Expertises des Systèmes d'information - Février 2020 - N°454 - Le mensuel du droit de l'informatique et du multimédia - 73

(H.R.4943) bipartisane, votée par
le 115ème Congrès américain et
promulguée le 23 mars 2018 par le
Président Donald Trump.

en dehors de toute convention
internationale, sans le consentement de la personne concernée, et
sans aucune garantie.

Cette réglementation permet aux
autorités d'enquêtes et de poursuites
américaines de demander l'accès
à toute donnée numérique stockée
par un fournisseur de service Cloud
présentant un « lien suffisant » avec
les Etats-Unis, et susceptible d'intéresser les autorités dans le cadre
d'une enquête. Le plus souvent, cette
demande d'accès et de captation de
données, est endossée par un juge.
Cependant, il est des cas où cette
ingérence est opérée hors de tout
cadre judiciaire. Enfin, et tel que
rapporté par Edward Snowden5, il
n'est jamais exclu que les données
et bases de données constituées
à partir de ces accès contrôlés,
donnent ensuite lieu à une utilisation détournée.

L'obtention d'une certification HDS
par un prestataire américain ne
protège pas les citoyens français
d'un tel transfert, qui pourrait
s'opérer sans leur consentement et
même sans qu'ils en soient informés,
dès lors que le prestataire a accès à
leurs données et donc se trouve en
position d'avoir à répondre à une
demande des autorités américaines.

Pour mémoire, cette demande
d'accès et de captation, dans la
mesure où elle répond notamment
à une lutte légitime contre le
terrorisme international, se fait
indépendamment de la nationalité
des personnes concernées et de
la localisation des données. Il est
également établi que les prestataires concernés par ce «  partenariat public - privé  » légalisé par
la loi américaine6, sont toutes
des « US Persons », c'est-à-dire non
seulement toutes sociétés établies
sur le sol nord-américain, y compris
les filiales européennes des maisons
mères, mais également les filiales
des sociétés européennes.
En résumé, il est donc possible
pour les autorités américaines de
demander l'accès et la captation de
données concernant des citoyens
français, pour des informations
hébergées en France, à un prestataire américain, tel que Microsoft
Corporation.
Le Cloud Act outrepasse la réglementation européenne et notamment le
RGPD en permettant le transfert de
données personnelles de citoyens
français
vers
les
Etats-Unis,

Si cette certification apporte des
garanties de sécurités techniques,
sur la structure d'hébergement,
elle ne peut donc prémunir des
ingérences extérieures.
Face à ce risque réel, on peut se
demander s'il est possible, par
contrat, de protéger voire d'interdire le transfert des données des
citoyens français dans ce cadre. La
réponse est à notre sens négative.
Pour rappel, l'article 6 du code civil
énonce qu'« on ne peut déroger, par
des conventions particulières, aux
lois qui intéressent l'ordre public et
les bonnes mœurs  ». Ce principe
de droit est universel. L'ordre public
prévaut toujours sur le contrat,
expression de la volonté de deux
personnes. Le Cloud Act, considéré
comme loi étatique et d'ordre public,
ne devrait donc pas pouvoir être
détourné ou mis en échec par un
contrat.

tiers de confiance des données pour
le Cloud de Microsoft en Allemagne,
en prenant la responsabilité de
protéger les données des clients de
Microsoft7.
Le choix de Microsoft par le
gouvernement est probablement
justifié par le fait que le prestataire
est de bonne qualité, c'est certain,
et surtout, comme l'a reconnu le
gouvernement lui-même, qu'il est
le seul « capable de répondre à leur
demande ».
Cette situation met une fois de plus
en lumière les difficultés rencontrées par l'Union  européenne
depuis 15 ans, à mettre en place une
politique publique facilitant l'émergence d'acteurs de grandes tailles,
capables de fournir des services
alternatifs aux Gafam. En réalité, les
Gafam ne sont pas à blâmer, c'est
nous,  européens, avec nos contradictions et nos incohérences, qui le
sommes.
Il reste désormais à espérer que
ce type d'initiatives n'ouvrent
pas la porte à des atteintes, même
de bonne foi, aux droits des
personnes concernées résidant
dans l'Union européenne.

Alexandra ITEANU
Avocat
Cabinet ITEANU
Notes
(1)	

La loi n° 2019-774 du 24 juillet 2019 relative
à l'organisation et à la transformation du
système de santé a permis de créer et définir le
GIP Plateforme de données de santé (le Health
data hub). L'arrêté du 29 novembre 2019
définit quant à lui les modalités d'organisation
de cette nouvelle structure.

