“Health Data Hub” : comment appréhender les enjeux des données de santé lors de la Pandémie #Covid19 ? Bénédicte BEVIERE-BOYER nous apporte son regard juridique (Partie 1/2)

 


N°6, Octobre 2020


 

Article publié  par  Bénédicte BEVIERE-BOYER, Docteur en Droit, Maître de Conférences-HDR en Droit Privé au Centre de Recherches juridiques de l’Université de Paris 8 (Unité de Formation et de Recherche). [1].

Elle a codirigé, en collaboration avec Dorothée DIBIE et Astrid MARAIS, deux ouvrages publiés en juillet 2020 en Mai 2019, sur « La bioéthique en débat : quelle loi ? »  et “La bioéthique en débat : le début de la vie” issu des actes du cycle de conférences de l’année 2019 et 2018, à la Cour de cassation.    

Elle assure également la co-direction scientifique d’un cycle de conférences sur « Numérique, Droit et Société » de portée nationale et internationale à la Cour de cassation avec Dorothée DIBIE.

 

Afin d’appréhender tout l’impact de la Plateforme nationale de données de santé, appelée aussi « Heath Data Hub », sur les enjeux à l’égard des données de santé dans le cadre de la Pandémie Covid19, cette rétrospective a pour objet de présenter les étapes ayant mené à la récente ordonnance du Conseil d’État du 13 octobre 2020, qui fera l’objet de probables rebondissements ultérieurs.

Cette présentation est envisagée en deux temps.

Tout d’abord, dans cette première partie intitulée « Entre réactivité européenne et laisser aller français à l’égard de la protection des données de santé », est exposée la mise en place précipitée de la Plateforme et le choix de recourir à Microsoft en raison de l’urgence de mener des recherches dans sur la pandémie Covid19. En est résulté plusieurs critiques suite à l’arrêt « Schrems II » de la Cour de justice de l’Union européenne du 16 juillet 2020 à propos du transfert des données. Une requête d’un collectif d’associations, de syndicats et de personnalités a mené à la décision du Conseil d’État du 21 septembre 2020 minimisant les contestations.

La seconde partie «Entre mises en gardes persistantes françaises et maintien de Microsoft comme prestataire de la plateforme nationale de données de santé» présentera, courant Novembre 2020, la nouvelle requête engagée le 28 septembre 2020 par des associations, syndicats, personnalités, confortés par les mises en garde de la CNIL, visant à la suspension de la Plateforme nationale des données de santé en raison du choix de Microsoft comme prestataire.  L’ordonnance du Conseil d’État du 13 octobre 2020 confirme son maintien, ainsi que celui de Microsoft, tout en demandant au Heath Data Hub d’apporter des garanties complémentaires.

Partie I – Entre réactivité européenne et laisser aller français à l’égard de la protection des données de santé

La réactivité européenne à travers l’arrêt Shrems II apporte d’importantes restrictions aux transferts des données européennes vers les Etats-Unis. Et pour cause, ces dernières peuvent être utilisées par le Gouvernement par le biais du Cloud Act, à l’insu même des personnes, et sans leur consentement. Pourtant, un certain laisser aller des autorités françaises intervient à travers la persistance de continuer à recourir aux services de Microsoft par le biais de la plateforme française des données de santé le Heath Data Hub.

 

Une première alerte à l’encontre du Heath Data Hub en cours d’installation suite à la conclusion d’un contrat avec l’entreprise Microsoft compte-tenu du Cloud-Act mettant en danger les données de santé nationales

Le rapport Villani de mars 2018 avait préconisé la création d’un « Health Data Hub »[2]. Cet objectif, annoncé par le Président de la République[3], fût réalisé[4], après un rapport de la mission de préfiguration[5],  dès le 29 novembre 2019 par la mise en place, par un arrêté[6], du groupement d’intérêt public « Plateforme nationale des données de santé ». L’article L.1462-1 du code de la santé publique, modifié par la loi n°2019-774 du 24 juillet 2019 relative à l’organisation et à la transformation du système de santé[7], lui donna pour objet essentiel « de réunir, organiser et mettre à disposition les données du système national des données de santé mentionné à l’article L.1461-1 et de promouvoir l’innovation dans l’utilisation des données de santé ». Dès cette époque, le directeur de la Direction de la recherche, des études, de l’évaluation et des statistiques (Dress), Jean-Marc Aubert, principal architecte de la plateforme, démissionna pour rejoindre la société Iqvia, leader mondial de l’exploitation des données, ce qui posa des questionnements en termes de conflits d’intérêts[8].

