Le HEALTH DATA HUB dans le silence du FISAA

Nos données de santé sont-elles sécurisées et à l’abri des autorités américaines ?

Jeudi 30 juillet 2020

Article de Maître Pierre CRAPONNE, Avocat of Counsel et DPO, et Anaïs BODELET, juriste, publié sur LinkedIn

A l’heure de l’injonction de mise en conformité du Health Data Hub par le Conseil d’Etat le 19 juin dernier et de la remise en question du Privacy Shield par la CJUE le 16 juillet, les questions entourant cette plateforme, mise en place à marche forcée du fait du COVID-19, se multiplient.

Le choix de confier l’hébergement de ces données de santé à Microsoft® est en effet vivement contesté mais une analyse plus poussée du sujet révèle deux faits notoires allant bien au-delà du seul Health Data Hub.

D’une part, des incohérences importantes existent dans notre ordre interne entre la réglementation sur la protection des données et l’application qui en est faite par les acteurs notamment du monde de la santé (qui a réellement accès aux données ? sont-elles réellement sécurisées ?)

D’autre part, les transferts de données vers les Etats-Unis, actés par les accords de sous-traitance avec Microsoft®, permettent un accès quasi-illimité de l’administration américaine à ces données, particulièrement en application d’une loi passée sous silence : le Foreign Intelligence Surveillance Amendment Act (FISAA) de 1978 et 2011.

En somme, malgré les garanties présentées par le Gouvernement, il est à relever d’une part que Microsoft® peut techniquement avoir accès à toutes les données hébergées dans le Health Data Hub et d’autre part que l’administration américaine à toute liberté pour collecter et traiter ces données entre les mains des entités américaines de Microsoft® sans même en informer les personnes concernées …

La nouvelle « Plateforme des données de santé » française, ou Health Data Hub, suscite beaucoup d’interrogations, notamment sur la sécurisation des données personnelles sensibles qu’elle traitera et la possibilité de leur transfert hors de l’Union européenne, particulièrement vers les Etats-Unis.

Ce groupement d’intérêt public, institué par l’article L.1462-1 du Code de la Santé publique, est constitué entre l’Etat et plusieurs acteurs du monde de la santé (représentants des malades, producteurs de données de santé, utilisateurs publics et privés) et est notamment chargé de réunir, organiser et mettre à disposition les données du Système National des Données de Santé (SNDS).

Si l’idée globale de pouvoir disposer de toutes ces données paraît vertueuse, en permettant un traitement multifactoriel des données et une analyse de pointe grâce à divers algorithmes, elle n’est pas sans susciter des inquiétudes – légitimes – quant à l’hébergement de ces données, mission attribuée à Microsoft® dans des conditions vivement discutées.

De plus, l’accélération du déploiement de la plateforme, initialement prévu sur plusieurs mois mais concentré sur quelques semaines du fait de la crise sanitaire, laisse craindre des failles de sécurité supplémentaires.

Si des questions se posent sur cette nouvelle plateforme, il importe de se focaliser sur celles qui sont réellement pertinentes (en termes de sécurité informatique) et sur les risques réels (notamment liés à la législation américaine) à prendre en compte.

Les questions pertinentes sur la sécurisation du Health Data Hub

Le choix de Microsoft® comme hébergeur des données de santé a fait couler beaucoup d’encre et soulève de nombreuses inquiétudes dont au premier plan celle de l’accès aux données de santé par une entreprise américaine et donc par les autorités américaines.

Selon de nombreux détracteurs, ces données sensibles ne seraient pas en sécurité sur les serveurs Microsoft® et une solution d’hébergement européenne est plébiscitée.

Les garanties de sécurité présentées par le Ministère des Solidarités et de la Santé

Le Ministère des Solidarités et de la Santé[1] a répondu à une interrogation de Monsieur Claude RAYNAL, Sénateur de Haute-Garonne, en assurant que la sécurité des données de santé stockées sur le Health Data Hub était garantie de plusieurs manières :

« les données […] sont stockées chiffrées »
« les clés de chiffrement utilisées sont elles-mêmes protégées à l’aide d’un module de haute sécurité, indépendant et disposant de certifications reconnues internationalement »
« Microsoft ne fournit qu’une des solutions techniques permettant de la construire, ses équipes n’y ont pas accès ».

Cette position officielle apparaît rassurante, d’autant que le Ministère ajoute que la sécurité de la plateforme sera testée très fréquemment par des experts indépendants et des audits de l’Agence nationale de la sécurité des systèmes d’information (ANSSI).

Les données du SNDS : anonymisées ou pseudonymisées ?

