Expertises des Systèmes d'information - Décembre 2020 - N°463 - Le mensuel du droit de l'informatique et du multimédia - 431

A la différence de la décision du
19 juin 2020, le recours vise en effet
spécifiquement les programmes
de surveillance basés sur l'article
702 de FISA et de l'EO 12333, qui se
distinguent par la nature indiscriminée des collectes réalisées. Selon
l'analyse de la CJUE, ces dispositions permettent aux agences de
renseignements de « procéder à une
«  collecte " en vrac " [...] d'un volume
relativement
important
d'informations ou de données issues du
renseignement d'origine électromagnétique dans des conditions
où les services de renseignement
ne peuvent pas utiliser d'identifiant
associé à une cible spécifique [...] pour
orienter la collecte  »14, notamment
pour les données en transit. Il en
ressortirait qu'à la différence du
Cloud Act, le fait que les données
soient pseudonymisées ou de nature
médicale, ne serait potentiellement
pas de nature à réduire le risque de
leur collecte indiscriminée par les
autorités américaines.
Enfin, le juge conclut par une sorte de
balance des intérêts, liée également
aux
mesures
d'urgence
qui
pourraient être utilement prises en
l'occurrence. La demande de suspension de l'hébergement de l'entrepôt
Covid-19 par Microsoft impliquerait
en pratique de mettre en œuvre en
urgence une réversibilité du service
vers un hébergeur tiers. Or, le juge des
référés du Conseil d'Etat constate qu'il
existe « un intérêt public important à
permettre la poursuite de l'utilisation
des données de santé pour les besoins
de la gestion de l'urgence sanitaire et
de l'amélioration des connaissances
sur le SARS-CoV-2  », et, ce faisant,
à « permettre le recours aux moyens
techniques, sans équivalent à ce
jour, dont dispose la Plateforme des
données de santé par le biais du contrat
passé avec Microsoft  » (§20). Ainsi,
sans dénier l'existence du risque
d'accès par les autorités américaines,
le juge des référés considère que
les mesures propres à éliminer ce
risque ne relèvent pas de celles qu'il
peut ordonner, notamment en ce
qui concerne le très bref délai, qui
serait donc peu compatible avec les
délais nécessaires à l'organisation de
la réversibilité d'un service d'ampleur

nationale, lié à la gestion de l'urgence
sanitaire.
Cette décision, si elle apporte ainsi
des éléments d'analyse intéressants, ne permet pas de résoudre
les incertitudes qui fragilisent
aujourd'hui les transferts de données
vers des pays situés en dehors de
l'Union européenne. En ce qui
concerne les transferts liés à l'exécution d'un service et réalisés de plein
gré par les prestataires, des solutions
commencent cependant à s'ébaucher, grâce aux projets de recommandations du CEPD  concernant les
mesures supplémentaires pouvant
être adoptées pour assurer la conformité des transferts au niveau de
protection des données personnelles
européen15, de nouvelles  clauses
contractuelles
types 
de
la
Commission européenne16. De plus,
l'ONG NOYB fondée par Maximilian
Schrems a lancé une série de 101
plaintes contre différents organismes
(entreprises, universités, etc.) qui
poursuivaient leurs transferts vers
les Etats-Unis, plaintes qui font
l'objet d'une gestion centralisée via
une « task force » dédiée au sein du
CEPD. Les potentielles actions qui
s'ensuivront permettront probablement de clarifier les suites concrètes
de la décision Schrems II.
En revanche, en ce qui concerne la
question des accès par des autorités
étrangères, en l'absence notable de
décision de justice, le problème reste
entier. Le juge des référés renvoie
à l'adoption de garanties telles que
le chiffrement des données par un
tiers à l'hébergeur - comme la Cnil le
proposait 17-, voire à un passage à un
nouveau prestataire. Sur ce dernier
point, l'Etat a en effet annoncé que
le Health Data Hub devait changer
de prestataire, sans que ne soient
évoqués les risques liés aux principes
d'égalité de traitement des candidats
et de liberté d'accès à l'attribution
d'un contrat public et, plus généralement, de non-discrimination à
raison de la nationalité18. En parallèle,
l'Agence du numérique en santé
a annoncé le 10 novembre étudier
l'éventuel impact de la décision
Schrems II sur la certification des
hébergeurs de données de santé
EXPERTISES Décembre 2020

prévu par l'article L. 1111-8 du code
de la santé publique. Le secteur de la
santé doit donc s'attendre à des suites
prochaines.

