Expertises des Systèmes d'information - Décembre 2020 - N°463 - Le mensuel du droit de l'informatique et du multimédia - 429

que les clauses contractuelles types
demeurent utilisables, « à la condition
que soient prévues des garanties
appropriées et que les personnes
concernées disposent de droits
opposables et de voies de droit
effectives  »4, mais que «  dans
le cas où les autorités publiques
américaines auraient accès, sur le
fondement de l'article 702 du FISA
ou de l'EO 12333, à des données
à caractère personnel transférées
depuis l›Union européenne, les
personnes concernées ne disposeraient pas de droits opposables aux
autorités américaines devant les
tribunaux, sans qu›il apparaisse,
en l'état de l'instruction, que des
garanties appropriées puissent être
prévues pour y remédier  ». Le juge
des référés aborde ainsi la question
cruciale de savoir si les raisons qui
ont mené à l'invalidation du Privacy
Shield, au regard des programmes de
surveillance américains, devraient
ou non produire des effets similaires
pour les clauses contractuelles types
concernant tous les transferts vers
les Etats-Unis. Or, il semble que le
juge des référés du Conseil d'Etat
n'ait pas souhaité trancher ce point,
concluant simplement que « dans ces
conditions, tout transfert de données
personnelles vers les Etats-Unis, par
une entreprise pouvant faire l'objet de
demandes des autorités américaines
sur les fondements mentionnés
ci-dessus, est susceptible de contrevenir par lui-même aux articles 44
et suivants du règlement général
sur la protection des données, sauf
à pouvoir être justifié au regard
de son article 49, qui comporte
des dérogations pour un certain
nombre de situations particulières  ».
Si le juge identifie bien un risque,
concernant «  tout transfert vers les
Etats-Unis  », il réduit immédiatement la portée de cette conclusion.
Tout d'abord, il précise que ce risque
ne concernerait que les transferts
opérés par les entreprises pouvant
faire l'objet de demandes - laissant
ouverte la question des programmes
de surveillance tel qu'Upstream,
visant directement les entreprises
de télécommunications exploitant
la « dorsale » d'Internet et surtout les
accès directs aux câbles sous-marins

de télécommunications posés sur le
plancher de l'Atlantique5. Ensuite, le
juge constate qu'un tel transfert n'est
que «  susceptible  » de contrevenir
à la réglementation, l'emploi de ce
terme étant lourd de sens  : dans la
droite ligne de la décision de la CJUE,
le juge des référés considère qu'une
analyse des risques, au cas par cas,
est nécessaire pour les transferts vers
les Etats-Unis fondés sur les clauses
contractuelles types, sans que
ceux-ci ne soient considérés comme
contrevenant intrinsèquement à la
réglementation.
A ce stade, le juge des référés devait
alors se pencher sur le cas qui lui
était soumis et trancher sur le fait de
savoir si, en l'espèce, compte tenu de
la position de la CJUE, de l'analyse
du contrat effectivement conclu par
le Health Data Hub avec Microsoft
et des garanties proposées par le
ministère de la Santé et Microsoft,
ce transfert pouvait ou non être
considéré comme garantissant le
respect du niveau de protection
requis par le droit européen. Or, le
juge ne se prononce pas.
La possibilité de se prononcer lui
a été en quelque sorte retirée, car
différentes garanties ont été prises
par le Health Data Hub et le ministère
chargé de la Santé pour assurer
l'absence de transferts de données
hors UE dans le cadre du service.