(2)	

Décret 2018-137 du 26 février 2018

(3)	

Le référentiel de certification fait référence
aux normes ISO 27001 «  système de gestion
de la sécurité des systèmes d'information » et
ISO 20000 « système de gestion de la qualité
des services »

(4)	

Numéro de certification HDS 701569

(5)	

«  Mémoires vices » d'Edward Snowden (Ed ;
du Seuil)

(6)	

Il l'était déjà précédemment, notamment
avec l'USA PATRIOT ACT de novembre 2001,
mais prend une nouvelle ampleur avec cette
nouvelle Loi

(7)	

htt ps : / / w w w.te l e ko m . co m /e n / m e d i a /
media-information/archive/deutsche-telekom-to-act-as-data-trustee-for-microsoftcloud-in-germany-362074

En conclusion
Il est nécessaire que les autorités
publiques françaises, à l'origine du
Health Data Hub, apportent plus de
précisions quant au rôle exact que
jouera Microsoft dans le fonctionnement de la plateforme. Il est toujours
possible d'organiser la prestation
de telle sorte que le prestataire ne
puisse ni avoir accès ni extraire
des données de la plateforme qu'il
opère. En Allemagne par exemple,
l'opérateur Deutsch Telecom a
passé un accord avec Microsoft, aux
termes duquel l'opérateur allemand
intervient comme «  data trustee  »,
EXPERTISES Février 2020

73


https://www.telekom.com/en/media/media-information/archive/deutsche-telekom-to-act-as-data-trustee-for-microsoftcloud-in-germany-362074

Expertises des Systèmes d'information - Février 2020 - N°454 - Le mensuel du droit de l'informatique et du multimédia

Table des matières de la publication Expertises des Systèmes d'information - Février 2020 - N°454 - Le mensuel du droit de l'informatique et du multimédia