Après avoir publié fin janvier 2019 son plan stratégique 2019-2022[9], afin de pouvoir « démarrer très vite»[10], les responsables de la Plateforme nationale de données de santé signèrent, le 15 avril 2020, avec la société de droit irlandais Microsoft Ireland Operations Limited, filiale de la société américaine Microsoft Corporation un contrat d’accès à des produits « Microsoft Azure dits Cloud computing » (hébergement de données de santé, logiciels de traitement de ces données). D’importantes critiques surgirent en raison du Clarifying Lawful Overseas Use of Data Act (Cloud-Act)[11], une loi fédérale des Etats-Unis, promulguée le 23 mars 2018, autorisant les forces de l’ordre et les agences de renseignements américains à rapatrier l’ensemble des données personnelles en possession des multinationales américaines sur le territoire américain et ce, sans aucun consentement des personnes intéressées, dans le cadre des enquêtes criminelles (notamment terroristes) et en vue de la protection de l’ordre public. Cette dernière notion étant large d’interprétation, d’importants risques existent pour la protection des données personnelles des ressortissants européens alors même que les données sont hébergées officiellement dans des centre de données situés aux Pays-Bas. Cette possibilité de transfert  s’avère contraire aux dispositions du Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données (RGPD), particulièrement en matière de transfert des données[12]. Le Health Data Hub, faisant appel aux services de Microsoft, il pouvait être imaginable que des données personnelles de santé soient transmises dans le cadre du Cloud-Act. Une telle possibilité constituait une atteinte à la protection des données personnelles de santé des citoyens français. Les critiques se firent d’autant plus manifestes par la création d’un collectif  d’associations, de syndicats et de particuliers.

Un collectif « SantéNathon », créé au moment de l’inauguration du Heath Data Hub pour « informer concernant la gestion des données des français »

Le collectif « SantéNathon »[13], composé de différentes organisations, associations, sociétés, observatoires, syndicats, personnalités, dont le professeur Sicard[14], fût constitué pour « informer concernant la gestion des données de santé des français ».  Ce groupe s’est avéré décisif en termes d’actions et de recours mettant en cause notamment le choix, par le Heath Data Hub, de Microsoft. Dès le 30 janvier 2020, il procéda à l’envoi d’un courrier de « demande et de signalement article 40 alinéa 1er du code de procédure pénale au Ministre de la santé, en vue de la prononciation de la nullité du contrat conclu avec Microsoft Azure ». Il fût à la clé de plusieurs recours, dont le dernier a donné lieu à l’ordonnance du Conseil d’État du 13 octobre 2020. Il commença par contester l’arrêté du 21 avril 2020.

L’arrêté du 21 avril 2020 accélérant la mise en service du Health Data Hub pour faire face aux besoins de l’épidémie de Covid 19

Par l’arrêté du 21 avril 2020, complétant l’arrêté du 23 mars 2020 prescrivant les mesures d’organisation et de fonctionnement du système de santé nécessaire pour faire face à l’épidémie de Covid-19 dans le cadre de l’état d’urgence sanitaire[15], et « aux seules fins de faciliter l’utilisation des données de santé pour les besoins de la gestion de l’urgence sanitaire et de l’amélioration des connaissances sur le virus covid-19 », le groupement d’intérêt public Health Data Hub, fût autorisé à recevoir, sur ce périmètre limité d’interventions, plusieurs catégories de données à caractère personnel telles que les « données issues du système national des données de santé, les données de prises en charge en ville telles que des diagnostics ou des données déclaratives de symptômes issus d’applications mobiles de santé et d’outils de télésuivi, télésurveillance ou télémédecine, des résultats d’examens biologiques réalisés par les laboratoires hospitaliers et les laboratoires de biologie médicale de ville, des données cliniques telles que d’imagerie, de pharmacie, de biologie, de virologie, de compte rendus médicaux de cohortes de patients pris en charge dans des centre de santé en vue de leur agrégation », etc. Il fût toutefois mentionné que cette collecte ne pouvait se faire que concernant « les données nécessaires à la poursuite d’une finalité d’intérêt public en lien avec l’épidémie ». Ainsi « responsable du stockage et de la mise à disposition des données », la Plateforme nationale des données de santé fût aussi autorisée « à croiser les données ». Cet arrêté, octroyant d’importants pouvoirs au Heath Data Hub, fût d’autant plus critiqué que cette plateforme de données de santé recourait à Microsoft, ce qui donna lieu à une réaction plutôt mitigée, voire assez alarmiste de la CNIL.