Tout d'abord, depuis la décision du
19 juin 2020, les accès depuis les
Etats-Unis ont fait l'objet de restrictions juridiques et techniques  : ils
sont en effet soumis à l'approbation
préalable du Health Data Hub, via un
dispositif technique d'approbation
au cas par cas, contractualisé depuis
un avenant du 3 septembre 2020. Ces
données pouvant faire l'objet d'accès
depuis les Etats-Unis se limitent à des
données de télémétrie et de facturation, de telle sorte que ces accès ne
seraient pas strictement nécessaires
au fonctionnement du service et
le Health Data Hub ne pourrait se
trouver techniquement contraint
d'autoriser ces accès. A ces garanties
techniques et contractuelles, s'est
ajoutée une mesure réglementaire. Le
ministère de la Santé a pris un arrêté6,
pris au visa de la décision Schrems II,
par lequel tout transfert de données
EXPERTISES Décembre 2020

à caractère personnel, dans le cadre
de l'entrepôt de données Covid-19
du Health Data Hub, est désormais
prohibé7. Ainsi, le Health Data Hub ne
peut faire usage de la faculté d'autorisation des accès par les Etats-Unis qui
lui est octroyée contractuellement
et de tels transferts ne peuvent plus
avoir lieu pour l'entrepôt de données
Covid-19.
Aussi, le juge des référés du Conseil
d'Etat n'a pas pu se prononcer sur
la question qui lui était initialement
posée, les transferts de données
constitués par les accès depuis les
Etats-Unis n'ayant plus lieu. Dans
une certaine mesure, on peut
déplorer cette occasion manquée
de voir le Conseil d'Etat trancher
ce point, qui laisse aux acteurs le
poids de l'évaluation de la licéité des
transferts, à l'issue de la conduite
d'une évaluation du risque dont ils
sont seuls responsables.
D'un autre côté, était-ce vraiment le
rôle du juge de l'urgence, de l'atteinte
grave et manifestement illégale, que
de trancher sur la complexe question
de la licéité de l'utilisation - dans
son principe même - des clauses
contractuelles types pour les services
hébergés aux Etats Unis, alors que
le collège des autorités nationales
de protection des données n'est
pas encore lui-même parvenu à un
consensus sur ce sujet ?

Hébergement dans
l'Union européenne et
accès par les autorités
américaines :
la priorisation
de l'urgence sanitaire
Les requérants avaient, dès le recours
ayant donné lieu à la décision du
19 juin 2020, fondé leur argumentaire sur les risques liés aux accès
par les autorités américaines,
quand bien même les données
seraient hébergées dans les strictes
frontières de l'Union européenne,
sans accès depuis les Etats-Unis.
Deux ensembles de dispositions sont
concernées.
Le premier est le Clarifying Overseas
Use of Data Act du 23 mars 2018
(Cloud Act), dans le cadre duquel

429



Expertises des Systèmes d'information - Décembre 2020 - N°463 - Le mensuel du droit de l'informatique et du multimédia

Table des matières de la publication Expertises des Systèmes d'information - Décembre 2020 - N°463 - Le mensuel du droit de l'informatique et du multimédia

Couverture
SOMMAIRE
Editorial
FOCUS - CYBERCRIMINALITÉ : PAYER UNE RANÇON, UN RISQUE DE SANCTION AMÉRICAINE
EN BREF - L'INFORMATION RAPIDE SUR LE MONDE DU NUMÉRIQUE
MAGAZINE - L'INFORMATION LÉGALE ET JURISPRUDENTIELLE DU NUMÉRIQUE
INTERVIEW - MATCHING PRÉDICTIF : UN RECRUTEMENT BIAISÉ
DOCTRINE
DONNÉES PERSONNELLES - QUATRE MOIS APRÈS SCHREMS 2, L’IMPASSE DEMEURE
CONTENTIEUX - L’ARME CONTRACTUELLE POUR ÉVITER L’EXPERTISE JUDICIAIRE A L’ISSUE INCERTAINES
DONNÉES PERSONNELLES - HEALTH DATA HUB ET TRANSFERTS DE DONNÉES : PORTÉE ET LIMITES DE L’ARRÊT SCHREMS II
