Expertises des Systèmes d'information - Décembre 2020 - N°463 - Le mensuel du droit de l'informatique et du multimédia - 430

D

O

C

T

R

I

N

E

un juge américain, afin d'obtenir
des preuves liées à un crime, peut
demander l'accès à toute donnée
en possession ou sous le contrôle
d'un fournisseur de services de
communications électroniques ou de
services informatiques à distance, ce
qui pourrait ainsi couvrir les données
hébergées ou traitées par les filiales
situées en dehors des Etats-Unis.
Sur ce point, dans sa décision du
19 juin 2020, le juge des référés du
Conseil d'Etat avait considéré qu'il
n'était pas démontré que les données
de l'entrepôt Covid-19 du Health
Data Hub pourraient faire l'objet
d'une demande d'accès par un juge
américain, leur nature (données de
santé) et leur forme (pseudonymisée)
ne présentant pas d'intérêt pour une
enquête criminelle.
Dans cette décision du 19 juin 2020,
le juge des référés n'avait pas
examiné le deuxième ensemble de
règles, pourtant mentionné par les
requérants, qui reviennent donc à la
charge dans ce nouveau recours, en
ce qui concerne spécifiquement les
risques liés aux possibles demandes
d'accès par les autorités américaines,
en vertu, de l'article 702 du « Foreign
Intelligence Surveillance Act  » ainsi
que de l' « Executive Order 12333 » à
des fins de renseignement extérieur.
Il est intéressant de noter que le juge
des référés décide de faire application des critères appliqués par la
CJUE dans la décision Schrems II,
tout en rappelant avec justesse -
élément également souligné par la
Cnil8 - que « la Cour de justice s'est
seulement prononcée, dans son arrêt
du 16 juillet 2020, sur les conditions
dans lesquelles peuvent avoir lieu
des transferts de données à caractère
personnel vers les Etats-Unis et non
sur celles dans lesquelles de telles
données peuvent être traitées, sur
le territoire de l'Union européenne,
par des sociétés de droit américain
ou leurs filiales en qualité de
sous-traitants, voire de responsables
de traitement. A fortiori, elle ne s'est
pas prononcée sur les conséquences
que pourraient avoir les constats
opérés par son arrêt sur de tels traitements »9. La question des risques liés
à l'hébergement des données par des
prestataires potentiellement soumis

430

à des lois de renseignement extérieur
étrangères, d'application extraterritoriale, n'est aujourd'hui pas tranchée
par le juge européen.
Dans ce contexte, l'analyse effectuée
par le juge des référés doit ainsi se lire
au prisme à la fois de cette absence de
décision du juge du fond sur ce point
et de sa mission, une fois encore, de
juge de l'urgence, de l'atteinte grave
et manifestement illégale.
En effet, le juge amorce son raisonnement sur le fondement des critères
de Schrems II, en analysant les
garanties prévues par le contrat entre
le Health Data Hub et Microsoft. Il
est relevé notamment que le contrat
restreint la possibilité de la divulgation de données par Microsoft aux
pouvoirs publics aux cas où cette
divulgation est imposée par la loi.
Partant, le juge des référés requiert
que le contrat soit également modifié
sur ce point, afin que les dispositions
légales auxquelles il est fait référence
soient cantonnées à des dispositions
du droit de l'Union européenne ou
d'un Etat membre. Une telle garantie
ne résout cependant pas la question
de l'existence de dispositions de
droit américain contradictoires,
qui sont justement celles dont il
est question en l'occurrence. Pour
cette raison, le juge semble faire
siennes les observations et la Cnil10,
en concluant qu'il existe malgré
tout un risque de demande d'accès
par les autorités américaines et que
l'hébergeur ne soit juridiquement
contraint d'y faire droit. De là, le juge
des référés du Conseil d'Etat poursuit
sur un raisonnement intéressant
pour estimer que l'atteinte grave
et manifestement illégale n'est pas
constituée, et qu'en tout état de cause,
aucune des mesures d'urgence qu'il
pourrait ordonner ne parait pouvoir
être utilement prise en l'espèce.
Tout d'abord, le juge des référés
considère que les potentiels accès
par les autorités américaines ne
sont pas « manifestement » illégaux,
dès lors que, encore une fois, la
CJUE ne s'est pas prononcée
sur cet aspect dans sa décision
Schrems II, et qu'au contraire,
cette décision «  mentionne la
possibilité sur le fondement de
l'article 49 du règlement général
EXPERTISES Décembre 2020