Le 20 avril 2020, une réaction mitigée, voire alarmiste de la CNIL

Dès le 20 avril 2020, la CNIL publia sa délibération portant avis sur le projet d’arrêté[16]. Outre diverses remarques concernant l’absence de modalités d’information des personnes concernées par les données[17], de la non précision de la nature des données et de leur durée de conservation, des remarques furent apportées à l’égard du contenu des contrats présentés par le Heath Data Hub ne prévoyant « ni la localisation des données, ni l’ensemble des garanties relatives aux modalités d’accès aux données par les administrateurs de l’hébergeur ». Elle rappela par ailleurs « les inquiétudes soulevées à plusieurs reprises par le Comité européen de la protection des données (CEPD)[18] concernant l’accès, par les autorités des États-Unis, aux données transférées, et plus particulièrement la collecte et l’accès aux données personnelles à des fins de sécurité nationale en vertu de l’article 702 de la loi américaine FISA et du décret (« Executive Order) 12 333 ». Compte-tenu du contexte et de la sensibilité des données, la CNIL demanda « qu’une vigilance particulière soit accordée ». En matière de sécurité, elle s’interrogea « sur les conditions de démarrage anticipé de la solution technique dans un contexte où la Plateforme de données de santé a dû accomplir, en quelques semaines, des opérations, dont certaines structurantes, pour garantir la sécurité des données traitées, étaient prévues pour s’étaler sur plusieurs mois ». Elle mit ainsi en garde le Heath Data Hub de « s’assurer que cette mise en œuvre anticipée n’engendre pas de risque supplémentaire pour les personnes concernées ».

Autant dire que compte-tenu des observations apportées par la CNIL, celle-ci semblait considérer que ce projet était précipité, voire même risqué, particulièrement en termes de sécurité des données sensibles, cette vision réservée, pour ne pas dire alarmiste étant relayée par la rébellion de certains hôpitaux.

La rébellion du 30 avril 2020 de certains hôpitaux

Suite à l’arrêté du 21 avril 2021, le 30 avril de 2020, une pétition fût lancée pour « la constitution d’un écosystème universitaire, médiatique, juridique, associatif, politique pour réaffirmer les valeurs d’autonomie et des « communs » et, pour faire naître un large débat de société »[19]. Considérant que le contrat conclu entre le Heath Data Hub et Microsoft constituait une « privatisation des données de santé », ce collectif préconisa le recours à des entrepôts de données comme le font déjà les hôpitaux, ainsi qu’à des acteurs français du cloud comme par exemple la société OVH[20], ou encore par la création d’un « cloud européen », ces possibilités constituant « une opportunité d’unir les efforts pour construire la médecine de demain, libre, interopérable, sécurisée et indépendante ». Et de conclure par le fait que « les données de santé sont à la fois un bien d’usage des patients et le patrimoine inaliénable de la collectivité », ce collectif affirma la nécessité de garder le contrôle sur les technologies déployées (algorithmes transparents, infrastructures autonomes), et d’empêcher toute manœuvre ayant pour finalité la privatisation de la santé. Elle déclara qu’ « au moment où les risques de surveillance de masse sont toujours plus d’actualité et où le gouvernement souhaite utiliser les données personnelles pour lutter contre le coronavirus, il est venu le temps d’établir notre autonomie numérique. Nous appelons à une information et à une mobilisation citoyenne large ». Dans la lignée de ce manifeste des professions de santé revendiquant plus d’attention et de précautions, fût engagé un recours collectif des 18 associations, syndicats et personnalités contestant l’arrêté du 21 avril 2020.

Le 28 mai 2020, le recours du collectif des 18 associations, syndicats et personnalités contestant l’arrêté du 21 avril 2020