Seul bémol, les données ne seront pas anonymisées au motif que cela « empêcherait tout réel travail de recherche ou d’innovation », d’après le Ministère toujours.

Le projet initial du Health Data Hub prévoyait pourtant que les données seraient anonymes, ce qui a valu une décision de la CNIL appelant le Ministère à modifier les références à des données anonymes pour ne traiter que de données pseudonymisées[2].

La question reste toutefois en suspens dans la mesure où l’article R.1461-7 du Code de la Santé Publique relatif à l’organisation du SNDS qualifie le pseudonyme de « code non signifiant obtenu par un procédé cryptographique irréversible ».

Ceci est un pur non-sens : la pseudonymisation est par définition réversible contrairement à l’anonymisation (ce qui explique notamment que les données pseudonymisées soient soumises au RGPD et pas les données anonymisées).

Et c’est bien sur cette question que le bât blesse puisque les données du SNDS, exploitées par le Health Data Hub, sont rattachées à chaque personne par un pseudonyme au vu de l’article R.1461-2 du Code de la Santé Publique.

La sécurité des données ne vient donc pas de leur anonymisation mais d’une pseudonymisation couplée à un chiffrement, étant précisé la table de correspondances des pseudonymes et la clé de chiffrement devraient être stockées dans des bases distinctes de la base des données de santé.

Toutefois, l’hébergeur des données qu’est Microsoft®, a accès à chacune de ces bases ce qui, d’après la CNIL elle-même, « a pour conséquence de permettre techniquement à ce dernier d’accéder aux données »[3].

Ce point est d’importance dans la mesure où l’une des réponses ministérielles en termes de sécurisation des données se fonde précisément sur une absence d’accès aux données par Microsoft® …

L’atteinte de l’objectif de la pseudonymisation et du chiffrement se trouve donc largement remise en question dès lors que Microsoft® héberge le contenu d’un coffre enfermé dans une pièce blindée mais détient dans le même temps les clés du coffre et celles de la pièce …

En cas de compromission du système d’information de Microsoft® (le risque zéro n’existant pas), le cyber-attaquant pourrait accéder relativement facilement à la totalité des données du SNDS.

Les réponses dont nous disposons à ce jour ne vont donc pas dans le sens d’un apaisement des inquiétudes sur le sujet, d’autant que la Commission Européenne pointe, dans son Livre Blanc relatif à l’Intelligence Artificielle, le risque potentiel de « désanonymisation » des données grâce à l’utilisation d’une intelligence artificielle[4]. La simple pseudonymisation des données de santé autorise donc toutes les inquiétudes.

Quelles garanties réelles données par Microsoft® ?

L’un des arguments supplémentaires du Ministère est la certification « hébergeur de données de santé » (HDS) obtenue par Microsoft® en 2018 au sens de l’article L.1111-8 du Code de la Santé Publique, pour ses centres localisés en France, en Irlande et aux Pays-Bas[5].

Ce point apparait toutefois comme un minimum eu égard aux objectifs du Health Data Hub !

Et là encore, l’imprécision semble de rigueur.

En effet, il apparait que la certification HDS n’a été obtenue de manière certaine que pour les centres Microsoft® localisés en France, en Irlande et aux Pays-Bas[6].

Si les données entreposées sur la plateforme sont censées être stockées « au repos » dans des centres de données situés aux Pays-Bas (puis en France prochainement), la CNIL a toutefois relevé que des transferts hors de l’Union Européenne sont prévus.

Donc des transferts vers des entités a priori non certifiées HDS …

Le risque de transfert de données sensibles hors de l’Union européenne existe donc bien pour l’ensemble de ces raisons, et ce même si « l’administration fait valoir que seules des données nécessaires aux opérations de maintenance ou de résolution d’incidents sont concernées et non des données santé »[7].

Rappelons en effet que Microsoft® peut techniquement avoir accès aux données qu’elle héberge …

Au-delà de ces aspects techniques, à ne pas négliger, les risques réels qui planent sur le transfert des données de santé hors UE viennent de la législation américaine.

Les risques réels découlant de la législation américaine

Selon la délibération du 20 avril 2020 de la CNIL, « les dispositions contractuelles de sous-traitance conclues entre la Plateforme des données de santé et l’hébergeur des données (Microsoft*) stipulent que les données traitées peuvent être transférées aux Etats-Unis pour y être stockées et traitées. »[8].

Le Conseil d’Etat relève lui aussi des incertitudes sur la nature des données transférables hors de l’Union Européenne et sur le type de traitements dans le cadre du « fonctionnement courant de la solution technique » [9].