sur la protection des données, qui
permet notamment les transferts
nécessaires
pour
des
motifs
importants d'intérêt public reconnus
par le droit de l'Union ou le droit de
l'Etat membre auquel le responsable
du traitement est soumis  ». Il est
intéressant d'envisager qu'en effet,
l'article 49 et notamment les motifs
d'intérêt public pourraient constituer
un fondement alternatif possible
pour les transferts imposés par des
dispositions impératives étrangères
- encore que les conditions d'application de cette dérogation soient
strictes et impliquent probablement l'existence d'une convention
internationale11. Par ailleurs, et
surtout, le contrat entre Microsoft et
le Health Data Hub ne paraît pas avoir
considéré que le transfert s'effectuait
sur ce fondement. Dès lors, le juge
aurait potentiellement pu s'attacher uniquement aux fondements
prévus par le contrat et leur licéité ou
illicéité manifeste. La position de la
Cnil était plus stricte, qui considérait
que «  les demandes des autorités
états-uniennes, émises en vertu de
la section 702 FISA ou du décret EO
12333, et adressées à Microsoft pour
des traitements soumis au RGPD,
devraient être considérées comme
des divulgations non autorisées par le
droit de l'Union »12.
Cependant, un autre critère n'est
pas considéré comme rempli
par le juge des référés, à savoir la
nature avérée de l'atteinte. En effet,
le juge rappelle que les requérants
eux-mêmes «  n'invoquent pas
de violation directe du règlement
général sur la protection des données
mais seulement le risque d'une telle
violation  »13. Reprenant le raisonnement proposé dans sa décision
du 19 juin 2020, le juge s'interroge
sur l'intérêt qu'auraient les autorités
à effectuer des demandes d'accès
aux données du Health Data
Hub « au regard de l'objectif d'obtention d'informations en matière de
renseignement extérieur poursuivi
par les programmes de surveillance »,
dans la mesure où les données sont
pseudonymisées.
Toutefois,
ce
raisonnement n'est peut-être pas
pleinement applicable en l'espèce.



Expertises des Systèmes d'information - Décembre 2020 - N°463 - Le mensuel du droit de l'informatique et du multimédia

Table des matières de la publication Expertises des Systèmes d'information - Décembre 2020 - N°463 - Le mensuel du droit de l'informatique et du multimédia