Lorraine MAISNIER-BOCHÉ
Avocat à la Cour
McDermott, Will & Emery
Atelier ADIJ Protection des
données personnelles
Notes
(1)	 CE, n° 444937, 13 oct. 2020, inédit.
(2)	 CE, n° 440916, 19 juin 2020, inédit ; M.-C. de
Montecler, « Transfert de données de santé : quand le
Conseil d'Etat passe la main à la CNIL », AJDA, 2020,
p.1262 ; S. Rozenfeld, «  Données de santé : vent
contraire pour Microsoft », Expertises, n°459, p. 255 ;
L. Maisnier-Boché, « Health Data Hub et souveraineté
des données : le Conseil d'Etat recentre le débat »,
Expertises, n°461, p. 350 ; A. Danis-Fatôme, «  Arrêt
Schrems II : sauvetage de façade des « clauses contractuelles types » mais invalidation du bouclier de protection des données », Com. comm. électr. n°11, nov.
2020, comm. 83.
(3)	 CJUE, aff. C-311-18, 16 juill. 2020, DPC c. Facebook
Ireland Ltd et M. Schrems : C. Crichton, «  Transfert
de données vers les USA : l'arrêt Schrems II », D. IP/
IT, 22 juill. 2020 ; C. Feral-Schuhl, «  Peut-on encore
transférer des données personnelles vers les ÉtatsUnis ? », CIO Online, 20 juill. 2020 ; L. Jehl, R. Perray,
A. Winston, Schrems II: What Does the CJEU's Decision
Mean for Transfers from the EEA to the US?, Lexology,
31 juill. 2020 ; C. Kuner, « The Schrems II judgement
of the court of justice and the future of data transfer regulation », European Law Blog, 17 juill. 2020;
S. Rozenfeld, «  Données personnelles : incertitude
juridique sur les flux transatlantiques ; A. DanisFatôme, «  Arrêt Schrems II : sauvetage de façade
des « clauses contractuelles types » mais invalidation
du bouclier de protection des données », Com. comm.
électr. n°11, nov. 2020, comm. 83.
(4)	 CE, n° 444937, 13 oct. 2020, préc., csd. 11.
(5)	 CJUE, aff. C-311-18, 16 juill. 2020, préc., §62 et 63.
(6)	 Arrêté du ministre chargé de la Santé du
9 octobre 2020, modifiant l'arrêté du 10 juillet 2020
prescrivant les mesures générales nécessaires pour
faire face à l'épidémie de covid-19 dans les territoires
sortis de l'état d'urgence sanitaire et dans ceux où il a
été prorogé.
(7)	 Ce qui doit par ailleurs être constaté par un nouvel
avenant au contrat entre le Health Data Hub et
Microsoft, conformément à la demande du juge des
référés du Conseil d'Etat.
(8)	 Cnil, mémoire en observations, préc. p.10
(9)	 CE, n° 444937, 13 oct. 2020, préc., csd. 18.
(10)	 Cnil, mémoire en observations, 8 oct. 2020, publié par
NextInpact, in M. Rees, « Hébergement des données
de santé : la Cnil rejette le choix Microsoft », 9 oct.
2020.
(11)	 CEPD, lignes directrices 2/2018 du 25 mai 2018, relatives aux dérogations prévues à l'article 49 du règlement (UE) 2016/679, p.12 - voir également l'analyse
de la Cnil dans le mémoire en observations précité,
p. 11.
(12)	 CNIL, mémoire en observations, préc. p.10.
(13)	 CE, n° 444937, 13 oct. 2020, préc., csd. 19.
(14)	 CJUE, aff. C-311-18, 16 juill. 2020, préc., §183.
(15)	 CEPD, 10 nov. 2020, Recommendations 01/2020 on
measures that supplement transfer tools to ensure
compliance with the EU level of protection of personal
data, version pour concertation publique.
(16)	 Comm. UE, 12 nov. 2020, Implementing Decision on
standard contractual clauses for the transfer of personal data to third countries, version pour concertation
publique.
(17)	 Cnil, mémoire en observations préc., p.10
(18)	 CJCE, aff. C-324/98, 7 déc. 2000, Telaustria Verlags
GmbH & Telefonadress GmbH c/ Telekom Austria AG

431


https://ec.europa.eu/info/law/better-regulation/have-your-say/initiatives/12741-Commission-Implementing-Decision-on-standard-contractual-clauses-for-the-transfer-of-personal-data-to-third-countries https://ec.europa.eu/info/law/better-regulation/have-your-say/initiatives/12741-Commission-Implementing-Decision-on-standard-contractual-clauses-for-the-transfer-of-personal-data-to-third-countries

Expertises des Systèmes d'information - Décembre 2020 - N°463 - Le mensuel du droit de l'informatique et du multimédia

Table des matières de la publication Expertises des Systèmes d'information - Décembre 2020 - N°463 - Le mensuel du droit de l'informatique et du multimédia