DONNÉES PERSONNELLES - MICROSOFT ET HEALTH DATA HUB, RETOUR SUR LA CERTIFICATION HDS
DONNÉES PERSONNELLES - CONSERVATION DES DONNÉES DE CONNEXION : LA CJUE RAPPELLE LES LIMITES
Expertises des Systèmes d'information - Décembre 2020 - N°463 - Le mensuel du droit de l'informatique et du multimédia - Couverture
Expertises des Systèmes d'information - Décembre 2020 - N°463 - Le mensuel du droit de l'informatique et du multimédia - Editorial
Expertises des Systèmes d'information - Décembre 2020 - N°463 - Le mensuel du droit de l'informatique et du multimédia - 403
Expertises des Systèmes d'information - Décembre 2020 - N°463 - Le mensuel du droit de l'informatique et du multimédia - FOCUS - CYBERCRIMINALITÉ : PAYER UNE RANÇON, UN RISQUE DE SANCTION AMÉRICAINE
Expertises des Systèmes d'information - Décembre 2020 - N°463 - Le mensuel du droit de l'informatique et du multimédia - 405
Expertises des Systèmes d'information - Décembre 2020 - N°463 - Le mensuel du droit de l'informatique et du multimédia - EN BREF - L'INFORMATION RAPIDE SUR LE MONDE DU NUMÉRIQUE
Expertises des Systèmes d'information - Décembre 2020 - N°463 - Le mensuel du droit de l'informatique et du multimédia - 407
Expertises des Systèmes d'information - Décembre 2020 - N°463 - Le mensuel du droit de l'informatique et du multimédia - 408
Expertises des Systèmes d'information - Décembre 2020 - N°463 - Le mensuel du droit de l'informatique et du multimédia - 409
Expertises des Systèmes d'information - Décembre 2020 - N°463 - Le mensuel du droit de l'informatique et du multimédia - 410
Expertises des Systèmes d'information - Décembre 2020 - N°463 - Le mensuel du droit de l'informatique et du multimédia - MAGAZINE - L'INFORMATION LÉGALE ET JURISPRUDENTIELLE DU NUMÉRIQUE
Expertises des Systèmes d'information - Décembre 2020 - N°463 - Le mensuel du droit de l'informatique et du multimédia - 412
Expertises des Systèmes d'information - Décembre 2020 - N°463 - Le mensuel du droit de l'informatique et du multimédia - 413
Expertises des Systèmes d'information - Décembre 2020 - N°463 - Le mensuel du droit de l'informatique et du multimédia - 414
Expertises des Systèmes d'information - Décembre 2020 - N°463 - Le mensuel du droit de l'informatique et du multimédia - INTERVIEW - MATCHING PRÉDICTIF : UN RECRUTEMENT BIAISÉ
Expertises des Systèmes d'information - Décembre 2020 - N°463 - Le mensuel du droit de l'informatique et du multimédia - 416
Expertises des Systèmes d'information - Décembre 2020 - N°463 - Le mensuel du droit de l'informatique et du multimédia - 417
Expertises des Systèmes d'information - Décembre 2020 - N°463 - Le mensuel du droit de l'informatique et du multimédia - 418
Expertises des Systèmes d'information - Décembre 2020 - N°463 - Le mensuel du droit de l'informatique et du multimédia - 419
Expertises des Systèmes d'information - Décembre 2020 - N°463 - Le mensuel du droit de l'informatique et du multimédia - DONNÉES PERSONNELLES - QUATRE MOIS APRÈS SCHREMS 2, L’IMPASSE DEMEURE
Expertises des Systèmes d'information - Décembre 2020 - N°463 - Le mensuel du droit de l'informatique et du multimédia - 421
Expertises des Systèmes d'information - Décembre 2020 - N°463 - Le mensuel du droit de l'informatique et du multimédia - 422
Expertises des Systèmes d'information - Décembre 2020 - N°463 - Le mensuel du droit de l'informatique et du multimédia - 423
Expertises des Systèmes d'information - Décembre 2020 - N°463 - Le mensuel du droit de l'informatique et du multimédia - 424