Couverture
SOMMAIRE
Editorial
FOCUS - CYBERCRIMINALITÉ : PAYER UNE RANÇON, UN RISQUE DE SANCTION AMÉRICAINE
EN BREF - L'INFORMATION RAPIDE SUR LE MONDE DU NUMÉRIQUE
MAGAZINE - L'INFORMATION LÉGALE ET JURISPRUDENTIELLE DU NUMÉRIQUE
INTERVIEW - MATCHING PRÉDICTIF : UN RECRUTEMENT BIAISÉ
DOCTRINE
DONNÉES PERSONNELLES - QUATRE MOIS APRÈS SCHREMS 2, L’IMPASSE DEMEURE
CONTENTIEUX - L’ARME CONTRACTUELLE POUR ÉVITER L’EXPERTISE JUDICIAIRE A L’ISSUE INCERTAINES
DONNÉES PERSONNELLES - HEALTH DATA HUB ET TRANSFERTS DE DONNÉES : PORTÉE ET LIMITES DE L’ARRÊT SCHREMS II
DONNÉES PERSONNELLES - MICROSOFT ET HEALTH DATA HUB, RETOUR SUR LA CERTIFICATION HDS
DONNÉES PERSONNELLES - CONSERVATION DES DONNÉES DE CONNEXION : LA CJUE RAPPELLE LES LIMITES
Expertises des Systèmes d'information - Décembre 2020 - N°463 - Le mensuel du droit de l'informatique et du multimédia - Couverture
Expertises des Systèmes d'information - Décembre 2020 - N°463 - Le mensuel du droit de l'informatique et du multimédia - Editorial
Expertises des Systèmes d'information - Décembre 2020 - N°463 - Le mensuel du droit de l'informatique et du multimédia - 403
Expertises des Systèmes d'information - Décembre 2020 - N°463 - Le mensuel du droit de l'informatique et du multimédia - FOCUS - CYBERCRIMINALITÉ : PAYER UNE RANÇON, UN RISQUE DE SANCTION AMÉRICAINE
Expertises des Systèmes d'information - Décembre 2020 - N°463 - Le mensuel du droit de l'informatique et du multimédia - 405
Expertises des Systèmes d'information - Décembre 2020 - N°463 - Le mensuel du droit de l'informatique et du multimédia - EN BREF - L'INFORMATION RAPIDE SUR LE MONDE DU NUMÉRIQUE
Expertises des Systèmes d'information - Décembre 2020 - N°463 - Le mensuel du droit de l'informatique et du multimédia - 407
Expertises des Systèmes d'information - Décembre 2020 - N°463 - Le mensuel du droit de l'informatique et du multimédia - 408
Expertises des Systèmes d'information - Décembre 2020 - N°463 - Le mensuel du droit de l'informatique et du multimédia - 409
Expertises des Systèmes d'information - Décembre 2020 - N°463 - Le mensuel du droit de l'informatique et du multimédia - 410
Expertises des Systèmes d'information - Décembre 2020 - N°463 - Le mensuel du droit de l'informatique et du multimédia - MAGAZINE - L'INFORMATION LÉGALE ET JURISPRUDENTIELLE DU NUMÉRIQUE
Expertises des Systèmes d'information - Décembre 2020 - N°463 - Le mensuel du droit de l'informatique et du multimédia - 412
Expertises des Systèmes d'information - Décembre 2020 - N°463 - Le mensuel du droit de l'informatique et du multimédia - 413
Expertises des Systèmes d'information - Décembre 2020 - N°463 - Le mensuel du droit de l'informatique et du multimédia - 414
Expertises des Systèmes d'information - Décembre 2020 - N°463 - Le mensuel du droit de l'informatique et du multimédia - INTERVIEW - MATCHING PRÉDICTIF : UN RECRUTEMENT BIAISÉ
Expertises des Systèmes d'information - Décembre 2020 - N°463 - Le mensuel du droit de l'informatique et du multimédia - 416
Expertises des Systèmes d'information - Décembre 2020 - N°463 - Le mensuel du droit de l'informatique et du multimédia - 417
Expertises des Systèmes d'information - Décembre 2020 - N°463 - Le mensuel du droit de l'informatique et du multimédia - 418
Expertises des Systèmes d'information - Décembre 2020 - N°463 - Le mensuel du droit de l'informatique et du multimédia - 419
Expertises des Systèmes d'information - Décembre 2020 - N°463 - Le mensuel du droit de l'informatique et du multimédia - DONNÉES PERSONNELLES - QUATRE MOIS APRÈS SCHREMS 2, L’IMPASSE DEMEURE
Expertises des Systèmes d'information - Décembre 2020 - N°463 - Le mensuel du droit de l'informatique et du multimédia - 421
