CEDHDH
Image may be NSFW.Clik here to view.
Il y a une semaine, on apprenait que le Conseil d’État validait l’autorisation de la CNIL au Health Data Hub de stocker l’entrepôt de données EMC2 dans Azure de Microsoft. La société Clever Cloud nous avait alors confié qu’elle porterait probablement l’affaire devant la Cour européenne des droits de l’Homme. Dont acte.
Bref rappel des faits. En début d’année, la CNIL a donné l’autorisation au Health Data Hub (HDH) de stocker un nouvel entrepôt de données dans Azure. Le HDH se sert en effet de la solution cloud de Microsoft pour l’ensemble de ses besoins. Le nouvel entrepôt, EMC2, contient les données de plusieurs établissements hospitaliers européens et est créé à des fins de recherche.
La décision avait fait bondir. Le député Philippe Latombe soulignait alors que la CNIL avait décidé dans la loi et n’avait donc pas le choix. En effet, le Data Privacy Framework établit une adéquation entre les cadres réglementaires européen et américain sur les données personnelles. Il invitait à lire entre les lignes de la décision et prophétisait alors que la décision serait attaquée devant le Conseil d’État.
Elle l’a effectivement été deux fois. Une première en référé, menée par un groupement d’entreprises, dont Clever Cloud, qui s’est soldée par un échec. Une seconde sur le fond, dont la décision a été rendue la semaine dernière : nouvel échec. Philippe Latombe nous indiquait alors ne pas être surpris, mais estimait que le Conseil d’État était dans l’erreur.
Clever Cloud n’avait alors pas réagi officiellement, mais envisageait sérieusement de saisir la CEDH.
« Refus de protéger les données de santé des Français »
Clever Cloud nous a bien annoncé hier soir saisir la Cour européenne des droits de l’Homme. Dans un communiqué qu’elle n’a pas encore publié sur son site mais qu’elle nous a transmis, elle rappelle que le traitement des données de santé par le HDH expose celles-ci « à de possibles interceptions par les services de renseignement américain en vertu de l’application extraterritoriale du droit du renseignement américain, et notamment du FISA Act ».
La société pointe, dans la décision du Conseil d’État, que le risque d’un accès aux données « par les autorités des États-Unis, sur le fondement des lois de ce pays, par l’intermédiaire de la société mère de l’hébergeur », ne peut être totalement exclu. Malgré cela, les risques n’ont pas été jugés suffisants pour remettre en cause le projet, déplore Clever Cloud.
Des garanties insuffisantes
Comme Philippe Latombe, la société critique les justifications du Conseil d’État : la pseudonymisation des données et la certification de Microsoft comme HDS (Hébergeur de données de santé), rendant obligatoires les audits réguliers.
Insuffisant pour Clever Cloud : « il est de doctrine courante que la pseudonymisation des données n’apporte aucune garantie définitive quant à la protection des données personnelles, encore moins au regard des capacités de traitement des Intelligences Artificielles qui facilitent considérablement la réidentification ».
Quant aux audits liés à l’accréditation HDS, ils « n’apportent aucune garantie supplémentaire face à des demandes d’accès extrajuridictionelles émises en particulier par la NSA et dont la spécificité est justement d’être couvertes par le secret ». Clever Cloud note également qu’aucune de ces justifications n’entre dans le cadre du RGPD.
« Aussi triste que prévisible »
Quentin Adam, CEO de Clever Cloud, dénonce une situation « aussi triste que prévisible ». « Malgré les Safe Harbor et Privacy Shield, voilà que nous validons le Health Data Hub (HDH) sans tirer les leçons du passé. Le refus de le soumettre à l’examen de la Cour de justice de l’Union européenne est un affront aux citoyens européens, qui révèle une réticence troublante à affronter les enjeux réels de notre souveraineté numérique », ajoute Quentin Adam.
Le patron évoque une « inertie politique » face à des faits « éloquents ». Il rappelle notamment la reconnaissance par Microsoft, devant la justice britannique, de son incapacité à garantir la confidentialité des données. « La vraie question n’est pas de savoir si cet accord échouera, son échec est déjà écrit », déclare Quentin Adam, en référence au Data Privacy Framework. « Mais quand l’Europe décidera-t-elle de transformer ses discours en actions concrètes pour enfin protéger nos valeurs et nos droits ? ».
Clever Cloud, avec les sociétés Nexedi, Rapid Space International, Cleyrop, l’association Open Internet Project, l’Association de défense des libertés constitutionnelles, l’association Les Licornes célestes, Benjamin Bayart, Bernard Benhamou, Quentin Adam et le Conseil national du logiciel libre saisissent en conséquence la CEDH. La bataille autour du dépôt EMC2 est donc loin d’être terminée.