Suite à un courrier envoyé en mars 2020 au Ministère de la santé resté sans réponse, le collectif d’associations, de syndicats et de personnalités saisit le Conseil d’État en référé-liberté sur le fondement de l’article L.521-2 du code de justice administrative, aux fins d’ordonner toutes mesures utiles pour faire cesser les atteintes graves et manifestement illégales portées au droit au respect de la vie privée et au droit à la protection des données. Il enjoint le ministère des solidarités et de la santé de suspendre l’exécution de l’arrêté du 21 avril 2020 confiant au Heath Data Hub la collecte et le traitement des données de santé en contestant notamment la légalité du choix de Microsoft pour l’hébergement des données de santé, en l’absence des certifications nécessaires, et sans mise en concurrence de manière transparente par des appels d’offres. Il insista aussi sur l’absence manifeste de volonté stratégique de l’État de recourir aux entreprises françaises du logiciel libre et de l’opensource. Le collectif évoqua que l’arrêté portait une atteinte grave et manifestement illégale aux libertés en termes de traitement des données, d’anonymisation de celles-ci, de droits des personnes, d’indépendance de la gouvernance de la plateforme et de sécurisation de l’accès des sous-traitants, ainsi que l’absence de garanties contre un éventuel transfert vers les Etats-Unis. Au surplus, quelques jours plus tard, le collectif mis l’accent sur la portabilité non assurée, alors même que la déclaration publique du Heath Data Hub au Conseil d’État le 11 juin 2020 précisait que la portabilité des services entre fournisseurs distincts était assurée par le logiciel libre Terraform qui pourtant ne garantit pas cette possibilité. L’action en Conseil d’État n’eut pourtant pas les retombées attendues et revendiquées.

La décision du Conseil d’État du 19 juin 2020[21] ne considérant aucune atteinte grave et illégale au respect de la vie privée et au droit à la protection des données personnelles

Le Conseil d’État, par sa décision du 19 juin 2020, écarta les différents griefs en considérant « qu’il n’apparaît pas, en l’état de l’instruction, que la mise en œuvre de l’arrêté du ministre des solidarités et de la santé du 21 avril 2020, complétant l’arrêté du 23 mars 2020 prescrivant les mesures d’organisation et de fonctionnement du système de santé nécessaire pour faire face à l’épidémie de covid-19 dans le cadre de l’état d’urgence sanitaire, en ce qu’il confie la collecte et le traitement de données de santé à la Plateforme des données de santé porte une atteinte grave et manifestement illégale au droit au respect de la vie privée et au droit à la protection des données personnelles ». Cette décision fait écho au mémoire de défense du 7 juin 2020 où le ministre soutenait qu’il n’était porté aucune atteinte grave et manifestement illégale au droit au respect à la vie privée et au droit à la protection des données personnelles. Cette décision fut à contrecourant de l’arrêt Shrems II.

Un coup d’arrêt aux risques de transferts de données vers les États-Unis par la Cour de Justice de l’Union européenne à l’occasion de l’arrêt « Schrems II » du 16 juillet 2020

Alors même que les mises en gardes à l’égard du recours au Heath Data Hub se faisaient de plus en plus importantes, la Cour de Justice de l’Union Européenne (CJUE), par sa décision du 16 juillet 2020 Data Protection Commissioner Contre Facebook Ireland Ltd, Maximillian Schrems[22] invalida le bouclier de protection des données, le « privacy Shield »[23], accord conclu le 2 février 2016 qui avait pour objet le maintien des accords commerciaux entre la Commission européenne[24] et les Etats-Unis en assurant un niveau de protection renforcé des données à caractère personnel des ressortissants européens transférées vers les Etats-Unis[25].

Cet accord faisait suite à l’arrêt « Schrems I »[26] ayant invalidé l’accord Safe Harbor qui permettait aux entreprises étatsuniennes s’y soumettant de transférer les données des ressortissants de l’Union vers les Etats-Unis. Sur le fondement de l’article 46 Paragraphes 1 et 2 du RGPD, elle précisa notamment que, « dans le cas où les droits des personnes dont les données à caractère personnel sont transférées vers un pays tiers, celles-ci doivent bénéficier d’un niveau de protection substantiellement équivalent à celui garant au sein de l’Union européenne. A cet effet, l’évaluation du niveau de protection assuré doit, notamment prendre en considération tant les stipulations contractuelles convenues entre le responsable du traitement ou son sous-traitant établis dans l’Union européenne, et le destinataire du transfert établi dans le pays tiers concerné que, en ce qui concerne un éventuel accès des autorités publiques de ce pays aux données à caractère personnel ainsi transférées, les éléments pertinents du système juridique de celui, notamment ceux énoncés à l’article 45, Paragraphe 2 du règlement ».

Cet arrêt posa un coup d’arrêt aux transfert des données hors de l’Union européenne, notamment vers les États-Unis, si un niveau de protection équivalent n’était pas accordé par leur législation. Ceci n’empêche pas par conséquent les entreprises américaines de s’adapter aux exigences de la réglementation européenne concernant la protection des données personnelles (RGPD), et de tenir compte des clauses contractuelles types de la Commission européenne qui ne sont pas remises en cause, mais qui ne se suffisent pas à elles-mêmes[27] puisque le système juridique du pays tiers doit garantir le niveau minimal de protection exigé par l’Union européenne. L’idée est de limiter le possible accès aux autorités publiques des données transférées par le biais des entreprises américaines[28].