Couverture
Editorial & Sommaire
FOCUS - ETHIQUE / RÉGLEMENTATION : BATAILLE TRANSATLANTIQUE
EN BREF - L'INFORMATION RAPIDE SUR LE MONDE DU NUMÉRIQUE
MAGAZINE - L'INFORMATION LÉGALE ET JURISPRUDENTIELLE DU NUMÉRIQUE
INTERVIEW - La robustesse de la PI face à l’IA
DOCTRINE
PROPRIÉTÉ INTELLECTUELLE - BREVETABILITÉ DES INVENTIONS MISES EN OEUVRE PAR ORDINATEUR
DONNÉES PERSONNELLES - LE CALIFORNIA CONSUMER PRIVACY ACT : BEAUCOUP DE BRUIT POUR RIEN ?
DONNÉES PERSONNELLES - HEALTH DATA HUB HÉBERGÉ PAR MICROSOFT : ET LE CLOUD ACT ?
LOGICIEL - VIOLATIONS DE LICENCES : LE DROIT DE LA CONTREFAÇON S’APPLIQUE
E-COMMERCE - LE DÉMARCHAGE À L’HEURE DE LA TRANSFORMATION DIGITALE
Expertises des Systèmes d'information - Février 2020 - N°454 - Le mensuel du droit de l'informatique et du multimédia - Couverture
Expertises des Systèmes d'information - Février 2020 - N°454 - Le mensuel du droit de l'informatique et du multimédia - Editorial & Sommaire
Expertises des Systèmes d'information - Février 2020 - N°454 - Le mensuel du droit de l'informatique et du multimédia - FOCUS - ETHIQUE / RÉGLEMENTATION : BATAILLE TRANSATLANTIQUE
Expertises des Systèmes d'information - Février 2020 - N°454 - Le mensuel du droit de l'informatique et du multimédia - EN BREF - L'INFORMATION RAPIDE SUR LE MONDE DU NUMÉRIQUE
Expertises des Systèmes d'information - Février 2020 - N°454 - Le mensuel du droit de l'informatique et du multimédia - 45
Expertises des Systèmes d'information - Février 2020 - N°454 - Le mensuel du droit de l'informatique et du multimédia - 46
Expertises des Systèmes d'information - Février 2020 - N°454 - Le mensuel du droit de l'informatique et du multimédia - 47
Expertises des Systèmes d'information - Février 2020 - N°454 - Le mensuel du droit de l'informatique et du multimédia - 48
Expertises des Systèmes d'information - Février 2020 - N°454 - Le mensuel du droit de l'informatique et du multimédia - 49
Expertises des Systèmes d'information - Février 2020 - N°454 - Le mensuel du droit de l'informatique et du multimédia - MAGAZINE - L'INFORMATION LÉGALE ET JURISPRUDENTIELLE DU NUMÉRIQUE
Expertises des Systèmes d'information - Février 2020 - N°454 - Le mensuel du droit de l'informatique et du multimédia - 51
Expertises des Systèmes d'information - Février 2020 - N°454 - Le mensuel du droit de l'informatique et du multimédia - 52
Expertises des Systèmes d'information - Février 2020 - N°454 - Le mensuel du droit de l'informatique et du multimédia - 53
Expertises des Systèmes d'information - Février 2020 - N°454 - Le mensuel du droit de l'informatique et du multimédia - 54
Expertises des Systèmes d'information - Février 2020 - N°454 - Le mensuel du droit de l'informatique et du multimédia - 55
Expertises des Systèmes d'information - Février 2020 - N°454 - Le mensuel du droit de l'informatique et du multimédia - INTERVIEW - La robustesse de la PI face à l’IA
Expertises des Systèmes d'information - Février 2020 - N°454 - Le mensuel du droit de l'informatique et du multimédia - 57
Expertises des Systèmes d'information - Février 2020 - N°454 - Le mensuel du droit de l'informatique et du multimédia - 58
Expertises des Systèmes d'information - Février 2020 - N°454 - Le mensuel du droit de l'informatique et du multimédia - 59
Expertises des Systèmes d'information - Février 2020 - N°454 - Le mensuel du droit de l'informatique et du multimédia - 60
Expertises des Systèmes d'information - Février 2020 - N°454 - Le mensuel du droit de l'informatique et du multimédia - 61
Expertises des Systèmes d'information - Février 2020 - N°454 - Le mensuel du droit de l'informatique et du multimédia - PROPRIÉTÉ INTELLECTUELLE - BREVETABILITÉ DES INVENTIONS MISES EN OEUVRE PAR ORDINATEUR
Expertises des Systèmes d'information - Février 2020 - N°454 - Le mensuel du droit de l'informatique et du multimédia - 63
Expertises des Systèmes d'information - Février 2020 - N°454 - Le mensuel du droit de l'informatique et du multimédia - 64
Expertises des Systèmes d'information - Février 2020 - N°454 - Le mensuel du droit de l'informatique et du multimédia - 65
Expertises des Systèmes d'information - Février 2020 - N°454 - Le mensuel du droit de l'informatique et du multimédia - DONNÉES PERSONNELLES - LE CALIFORNIA CONSUMER PRIVACY ACT : BEAUCOUP DE BRUIT POUR RIEN ?
Expertises des Systèmes d'information - Février 2020 - N°454 - Le mensuel du droit de l'informatique et du multimédia - 67
Expertises des Systèmes d'information - Février 2020 - N°454 - Le mensuel du droit de l'informatique et du multimédia - 68
Expertises des Systèmes d'information - Février 2020 - N°454 - Le mensuel du droit de l'informatique et du multimédia - 69
Expertises des Systèmes d'information - Février 2020 - N°454 - Le mensuel du droit de l'informatique et du multimédia - 70
Expertises des Systèmes d'information - Février 2020 - N°454 - Le mensuel du droit de l'informatique et du multimédia - 71