Expertises des Systèmes d'information - Décembre 2020 - N°463 - Le mensuel du droit de l'informatique et du multimédia - CONTENTIEUX - L’ARME CONTRACTUELLE POUR ÉVITER L’EXPERTISE JUDICIAIRE A L’ISSUE INCERTAINES
Expertises des Systèmes d'information - Décembre 2020 - N°463 - Le mensuel du droit de l'informatique et du multimédia - 426
Expertises des Systèmes d'information - Décembre 2020 - N°463 - Le mensuel du droit de l'informatique et du multimédia - 427
Expertises des Systèmes d'information - Décembre 2020 - N°463 - Le mensuel du droit de l'informatique et du multimédia - DONNÉES PERSONNELLES - HEALTH DATA HUB ET TRANSFERTS DE DONNÉES : PORTÉE ET LIMITES DE L’ARRÊT SCHREMS II
Expertises des Systèmes d'information - Décembre 2020 - N°463 - Le mensuel du droit de l'informatique et du multimédia - 429
Expertises des Systèmes d'information - Décembre 2020 - N°463 - Le mensuel du droit de l'informatique et du multimédia - 430
Expertises des Systèmes d'information - Décembre 2020 - N°463 - Le mensuel du droit de l'informatique et du multimédia - 431
Expertises des Systèmes d'information - Décembre 2020 - N°463 - Le mensuel du droit de l'informatique et du multimédia - DONNÉES PERSONNELLES - MICROSOFT ET HEALTH DATA HUB, RETOUR SUR LA CERTIFICATION HDS
Expertises des Systèmes d'information - Décembre 2020 - N°463 - Le mensuel du droit de l'informatique et du multimédia - 433
Expertises des Systèmes d'information - Décembre 2020 - N°463 - Le mensuel du droit de l'informatique et du multimédia - DONNÉES PERSONNELLES - CONSERVATION DES DONNÉES DE CONNEXION : LA CJUE RAPPELLE LES LIMITES
Expertises des Systèmes d'information - Décembre 2020 - N°463 - Le mensuel du droit de l'informatique et du multimédia - 435
Expertises des Systèmes d'information - Décembre 2020 - N°463 - Le mensuel du droit de l'informatique et du multimédia - 436
Expertises des Systèmes d'information - Décembre 2020 - N°463 - Le mensuel du droit de l'informatique et du multimédia - 437
Expertises des Systèmes d'information - Décembre 2020 - N°463 - Le mensuel du droit de l'informatique et du multimédia - 438
Expertises des Systèmes d'information - Décembre 2020 - N°463 - Le mensuel du droit de l'informatique et du multimédia - 439
Expertises des Systèmes d'information - Décembre 2020 - N°463 - Le mensuel du droit de l'informatique et du multimédia - 440
https://www.nxtbook.fr/newpress/celog/celog-expertises-2201_475
https://www.nxtbook.fr/newpress/celog/celog-expertises-2112_474
https://www.nxtbook.fr/newpress/celog/celog-expertises-2111_473
https://www.nxtbook.fr/newpress/celog/celog-expertises-2110_472
https://www.nxtbook.fr/newpress/celog/celog-expertises-2109_471
https://www.nxtbook.fr/newpress/celog/celog-expertises-2107_470
https://www.nxtbook.fr/newpress/celog/celog-expertises-2106_469
https://www.nxtbook.fr/newpress/celog/celog-expertises-2105_468
https://www.nxtbook.fr/newpress/celog/celog-expertises-2104_467
https://www.nxtbook.fr/newpress/celog/celog-expertises-2103_466
https://www.nxtbook.fr/newpress/celog/celog-expertises-2102_465
https://www.nxtbook.fr/newpress/celog/celog-expertises-2101_464
https://www.nxtbook.fr/newpress/celog/celog-expertises-2012_463
https://www.nxtbook.fr/newpress/celog/celog-expertises-2011_462
https://www.nxtbook.fr/newpress/celog/celog-expertises-2010_461
https://www.nxtbook.fr/newpress/celog/celog-expertises-2009_460
https://www.nxtbook.fr/newpress/celog/celog-expertises-2007_459
https://www.nxtbook.fr/newpress/celog/celog-expertises-2006_458
https://www.nxtbook.fr/newpress/celog/celog-expertises-2005_457