A la suite de cet arrêt, les critiques[29] redoublèrent à l’égard du Heath Data Hub concernant le choix de la société Microsoft, compte-tenu des risque pris en matière de protection des données de santé. Les entreprises françaises reprochèrent par ailleurs une telle décision ne privilégiant ni la souveraineté nationale, ni les intérêts économiques nationaux. Le Ministère, n’y voyant pas d’urgence, répétait que le choix de Microsoft avait été opéré pour des raisons de rapidité et d’efficacité. Les responsables de la Plateforme jugèrent néanmoins nécessaire d’envisager un avenant contractuel compte-tenu des prescriptions de l’arrêt schrems II.

La conclusion d’un avenant contractuel le 3 septembre 2020 entre la plateforme des données de santé et Microsoft

Afin de répondre aux exigences de l’arrêt Schrems II et de limiter les critiques, la Plateforme des données de santé et la société Microsoft Ireland Opérations Limited conclurèrent un avenant précisant que cette dernière « ne traitera pas les données de la Plateforme en dehors de la zone géographique spécifiée par celle-ci sans son approbation, et que dans l’hypothèse où un accès aux données serait nécessaire pour les besoins des opérations d’exploitation des services en ligne et de résolution d’incidents menées par Microsoft depuis un lieu extérieur à cette zone, il serait soumis à l’autorisation préalable de la Plateforme ». Cet avenant, manifestant la volonté des responsables du Heath Data Hub, de tenir compte des demandes de la Cour de justice de l’Union européenne, n’apparut toutefois pas suffisant puisqu’il fût suivi d’une requête de plusieurs associations, syndicats et particuliers auprès du Conseil d’État.

Le 16 septembre 2020, le recours du collectif d’associations de syndicats et de particuliers contestant le choix, par la Plateforme nationale de données de santé, de Microsoft soumis au Cloud Act

Le collectif d’associations, de syndicats et de personnalités engagea auprès du Conseil d’État un recours mettant en cause le choix, sans appel d’offre, par le Heath Data Hub, de Microsoft soumis au Cloud Act, alors même que les données de sante sont sensibles et couvertes par le secret médical. Cette action n’eut aucun effet sur le Conseil d’État, minimisant les risques invoqués.

Le Conseil d’État, à l’occasion d’une décision en référé du 21 septembre 2020, minimisant les contestations du recours à Microsoft

Le Conseil d’État, en se prononçant en référé, et non sur le fond, ne considéra pas que la requête présentait un caractère urgent et qu’il leur fallait (les associations, syndicats et particuliers) agir par le biais d’une procédure normale. Il déclara qu’« il n’apparaît pas que l’arrêté (…) porte une atteinte grave et manifestement illégale au droit au respect de la vie privée et au droit à la protection des données personnelles ». Cette décision ne sembla pas convaincre le Conseil d’administration l’Assurance Maladie qui, saisit pour avis sur un projet de décret, communiqua le 24 septembre 2020, sa décision de surseoir à délibérer en attentant la position de la CNIL et en insistant sur la nécessité de privilégier une « solution souveraine » pour l’hébergement des données[30].

Pour sa part, le collectif d’associations, de syndicats et de personnalités déposa, dans la foulée, une nouvelle requête le 28 septembre 2020.

Lire la deuxième partie de cet article le mois prochain.

 


Pour aller plus loin :

[1] benedictebeviere@hotmail.com

[2] B. Bévière Boyer, « Le défi de la santé transformée par l’intelligence artificielle : rapport Villani du 5 avril 2018 », Revue générale de droit médical (RGDM), n°67, Rubrique Ethique et droit du vivant, Les Etudes Hospitalières, Juin 2018, p.177-180, 3p. 

[3] Cette annonce a eu lieu le 29 mars 2018 au Collège de France à l’occasion de la remise du rapport Villani.

[4] Communiqué de presse de la création du Health Data Hub : Ministère des solidarités et de la santé, 2 déc 2019, 

[5] Rapport de la Mission de préfiguration Health Data Hub, 12 octobre 2018, 

[6] Arrêté du 29 novembre portant approbation d’un avenant à la convention constitutive du groupement d’intérêt public « Institut national des données de santé » portant création du groupement d’intérêt public « Plateforme des données de santé », JORF n°0278 du 30 novembre 2019, Texte n°13, 

[7] JORF n°0172 du 26 juillet 2019.