Où en est-on aujourd’hui de ces transferts et surtout de la possibilité pour les autorités américaines d’accéder à nos données de santé ?

La question – désormais purgée – du Privacy Shield

Jusqu’à très récemment, ces flux de données entre l’Union européenne et les Etats-Unis étaient considérés comme conformes au RGPD du fait de l’existence du « Bouclier de protection des données » ou Privacy shield, dispositif de protection des données qui autorise le transfert de données personnelles de l’Union européenne vers une société basée aux Etats-Unis en imposant à cette dernière un certain nombre de règles et garanties[10].

Ces règles étaient globalement alignées sur celles résultant du RGPD (information des personnes concernées, protection des données contre toute compromission, encadrement des relations de sous-traitance …).

Le Privacy Shield, auquel plusieurs entités américaines du groupe Microsoft® avaient adhéré,constituait finalement une alternative « satisfaisante » à mi-chemin entre les clauses contractuelles (à prévoir pour chaque convention avec les Etats-Unis) et une décision d’adéquation générale de la Règlementation américaine au RGPD (ce qui est impossible au vu de l’organisation américaine fédérale non harmonisée), en application des articles 45 et 46 du RGPD.

La Commission européenne estimait ainsi que « les États-Unis [assuraient] un niveau de protection adéquat des données à caractère personnel transférées, dans le cadre du bouclier de protection des données UE-États-Unis, de l’Union vers des organisations autocertifiées aux États-Unis »[11].

« étaient », « constituait », « estimait » … tout cela est aujourd’hui remis en cause depuis la récente décision de la CJUE du 16 juillet 2020 invalidant cette décision d’adéquation estimant que le droit américain ne protège finalement pas suffisamment les données personnelles après leur transfert aux Etats Unis[12].

Le Privacy Shield ne peut donc plus être brandi comme une garantie de sécurité des données dans le cadre du Health Data Hub.

En tout état de cause, cette décision de la CJUE du 16 juillet dernier est bienvenue car le Privacy Shield laissait subsister une possibilité pour les autorités américaines d’accéder aux données détenues par des entreprises américaines du fait de la réglementation américaine éminemment intrusive en la matière.

La règlementation américaine intrusive manifestement incompatible avec la dimension protectrice du RGPD

Le risque de voir les données de santé du SNDS utilisées par les Etats-Unis pour leurs propres intérêts est bien réel du fait de l’hégémonie américaine sur les données des personnes (physiques ou morales, américaines ou non), créée par plusieurs lois : l’USA PATRIOT ACT, le CLOUD ACT et surtout le FISAA ;

Le Uniting and Strengthening America to Provide Appropriate Tools Required to Intercept and Obstruct Terrorism ou USA PATRIOT ACT de 2001 est applicable uniquement à la lutte contre le terrorisme[13].

Le champ d’application du Clarifying Lawful Overseas Use of Data Act ou CLOUD Act de 2018 est plus étendu puisqu’il concerne la matière pénale en général[14].

L’application de ces deux premières règlementations supposent qu’une demande d’accès soit présentée à un juge et l’entreprise destinataire de cette demande peut la contester de la même manière ce qui peut notamment aboutir à retrait de la demande d’accès si la personne concernée n’est ni américaine ni résidente américaine.

L’impact immédiat de ces deux textes reste donc limité, a fortiori s’agissant des données du SNDS.

Alors que le USA PATRIOT ACT et le CLOUD ACT, dont les acronymes sont accrocheurs, ne sont pas aussi menaçants que le laisse penser leur médiatisation, une loi américiane plus ancienne et beaucoup plus discrète s’applique de façon bien plus large et redoutable.

En effet, le Foreign Intelligence Surveillance Act de 1978 puis le Foreign Intelligence Surveillance Amendment Act (FISAA) de 2011, confèrent aux autorités américaines une possibilité de surveillance massive car étendue à toutes les données, y compris dans le cloud.

Elle s’applique aux prestataires de communications et de services électroniques et aux prestataires de services informatiques dans le cadre de la sécurité nationale.

La National Security Agency (NSA) peut ainsi intercepter, copier, déchiffrer, analyser et stocker l’ensemble des communications mondiales : emails, conversations téléphoniques, recherches sur les moteurs de recherche, achats, itinéraires, etc.