https://www.nxtbook.fr/newpress/celog/celog-expertises-2004_456
https://www.nxtbook.fr/newpress/celog/celog-expertises-2003_455
https://www.nxtbook.fr/newpress/celog/celog-expertises-2002_454
https://www.nxtbook.fr/newpress/celog/celog-expertises-2001_453
https://www.nxtbook.fr/newpress/celog/celog-expertises-1912_452
https://www.nxtbook.fr/newpress/celog/celog-expertises-1911_451
https://www.nxtbook.fr/newpress/celog/celog-expertises-1910_450
https://www.nxtbook.fr/newpress/celog/celog-expertises-1909_449
https://www.nxtbook.fr/newpress/celog/celog-expertises-1907_448
https://www.nxtbook.fr/newpress/celog/celog-expertises-1906_447
https://www.nxtbook.fr/newpress/celog/celog-expertises-1905_446
https://www.nxtbook.fr/newpress/celog/celog-expertises-1904_445
https://www.nxtbook.fr/newpress/celog/celog-expertises-1903_444
https://www.nxtbook.fr/newpress/celog/celog-expertises-1902_443
https://www.nxtbook.fr/newpress/celog/celog-expertises-1901_442
https://www.nxtbook.fr/newpress/celog/celog-expertises-1812_441
https://www.nxtbook.fr/newpress/celog/celog-expertises-1811_440
https://www.nxtbook.fr/newpress/celog/celog-expertises-1810_439
https://www.nxtbook.fr/newpress/celog/celog-expertises-1809_438
https://www.nxtbook.fr/newpress/celog/celog-expertises-1807_437
https://www.nxtbook.fr/newpress/celog/celog-expertises-1806_436
https://www.nxtbook.fr/newpress/celog/celog-expertises-1805_435
https://www.nxtbook.fr/newpress/celog/celog-expertises-1804_434
https://www.nxtbook.fr/newpress/celog/celog-expertises-1803_433
https://www.nxtbook.fr/newpress/celog/celog-expertises-1802_432
https://www.nxtbook.fr/newpress/celog/celog-expertises-1801_431
https://www.nxtbook.fr/newpress/celog/celog-expertises-1712_430
https://www.nxtbook.fr/newpress/celog/celog-expertises-1711_429
https://www.nxtbook.fr/newpress/celog/celog-expertises-1710_428
https://www.nxtbook.fr/newpress/celog/celog-expertises-1709_427
https://www.nxtbook.fr/newpress/celog/celog-expertises-1707_426
https://www.nxtbook.fr/newpress/celog/celog-expertises-1706_425
https://www.nxtbook.fr/newpress/celog/celog-expertises-1705_424
https://www.nxtbook.fr/newpress/celog/celog-expertises-1704_423
https://www.nxtbook.fr/newpress/celog/celog-expertises-1703_422
https://www.nxtbook.fr/newpress/celog/celog-expertises-1702_421
https://www.nxtbook.fr/newpress/celog/celog-expertises-1701_420
https://www.nxtbook.fr/newpress/celog/celog-expertises-1612_419
https://www.nxtbook.fr/newpress/celog/celog-expertises-1611_418
https://www.nxtbook.fr/newpress/celog/celog-expertises-1610_417
https://www.nxtbook.fr/newpress/celog/celog-expertises-1609_416
https://www.nxtbook.fr/newpress/celog/celog-expertises-1607_415
https://www.nxtbook.fr/newpress/celog/celog-expertises-1606_414
https://www.nxtbook.fr/newpress/celog/celog-expertises-1605_413
https://www.nxtbook.fr/newpress/celog/celog-expertises-1604_412
https://www.nxtbook.fr/newpress/celog/celog-expertises-1603_411
https://www.nxtbook.fr/newpress/celog/celog-expertises-1602_410
https://www.nxtbook.fr/newpress/celog/celog-expertises-1601_409
https://www.nxtbook.fr/newpress/celog/celog-expertises-1512_408
https://www.nxtbook.fr/newpress/celog/celog-expertises-1511_407
https://www.nxtbook.fr/newpress/celog/celog-expertises-1510_406
https://www.nxtbook.fr/newpress/celog/celog-expertises-1509_405
https://www.nxtbook.fr/newpress/celog/celog-expertises-1507_404
https://www.nxtbook.fr/newpress/celog/celog-expertises-1506_403
https://www.nxtbook.fr/newpress/celog/celog-expertises-1502_399
https://www.nxtbookmedia.com