[8] S. Foucart, S. Horel, « Données de santé : conflit d’intérêts au cœur de la nouvelle plateforme », Le Monde, 24 déc 2919, 

[9] Heath Data Hub, Plan stratégique 2010-2022,

[10] Le gouvernement a considéré que Microsoft était « le seul capable de répondre aux prérequis au moment où la consultation a été faite » in « Données de santé : Cédric O veut rapatrier le Heath Data Hub hébergé par Microsoft », AFP, FrenchWeb, 08/10/2020, 

[11] Liens d’accès :  DIVISION V—CLOUD ACT    ; The CLOUD Act ; Projets de loi connexes: HR4943 – 115e Congrès (2017-2018)

[12] Articles 44, 45, 46, 47, 48 du RGPD.

[13] Lien internet du collectif : Pour la liste des requérants et les coordonnées des avocats: in Communiqué de presse « La France transfère-telle illégalement nos données aux États-Unis ? », InterHop,

[14] Composition

[15] JORF n°0098 du 22 avril 2020, Texte 8.

[16] Délibération n° 2020-044 du 20 avril 2020 portant avis sur un projet d’arrêté complétant l’arrêté du 23 mars 2020 prescrivant les mesures d’organisation et de fonctionnement du système de santé nécessaires pour faire face à l’épidémie de covid-19 dans le cadre de l’état d’urgence sanitaire (demande d’avis n° 20006669),

[17] alors même qu’en vertu de l’article L.1462-1 du code de la santé publique, modifié par la loi n°2019-774 du 24 juillet 2019, la Plateforme des données de santé a pour mission « d’informer les patients, de promouvoir et de faciliter leurs droits, en particulier concernant les droits d’opposition dans le cadre du 1° du I de l’article L.1461-3 ».

[18] CEPD, “Frequently Asked Questions on the judgment of the Court of Justice of the European Union in Case C-311/18 – Data Protection Commissioner v Facebook Ireland Ltd and Maximillian Schrems”, 23 juillet 2020 ; Traduction en français par la CNIL

[19] InterHop, « Le gouvernement contraint les hôpitaux à abandonner vos données chez Microsoft », 

[20] Site internet de OVHCloud 

[21] CE, 19 juin 2020, Plateforme Heath Data Hub,

[22] Mr M. Shrems, à l’origine du contentieux, a fondé l’association Noyb (« My Privacy is None of Your Business ») 

Rapport ayant interrogé plusieurs entreprises sur les incidences de l’arrêt Schrems II : Ce rapport fait état que Microsoft affirme qu’il est toujours possible de transférer les données personnelles vers les Etats-Unis en vertu des clauses contractuelles types.

Le 20 juillet 2020 Noyb a fourni des lignes directrices et des modèles de demandes pour aider les entreprises à envoyer aux partenaires américains ou aux partenaires de l’Union européenne ayant des liens avec les Etats-Unis ;  Le 17 août 2020, 101 plaintes ont été déposées sur les transferts UE-USA à la fois contre des entreprises européennes opérant des transferts des données vers Facebook et Google et contre ces deux entreprises

[23] CJUE, Grande Chambre, 16 juillet 2020, Data Protection Commissioner c/ Facebook Ireland Ltd, Maximillian Schrems, affaire C‑311/18,

C. Crichton, « Transfert de données vers les USA : l’arrêt Schems II », D. Actualité, 22 juillet 2020, ; F. Jault-Seseke, « Quel avenir pour le transfert international des données personnelles après le nouvel arrêt Schrems ? », Le club des juristes, 24 juillet 2020, ; Invalidation of the “Privacy shield”: the CNIL and its counterparts are currently analysing its consequences

Site du PrivacyShield comprenant les organismes autocertifiés

[24] Pour une autoévaluation de la Commission avant l’arrêt Shrems : COM/ 2020/264 – 24 juin 2020, Communication de la Commission au Parlement européen et au Conseil, « La protection des données en tant que pilier de l’autonomisation des citoyens et l’approche de l’UE en matière de transition numérique – deux ans d’application du règlement général sur la protection des données, ; Commission report: EU data protection rules empower citizens and are fit for the digital age

[25] Cette protection renforcée avait été établie sur le principe d’un mécanisme d’autocertification des entreprises américaines. Pour une analyse critique de cet accord: C. Castet-Renard, « Adoption du Privacy Shield : des raisons de douter de la solidité de cet accord », D. IP/IT, 2016. 444,  

[26] Par l’arrêt Schrems I, la Cour de justice européenne (CJUE), le 6 octobre 2015, aff. C-362/14avait invalidé le Safe Harbor, un accord conclu entre la Commission européenne et les Etats-Unis le 26 juillet 2000, par la décision 2000/520/CE, permettant aux entreprises américaines s’y soumettant de transférer les données personnelles des ressortissants de l’Union vers les Etats-Unis : D. IP/IT 2016. 26, étude C. Théard-Jallu, J-M. Job et S. Mintz ; D 2016, 111, note B. Haftel ; AJDA 2015. 2257, chron. E. Broussy, H. Cassagnabère, C. Gänser.