L’administration américaine dispose de pouvoirs très importants pour obtenir des informations en application du FISAA. Elle peut ainsi émettre des injonctions administratives pour obtenir la communication de données de connexion et d’identification des personnes ; la Foreign Intelligence Surveillance Court peut délivrer des mandats aux prestataires de communications ou de services électroniques pour la communication de tout type de données ou éléments matériels permettant d’y accéder ; un dispositif technique de copiage des données en vue de leur transfert peut être mis en place ; les non-Américains peuvent être placés sous surveillance pour une durée d’un an renouvelable, par une décision conjointe de l’Attorney General et du directeur de la NSA.

Plus encore : les injonctions de l’administration américaine peuvent interdire à l’entreprise visée d’informer son client au sujet de cette demande de communication ou de transfert de données.

Dans le cas du HDH, Microsoft® pourrait donc être enjointe par l’administration américaine de transmettre des données de santé en se voyant interdire d’informer les personnes concernées.

Olivier BARRAT l’indiquait déjà en 2013[15] :

« une société américaine qui aurait remporté un marché de services informatiques en France, devrait, si elle était destinataire d’injonction sur le fondement de FISA, communiquer à l’administration américaine les données qu’elle détient »

La contradiction avec le RGPD est ici évidente et grave.

Et pour ne rien gâcher, si les recours sont encadrés pour les ressortissants américains, ce n’est pas le cas pour les Européens, personnes physiques ou morales, aucune garantie de la Constitution US ne leur étant applicable.

En cas de contentieux sur le sujet, une problématique complexe de droit international privé se posera quant à l’articulation entre FISAA et RGPD (par chance le Privacy Shield est désormais sorti de cette équation à multiples inconnues).

Il semble en effet que les acteurs du système de surveillance soumis au FISAA sont soumis à la loi du silence. Les personnes qui révèleraient son existence pourraient faire l’objet de poursuites susceptibles d’aboutir à de lourdes sanctions, même pénales.

On comprend, dès lors, facilement que les opérateurs et prestataires de services électroniques éludent les questions qui se posent à l’égard de l’application du FISAA.

On regrette cependant que le Conseil d’Etat, dans sa décision du 19 juin 2020 relative au Health Data Hub, et pourtant interrogé par les requérants sur les risques liés au FISAA, ne se soit pas prononcé sur ce point et se soit « réfugié » derrière le Privacy Shield notamment[16].

Le Privacy Shield n’était qu’une mesure d’auto-certification volontaire mais sa remise en question met en exergue l’incompatibilité manifeste entre les règlementations de la protection des données européenne et américaine.

Rappelons que nombre d’entreprises américaines plébiscitent un RGPD américain[17] ce qui n’est pas anodin.

On peut certes se demander l’intérêt que peut porter la NSA aux données de santé des français mais la question n’est pas là : l’objectif du RGPD est de permettre aux personnes de maîtriser la circulation de leurs données dans un environnement 100% digital et la règlementation américaine organise un système de collecte massive, automatique et totalement opaque de toutes les données transitant par des entreprises américaines et ce sans finalité identifiée.

Monsieur Philippe LATOMBE a d’ailleurs interrogé le Ministère des Solidarités et de la Santé le 2 juin dernier notamment sur cette question de l’accès aux données du Health Data Hub par les autorités américaines en vertu du FISAA[18].

Cette réponse est vivement attendue à l’heure où le FISAA est systématiquement passé sous silence.

Si le choix de Microsoft® pour héberger les données du Health Data Hub reste très largement critiquable, les questions que soulèvent ce choix apparaissent bien plus larges et complexes que ne le laissent penser des discours purement polémiques.

[1] Question écrite au gouvernement n°14130 du 30 janvier 2020 (p.819)

[2] Délibération CNIL n°2020-044 du 20 avril 2020 (page 11)

[3] Délibération CNIL n°2020-044 du 20 avril 2020 (page 10 – alinéa 2)

[4] Livre Blanc de la Commission Européenne : « Intelligence artificielle – Une approche européenne axée sur l’excellence et la confiance » – 19 février 2020 (page 13)

[5] Question écrite au gouvernement n°14130 du 30 janvier 2020 (p.819)

[6] Conseil d’Etat, Décision n°440916 19 juin 2020 (considérant 20)

[7] Conseil d’Etat, Décision n°440916 19 juin 2020 (considérant 23)

[8] Délibération CNIL n°2020-044 du 20 avril 2020 (page 7)

[9] Conseil d’Etat, Décision n°440916 19 juin 2020 (considérant 23)

[10] Guide du Bouclier de protection des données UE-Etats Unis de la Commission européenne

[11] Décision de la Commission Européenne du 12 juillet 2016, n°2016/1250

[12] CJUE « Data Protection commissionner c/ Facebook Ireland et Schrems », 16 juillet 2020, C-311/18