux à abandonner
vos données chez Microsoft ; https://interhop.
org/2020/04/30/le-gouvernement-contraint-les-hopitaux-a-abandonner-vos-donnees-chez-microsoft.
(4)	 Déclarations du directeur général délégué d'OVH
SAS, 1er juin 2020, https://twitter.com/olesovhcom/
status/1267510178108375040
(5)	 A. Bayle, « L'habeas data à l'ère de l'e-santé », D. IP/IT
2020, 285 ; A. Iteanu, « Health Data Hub hébergé par
Microsoft : et le Cloud Act », Expertises, n°454, p.73.
(6)	 Arrêté du 21 avril 2020 complétant l'arrêté du
23 mars 2020 prescrivant les mesures d'organisation
et de fonctionnement du système de santé nécessaires pour faire face à l'épidémie de COVID-19 dans
le cadre de l'état d'urgence sanitaire.
(7)	 Cnil, délib. n° 2020-044 du 20 avril 2020 portant
avis sur un projet d›arrêté complétant l'arrêté du
23 mars 2020 prescrivant les mesures d'organisation
et de fonctionnement du système de santé nécessaires pour faire face à l'épidémie de COVID-19 dans
le cadre de l'état d'urgence sanitaire.
(8)	 Sénat, séance du 27 mai 2020, Innovations
numériques dans la lutte contre l'épidémie de
Covid-19 - Débat et vote sur une déclaration du
Gouvernement : question de Madame C. MorinDesailly, députée et réponse de Monsieur C. O,
secrétaire d'Etat auprès du ministre de l'Economie et
des Finances et du ministre de l'Action et des Comptes
publics, chargé du Numérique : https://www.senat.fr/
seances/s202005/s20200527/s20200527012.html.
France Culture, Interview de S. Combes, Directrice
du Health Data Hub, 15 août 2020, https://www.
franceculture.fr/emissions/le-magazine-du-weekend/le-coronavirus-menace-t-il-nos-donnees-desante-industrie-petroliere-les-derniers-feux
(9)	 CJUE, aff. C-311-18, 16 juill. 2020, DPC c. Facebook
Ireland Ltd et M. Schrems : C. Crichton, « Transfert
de données vers les USA : l'arrêt Schrems II », D. IP/
IT, 22 juill. 2020 ; C. Feral-Schuhl, « Peut-on encore
transférer des données personnelles vers les ÉtatsUnis ? », CIO Online, 20 juill. 2020 ; R. Perray, L.
Jehl, A. Winston, Schrems II: What Does the CJEU's
Decision Mean for Transfers from the EEA to the US?,
Lexology, 31 juill. 2020 ; C. Kuner, « The Schrems II
judgement of the court of justice and the future of
data transfer regulation », european Law Blog, 17
juill. 2020; S. Rozenfeld, « Données personnelles :
incertitude juridique sur les flux transatlantiques »,
Expertises, n°460, sept. 2020, p.295.
(10)	 Il s'agit notamment des programmes PRISM et
UPSTREAM sur le fondement de l'article 702 du FISA
et des possibilités d'accès par la NSA aux données en
transit vers les Etats-Unis sur le fondement de l'Executive Order 12333.
(11)	 J. Brill, Corporate VP for Global Privacy
and Regulatory Affairs and Chief Privacy
Officer, Microsoft, 16 juill. 2020, https://
blogs.microsoft.com/eupolicy/2020/07/16/
assuring-customers-about-cross-border-data-flows/.
(12)	 U.S. Court of Appeal, 2ème Circuit, Microsoft Corp. v.
United States, 2016, 829 F.3d 197.
(13)	 Hogan Lovells, W. Maxwell, M. W. Brennan, A. A.
Sura, « Demystifying the U.S. CLOUD Act: Assessing
the law's compatibility with international norms and
the GDPR », Janv. 2019.
(14)	 Cnil, communiqué du 11 juin 2020, https://www.
cnil.fr/fr/la-plateforme-des-donnees-de-santehealth-data-hub : la Cnil « souhaiterait, eu égard à la
sensibilité des données en cause, que son hébergement et les services liés à sa gestion puissent être
réservés à des entités relevant exclusivement des
juridictions de l'Union européenne ».
(15)	 Art. L. 1111-8 du code de la santé publique

Notes
(1)	 CE, 19 juin 2020, n°440916 ; M.-C. de
Montecler, « Transfert de données de santé : quand
le Conseil d'Etat passe la main à la CNIL », AJDA,
2020, p.1262 ; S. Rozenfeld, « Données de santé :
vent contraire pour Microsoft », Expertises, n°459,
p.255.
(2)	 Code de la santé publique, art. L. 1462-1.

EXPERTISES Octobre 2020

(16)	 Sous-direction des compétences et des institutions
locales, Dir. Gén. des collectivités territoriales du
ministère de l'Intérieur, Service interministériel des
Archives de France, Dig. Gén. des patrimoines du
ministère de la Culture et de la Communication,
Note d'information du 5 avril 2016 relative à l'informatique en nuage (cloud computing)
(17)	 CJCE, aff. C-324/98, 7 déc. 2000, Telaustria Verlags
GmbH & Telefonadress GmbH c/ Telekom Austria AG
(18)	 L. Maisnier-Boché, « Données personnelles : anonymisation, que faire pour sortir de l'impasse ? »,
Expertises, n°416, sept. 2016.

353

https://interhop.org/2020/04/30/le-gouvernement-contraint-les-hopitaux-a-abandonner-vos-donnees-chez-microsoft https://www.twitter.com/olesovhcom/status/1267510178108375040 https://www.senat.fr/seances/s202005/s20200527/s20200527012.html https://www.franceculture.fr/emissions/le-magazine-du-week-end/le-coronavirus-menace-t-il-nos-donnees-de-sante-industrie-petroliere-les-derniers-feux https://blogs.microsoft.com/eupolicy/2020/07/16/assuring-customers-about-cross-border-data-flows/ https://www.cnil.fr/fr/la-plateforme-des-donnees-de-sante-health-data-hub

Expertises des Systèmes d'information - Octobre 2020 - N°461 - Le mensuel du droit de l'informatique et du multimédia

Table des matières de la publication Expertises des Systèmes d'information - Octobre 2020 - N°461 - Le mensuel du droit de l'informatique et du multimédia