Expertises des Systèmes d'information - Décembre 2020 - N°463 - Le mensuel du droit de l'informatique et du multimédia - 422
Expertises des Systèmes d'information - Décembre 2020 - N°463 - Le mensuel du droit de l'informatique et du multimédia - 423
Expertises des Systèmes d'information - Décembre 2020 - N°463 - Le mensuel du droit de l'informatique et du multimédia - 424
Expertises des Systèmes d'information - Décembre 2020 - N°463 - Le mensuel du droit de l'informatique et du multimédia - CONTENTIEUX - L’ARME CONTRACTUELLE POUR ÉVITER L’EXPERTISE JUDICIAIRE A L’ISSUE INCERTAINES
Expertises des Systèmes d'information - Décembre 2020 - N°463 - Le mensuel du droit de l'informatique et du multimédia - 426
Expertises des Systèmes d'information - Décembre 2020 - N°463 - Le mensuel du droit de l'informatique et du multimédia - 427
Expertises des Systèmes d'information - Décembre 2020 - N°463 - Le mensuel du droit de l'informatique et du multimédia - DONNÉES PERSONNELLES - HEALTH DATA HUB ET TRANSFERTS DE DONNÉES : PORTÉE ET LIMITES DE L’ARRÊT SCHREMS II
Expertises des Systèmes d'information - Décembre 2020 - N°463 - Le mensuel du droit de l'informatique et du multimédia - 429
Expertises des Systèmes d'information - Décembre 2020 - N°463 - Le mensuel du droit de l'informatique et du multimédia - 430
Expertises des Systèmes d'information - Décembre 2020 - N°463 - Le mensuel du droit de l'informatique et du multimédia - 431
Expertises des Systèmes d'information - Décembre 2020 - N°463 - Le mensuel du droit de l'informatique et du multimédia - DONNÉES PERSONNELLES - MICROSOFT ET HEALTH DATA HUB, RETOUR SUR LA CERTIFICATION HDS
Expertises des Systèmes d'information - Décembre 2020 - N°463 - Le mensuel du droit de l'informatique et du multimédia - 433
Expertises des Systèmes d'information - Décembre 2020 - N°463 - Le mensuel du droit de l'informatique et du multimédia - DONNÉES PERSONNELLES - CONSERVATION DES DONNÉES DE CONNEXION : LA CJUE RAPPELLE LES LIMITES
Expertises des Systèmes d'information - Décembre 2020 - N°463 - Le mensuel du droit de l'informatique et du multimédia - 435
Expertises des Systèmes d'information - Décembre 2020 - N°463 - Le mensuel du droit de l'informatique et du multimédia - 436
Expertises des Systèmes d'information - Décembre 2020 - N°463 - Le mensuel du droit de l'informatique et du multimédia - 437
Expertises des Systèmes d'information - Décembre 2020 - N°463 - Le mensuel du droit de l'informatique et du multimédia - 438
Expertises des Systèmes d'information - Décembre 2020 - N°463 - Le mensuel du droit de l'informatique et du multimédia - 439
Expertises des Systèmes d'information - Décembre 2020 - N°463 - Le mensuel du droit de l'informatique et du multimédia - 440
https://www.nxtbook.fr/newpress/celog/celog-expertises-2201_475
https://www.nxtbook.fr/newpress/celog/celog-expertises-2112_474
https://www.nxtbook.fr/newpress/celog/celog-expertises-2111_473
https://www.nxtbook.fr/newpress/celog/celog-expertises-2110_472
https://www.nxtbook.fr/newpress/celog/celog-expertises-2109_471
https://www.nxtbook.fr/newpress/celog/celog-expertises-2107_470
https://www.nxtbook.fr/newpress/celog/celog-expertises-2106_469
https://www.nxtbook.fr/newpress/celog/celog-expertises-2105_468
https://www.nxtbook.fr/newpress/celog/celog-expertises-2104_467
https://www.nxtbook.fr/newpress/celog/celog-expertises-2103_466
https://www.nxtbook.fr/newpress/celog/celog-expertises-2102_465
https://www.nxtbook.fr/newpress/celog/celog-expertises-2101_464
https://www.nxtbook.fr/newpress/celog/celog-expertises-2012_463
https://www.nxtbook.fr/newpress/celog/celog-expertises-2011_462
https://www.nxtbook.fr/newpress/celog/celog-expertises-2010_461
https://www.nxtbook.fr/newpress/celog/celog-expertises-2009_460