[27] Dans sa nouvelle décision, la CJUE a néanmoins considéré comme valides les clauses contractuelles types de la Commission européenne (CCT/CSC). Pour des explications de la CNIL sur ces clauses ; Sur le sujet: E. Daoud, « Conformité au droit de l’Union européenne des clauses contractuelles types et invalidation du « Privacy Shield », Edition Législatives, Veille permanente, 16/07/2020,

Le Comité européen de la protection des données (EDPB), « Déclaration sur l’arrêt de la Cour de justice de l’Union européenne dans l’affaire C-311/18 – Commissaire à la protection des données contre Facebook Ireland et Maximillian Schrems », 17 juillet 2020, considère notamment que « si les CSC restent valables, la CJUE souligne la nécessité de veiller à ce que ceux-ci maintiennent, dans la pratique, un niveau de protection essentiellement équivalent à celui garanti par le RGPD à la lumière de la Charte de l’UE. L’évaluation de la question de savoir si les pays auxquels les données sont envoyées offrent une protection adéquate relève principalement de la responsabilité de l’exportateur et de l’importateur, lorsqu’ils envisagent d’entrer dans les SCC. Lors de cette évaluation préalable, l’exportateur (si nécessaire, avec l’assistance de l’importateur) prendra en considération le contenu des CCS, les circonstances spécifiques du transfert, ainsi que le régime juridique applicable dans le pays de l’importateur. L’examen de ce dernier doit être effectué à la lumière des facteurs non exhaustifs énoncés à l’article 45, paragraphe 2, du RGPD ». Pour consulter le FAQ de l’EDPB du 23 juillet 2020 confirmant l’invalidation du Privacy Shield auquel il n’est plus possible de se rapporter

En pratique, du point de vue de Microsoft, Charles Calestroupat, directeur de l’entité Secteur Public de Microsoft a affirmé à l’Usine Digitale : « Les données à froid restent sur le territoire européen. Seules les données de supervision vont aux Etats-Unis potentiellement », affirmation relativement floue qui n’apporte pas réellement de garanties juridiques spécifiques, A. Vitard, « L’Assurance maladie refuse de statuer sur le Heath Data Hub », L’Usine Digitale, 24 septembre 2020,

[28] Ceci peut être appréhendé comme une incitation par les autorités européennes auprès des autorités américaines de changer leur législation, mais aussi comme une « guerre commerciale » par les autorités américaine.

[29] Le 11 Août 2020, une pétition a été lancée auprès du Sénat par Mathieu Lionel et Jean René Cheret : « Souveraineté numérique : la gestion de nos données médicales doit nous mobiliser », seulement 123 personnes ont signé, 

[30] Le Figaro avec l’AFP, « Le mégafichier des données de santé française fait débat à l’Assurance maladie », 24 septembre 2020,

Nous remercions vivement le  Bénédicte BEVIERE-BOYER Docteure en Droit, Maître de Conférences-HDR en Droit Privé à l’UFR de l’Université de Paris 8 , co-directrice scientifique du Cycle « Numérique, Droit et Société » à la Cour de Cassation, de portée nationale et internationale, organisatrice de colloques sur des thématiques d’actualité en rapport avec le Droit de la Santé  en collaboration avec les Universités chinoises et québécoises, pour partager son expertise professionnelle pour nos fidèles lecteurs de http://www.managersante.com