Expertises des Systèmes d'information - Février 2020 - N°454 - Le mensuel du droit de l'informatique et du multimédia - DONNÉES PERSONNELLES - HEALTH DATA HUB HÉBERGÉ PAR MICROSOFT : ET LE CLOUD ACT ?
Expertises des Systèmes d'information - Février 2020 - N°454 - Le mensuel du droit de l'informatique et du multimédia - 73
Expertises des Systèmes d'information - Février 2020 - N°454 - Le mensuel du droit de l'informatique et du multimédia - LOGICIEL - VIOLATIONS DE LICENCES : LE DROIT DE LA CONTREFAÇON S’APPLIQUE
Expertises des Systèmes d'information - Février 2020 - N°454 - Le mensuel du droit de l'informatique et du multimédia - 75
Expertises des Systèmes d'information - Février 2020 - N°454 - Le mensuel du droit de l'informatique et du multimédia - 76
Expertises des Systèmes d'information - Février 2020 - N°454 - Le mensuel du droit de l'informatique et du multimédia - E-COMMERCE - LE DÉMARCHAGE À L’HEURE DE LA TRANSFORMATION DIGITALE
Expertises des Systèmes d'information - Février 2020 - N°454 - Le mensuel du droit de l'informatique et du multimédia - 78
Expertises des Systèmes d'information - Février 2020 - N°454 - Le mensuel du droit de l'informatique et du multimédia - 79
Expertises des Systèmes d'information - Février 2020 - N°454 - Le mensuel du droit de l'informatique et du multimédia - 80
https://www.nxtbook.fr/newpress/celog/celog-expertises-2005_457
https://www.nxtbook.fr/newpress/celog/celog-expertises-2004_456
https://www.nxtbook.fr/newpress/celog/celog-expertises-2003_455
https://www.nxtbook.fr/newpress/celog/celog-expertises-2002_454
https://www.nxtbook.fr/newpress/celog/celog-expertises-2001_453
https://www.nxtbook.fr/newpress/celog/celog-expertises-1912_452
https://www.nxtbook.fr/newpress/celog/celog-expertises-1911_451
https://www.nxtbook.fr/newpress/celog/celog-expertises-1910_450
https://www.nxtbook.fr/newpress/celog/celog-expertises-1909_449
https://www.nxtbook.fr/newpress/celog/celog-expertises-1907_448
https://www.nxtbook.fr/newpress/celog/celog-expertises-1906_447
https://www.nxtbook.fr/newpress/celog/celog-expertises-1905_446
https://www.nxtbook.fr/newpress/celog/celog-expertises-1904_445
https://www.nxtbook.fr/newpress/celog/celog-expertises-1903_444
https://www.nxtbook.fr/newpress/celog/celog-expertises-1902_443
https://www.nxtbook.fr/newpress/celog/celog-expertises-1901_442
https://www.nxtbook.fr/newpress/celog/celog-expertises-1812_441
https://www.nxtbook.fr/newpress/celog/celog-expertises-1811_440
https://www.nxtbook.fr/newpress/celog/celog-expertises-1810_439
https://www.nxtbook.fr/newpress/celog/celog-expertises-1809_438
https://www.nxtbook.fr/newpress/celog/celog-expertises-1807_437
https://www.nxtbook.fr/newpress/celog/celog-expertises-1806_436
https://www.nxtbook.fr/newpress/celog/celog-expertises-1805_435
https://www.nxtbook.fr/newpress/celog/celog-expertises-1804_434
https://www.nxtbook.fr/newpress/celog/celog-expertises-1803_433
https://www.nxtbook.fr/newpress/celog/celog-expertises-1802_432
https://www.nxtbook.fr/newpress/celog/celog-expertises-1801_431
https://www.nxtbook.fr/newpress/celog/celog-expertises-1712_430
https://www.nxtbook.fr/newpress/celog/celog-expertises-1711_429
https://www.nxtbook.fr/newpress/celog/celog-expertises-1710_428
https://www.nxtbook.fr/newpress/celog/celog-expertises-1709_427
https://www.nxtbook.fr/newpress/celog/celog-expertises-1707_426
https://www.nxtbook.fr/newpress/celog/celog-expertises-1706_425
https://www.nxtbook.fr/newpress/celog/celog-expertises-1705_424
https://www.nxtbook.fr/newpress/celog/celog-expertises-1704_423
https://www.nxtbook.fr/newpress/celog/celog-expertises-1703_422
https://www.nxtbook.fr/newpress/celog/celog-expertises-1702_421
https://www.nxtbook.fr/newpress/celog/celog-expertises-1701_420
https://www.nxtbook.fr/newpress/celog/celog-expertises-1612_419
https://www.nxtbook.fr/newpress/celog/celog-expertises-1611_418
https://www.nxtbook.fr/newpress/celog/celog-expertises-1610_417
https://www.nxtbook.fr/newpress/celog/celog-expertises-1609_416
https://www.nxtbook.fr/newpress/celog/celog-expertises-1607_415
https://www.nxtbook.fr/newpress/celog/celog-expertises-1606_414
https://www.nxtbook.fr/newpress/celog/celog-expertises-1605_413
https://www.nxtbook.fr/newpress/celog/celog-expertises-1604_412
https://www.nxtbook.fr/newpress/celog/celog-expertises-1603_411
https://www.nxtbook.fr/newpress/celog/celog-expertises-1602_410
https://www.nxtbook.fr/newpress/celog/celog-expertises-1601_409
https://www.nxtbook.fr/newpress/celog/celog-expertises-1512_408
https://www.nxtbook.fr/newpress/celog/celog-expertises-1511_407
https://www.nxtbook.fr/newpress/celog/celog-expertises-1510_406
https://www.nxtbook.fr/newpress/celog/celog-expertises-1509_405
https://www.nxtbook.fr/newpress/celog/celog-expertises-1507_404
https://www.nxtbook.fr/newpress/celog/celog-expertises-1506_403
https://www.nxtbook.fr/newpress/celog/celog-expertises-1502_399
https://www.nxtbookmedia.com