https://www.nxtbook.fr/newpress/celog/celog-expertises-2007_459
https://www.nxtbook.fr/newpress/celog/celog-expertises-2006_458
https://www.nxtbook.fr/newpress/celog/celog-expertises-2005_457
https://www.nxtbook.fr/newpress/celog/celog-expertises-2004_456
https://www.nxtbook.fr/newpress/celog/celog-expertises-2003_455
https://www.nxtbook.fr/newpress/celog/celog-expertises-2002_454
https://www.nxtbook.fr/newpress/celog/celog-expertises-2001_453
https://www.nxtbook.fr/newpress/celog/celog-expertises-1912_452
https://www.nxtbook.fr/newpress/celog/celog-expertises-1911_451
https://www.nxtbook.fr/newpress/celog/celog-expertises-1910_450
https://www.nxtbook.fr/newpress/celog/celog-expertises-1909_449
https://www.nxtbook.fr/newpress/celog/celog-expertises-1907_448
https://www.nxtbook.fr/newpress/celog/celog-expertises-1906_447
https://www.nxtbook.fr/newpress/celog/celog-expertises-1905_446
https://www.nxtbook.fr/newpress/celog/celog-expertises-1904_445
https://www.nxtbook.fr/newpress/celog/celog-expertises-1903_444
https://www.nxtbook.fr/newpress/celog/celog-expertises-1902_443
https://www.nxtbook.fr/newpress/celog/celog-expertises-1901_442
https://www.nxtbook.fr/newpress/celog/celog-expertises-1812_441
https://www.nxtbook.fr/newpress/celog/celog-expertises-1811_440
https://www.nxtbook.fr/newpress/celog/celog-expertises-1810_439
https://www.nxtbook.fr/newpress/celog/celog-expertises-1809_438
https://www.nxtbook.fr/newpress/celog/celog-expertises-1807_437
https://www.nxtbook.fr/newpress/celog/celog-expertises-1806_436
https://www.nxtbook.fr/newpress/celog/celog-expertises-1805_435
https://www.nxtbook.fr/newpress/celog/celog-expertises-1804_434
https://www.nxtbook.fr/newpress/celog/celog-expertises-1803_433
https://www.nxtbook.fr/newpress/celog/celog-expertises-1802_432
https://www.nxtbook.fr/newpress/celog/celog-expertises-1801_431
https://www.nxtbook.fr/newpress/celog/celog-expertises-1712_430
https://www.nxtbook.fr/newpress/celog/celog-expertises-1711_429
https://www.nxtbook.fr/newpress/celog/celog-expertises-1710_428
https://www.nxtbook.fr/newpress/celog/celog-expertises-1709_427
https://www.nxtbook.fr/newpress/celog/celog-expertises-1707_426
https://www.nxtbook.fr/newpress/celog/celog-expertises-1706_425
https://www.nxtbook.fr/newpress/celog/celog-expertises-1705_424
https://www.nxtbook.fr/newpress/celog/celog-expertises-1704_423
https://www.nxtbook.fr/newpress/celog/celog-expertises-1703_422
https://www.nxtbook.fr/newpress/celog/celog-expertises-1702_421
https://www.nxtbook.fr/newpress/celog/celog-expertises-1701_420
https://www.nxtbook.fr/newpress/celog/celog-expertises-1612_419
https://www.nxtbook.fr/newpress/celog/celog-expertises-1611_418
https://www.nxtbook.fr/newpress/celog/celog-expertises-1610_417
https://www.nxtbook.fr/newpress/celog/celog-expertises-1609_416
https://www.nxtbook.fr/newpress/celog/celog-expertises-1607_415
https://www.nxtbook.fr/newpress/celog/celog-expertises-1606_414
https://www.nxtbook.fr/newpress/celog/celog-expertises-1605_413
https://www.nxtbook.fr/newpress/celog/celog-expertises-1604_412
https://www.nxtbook.fr/newpress/celog/celog-expertises-1603_411
https://www.nxtbook.fr/newpress/celog/celog-expertises-1602_410
https://www.nxtbook.fr/newpress/celog/celog-expertises-1601_409
https://www.nxtbook.fr/newpress/celog/celog-expertises-1512_408
https://www.nxtbook.fr/newpress/celog/celog-expertises-1511_407
https://www.nxtbook.fr/newpress/celog/celog-expertises-1510_406
https://www.nxtbook.fr/newpress/celog/celog-expertises-1509_405
https://www.nxtbook.fr/newpress/celog/celog-expertises-1507_404
https://www.nxtbook.fr/newpress/celog/celog-expertises-1506_403
https://www.nxtbook.fr/newpress/celog/celog-expertises-1502_399
https://www.nxtbookmedia.com