Biographie de Bénédicte BEVIERE-BOYER, :
Bénédicte BEVIERE-BOYER est Maître de conférences-HDR en droit privé à l’Université de Paris 8 et rattachée au Centre de recherches juridiques de Paris 8. Ses travaux de recherches portent principalement dans le domaine du droit de la bioéthique, l’éthique et le numérique. Elle a écrit plus de 60 articles et 70 chroniques d’actualités sur la recherche, l’innovation, le numérique, les données de santé, la relation de soins, les principes fondamentaux protecteurs de la personne, la vulnérabilité, les dons d’organes, l’AMP et le DPI, la recherche sur l’embryon, le diagnostic préimplantatoire, la médecine personnalisée, l’IA et les systèmes de santé, le principe de garantie humaine, etc.
Elle a pour prédilection les recherches pluri et inter-disciplinaires. Elle organise régulièrement des colloques sur des thématiques d’actualité en rapport avec le droit de la santé, le numérique, la personne (Médecine personnalisée, Big Data, Humain en transformation – transhumanisme, Vieillissement, souveraineté numérique, responsabilité numérique), en collaboration avec des Universités chinoises et québécoises. Elle organise actuellement un cycle de conférences à la Cour de cassation sur « Numérique, Droit et société » 2020-2022.
Elle dirige le M1 Droit de la santé. Ses cours sont axés sur le droit de la santé: droits des patients, droit de la recherche et droit du numérique. Elle enseigne aussi l’éthique dans le domaine des assurances, ainsi que la méthodologie du mémoire. Elle a enseigné dans les différentes années du cursus universitaire français (LMD) essentiellement en droit privé général et en droit des affaires.

DERNIER OUVRAGE PUBLIE

 co-écrit & co-dirigé par Bénédicte BEVIERE-BOYER

En exclusivité sur ManagerSante.com, nous avons le plaisir de vous informer de la publication  de l’ouvrage du cycle de conférences de Droit et Bioéthique 2019 


Résumé de l’ouvrage : 
La bioéthique s’intéresse aux questions éthiques soulevées par les progrès techno-scientifiques. La loi a vocation à encadrer ces progrès afin de s’assurer que la science reste au service de la personne et non l’inverse.
C’est dans cette optique qu’ont été adoptées les différentes lois bioéthiques en 1994. Parce que la médecine est en constante évolution, ces lois font l’objet d’un réexamen régulier.
La prochaine révision sera sans doute l’occasion de combler les lacunes ou imperfections de la loi auxquelles le juge est régulièrement confronté. Les progrès de la médecine concernent tous les stades de la vie de la personne.
Ses incidences juridiques peuvent être mesurées de la conception à la mort de la personne.
Cet ouvrage est issu des actes du cycle de conférences de l’année 2019, à la Cour de cassation.

Cycle Numérique, droit et société – 2020-2021

avec Bénédicte BEVIERE-BOYER

Grand’chambre de la Cour de Cassation 
5 quai de l’Horloge
75001 Paris
Entrée libre
Télécopie : 01 44 32 78 28
http://www.courdecassation.fr

 

TÉLÉCHARGEMENT

DU PROGRAMME 2020/2021

CALENDRIER 2020/21 : en ligne 

INSCRIPTION GRATUITE

OBLIGATOIRE 

Présentation du Cycle : 

“Si le droit, et notamment celui de la responsabilité, a réussi à s’adapter à plusieurs reprises au cours de son histoire aux progrès, il est aujourd’hui confronté à la rapidité de développement des technologies numériques.

Maintenant, l’heure est à l’avènement de l’intelligence artificielle par le biais des objets connectés et du traitement massif de données (les mégadonnées ou « big data » en anglais). Ces nouvelles applications posent évidemment de multiples questions nouvelles (responsabilité, protection des données et de la vie privée, utilisation dans les relations contractuelles…). Reste à déterminer si les premières règles dégagées par la jurisprudence à propos de l’internet seront appliquées à ces nouvelles hypothèses ou si le juge devra à nouveau faire œuvre de création. Cela d’autant que le législateur est assez peu enclin à légiférer en la matière afin de ne pas freiner, par un régime trop strict, le développement des acteurs économiques intervenant dans le domaine du numérique.

Le nombre d’affaires dont la Cour de cassation aura à connaître au cours des prochaines années invite à la réflexion, afin de mieux saisir les dimensions techniques de ces nouvelles technologies et dans l’objectif d’anticiper, par une étude des solutions actuellement dégagées, sur les éventuelles questions qui pourront se poser lors de l’examen des pourvois à venir.

 


DÉCOUVREZ NOTRE NOUVELLE CHAÎNE YOUTUBE

youtube.com/c/ManagerSante

 

Prochain webinar, en accès libre, Mardi 20 Octobre 2020 à 18 heures

 


Et suivez l’actualité sur ManagerSante.com, 

GIF grand format 08 08 2020

Vous aimez notre Site média ?

Cliquez sur les étoiles et votez :

five-stars

FESTIVAL DE LA COMMUNICATION SANTE Visuel ManagerSante MAJ 01 08 2019 Version 5

 

Laisser un commentaire

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.