Couverture
SOMMAIRE
Editorial
FOCUS - CYBERCRIMINALITÉ : PAYER UNE RANÇON, UN RISQUE DE SANCTION AMÉRICAINE
EN BREF - L'INFORMATION RAPIDE SUR LE MONDE DU NUMÉRIQUE
MAGAZINE - L'INFORMATION LÉGALE ET JURISPRUDENTIELLE DU NUMÉRIQUE
INTERVIEW - MATCHING PRÉDICTIF : UN RECRUTEMENT BIAISÉ
DOCTRINE
DONNÉES PERSONNELLES - QUATRE MOIS APRÈS SCHREMS 2, L’IMPASSE DEMEURE
CONTENTIEUX - L’ARME CONTRACTUELLE POUR ÉVITER L’EXPERTISE JUDICIAIRE A L’ISSUE INCERTAINES
DONNÉES PERSONNELLES - HEALTH DATA HUB ET TRANSFERTS DE DONNÉES : PORTÉE ET LIMITES DE L’ARRÊT SCHREMS II
DONNÉES PERSONNELLES - MICROSOFT ET HEALTH DATA HUB, RETOUR SUR LA CERTIFICATION HDS
DONNÉES PERSONNELLES - CONSERVATION DES DONNÉES DE CONNEXION : LA CJUE RAPPELLE LES LIMITES
Expertises des Systèmes d'information - Décembre 2020 - N°463 - Le mensuel du droit de l'informatique et du multimédia - Couverture
Expertises des Systèmes d'information - Décembre 2020 - N°463 - Le mensuel du droit de l'informatique et du multimédia - Editorial
Expertises des Systèmes d'information - Décembre 2020 - N°463 - Le mensuel du droit de l'informatique et du multimédia - 403
Expertises des Systèmes d'information - Décembre 2020 - N°463 - Le mensuel du droit de l'informatique et du multimédia - FOCUS - CYBERCRIMINALITÉ : PAYER UNE RANÇON, UN RISQUE DE SANCTION AMÉRICAINE
Expertises des Systèmes d'information - Décembre 2020 - N°463 - Le mensuel du droit de l'informatique et du multimédia - 405
Expertises des Systèmes d'information - Décembre 2020 - N°463 - Le mensuel du droit de l'informatique et du multimédia - EN BREF - L'INFORMATION RAPIDE SUR LE MONDE DU NUMÉRIQUE
Expertises des Systèmes d'information - Décembre 2020 - N°463 - Le mensuel du droit de l'informatique et du multimédia - 407
Expertises des Systèmes d'information - Décembre 2020 - N°463 - Le mensuel du droit de l'informatique et du multimédia - 408
Expertises des Systèmes d'information - Décembre 2020 - N°463 - Le mensuel du droit de l'informatique et du multimédia - 409
Expertises des Systèmes d'information - Décembre 2020 - N°463 - Le mensuel du droit de l'informatique et du multimédia - 410
Expertises des Systèmes d'information - Décembre 2020 - N°463 - Le mensuel du droit de l'informatique et du multimédia - MAGAZINE - L'INFORMATION LÉGALE ET JURISPRUDENTIELLE DU NUMÉRIQUE
Expertises des Systèmes d'information - Décembre 2020 - N°463 - Le mensuel du droit de l'informatique et du multimédia - 412
Expertises des Systèmes d'information - Décembre 2020 - N°463 - Le mensuel du droit de l'informatique et du multimédia - 413
Expertises des Systèmes d'information - Décembre 2020 - N°463 - Le mensuel du droit de l'informatique et du multimédia - 414
Expertises des Systèmes d'information - Décembre 2020 - N°463 - Le mensuel du droit de l'informatique et du multimédia - INTERVIEW - MATCHING PRÉDICTIF : UN RECRUTEMENT BIAISÉ
Expertises des Systèmes d'information - Décembre 2020 - N°463 - Le mensuel du droit de l'informatique et du multimédia - 416
Expertises des Systèmes d'information - Décembre 2020 - N°463 - Le mensuel du droit de l'informatique et du multimédia - 417
Expertises des Systèmes d'information - Décembre 2020 - N°463 - Le mensuel du droit de l'informatique et du multimédia - 418
Expertises des Systèmes d'information - Décembre 2020 - N°463 - Le mensuel du droit de l'informatique et du multimédia - 419
Expertises des Systèmes d'information - Décembre 2020 - N°463 - Le mensuel du droit de l'informatique et du multimédia - DONNÉES PERSONNELLES - QUATRE MOIS APRÈS SCHREMS 2, L’IMPASSE DEMEURE
Expertises des Systèmes d'information - Décembre 2020 - N°463 - Le mensuel du droit de l'informatique et du multimédia - 421
Expertises des Systèmes d'information - Décembre 2020 - N°463 - Le mensuel du droit de l'informatique et du multimédia - 422
Expertises des Systèmes d'information - Décembre 2020 - N°463 - Le mensuel du droit de l'informatique et du multimédia - 423
Expertises des Systèmes d'information - Décembre 2020 - N°463 - Le mensuel du droit de l'informatique et du multimédia - 424
Expertises des Systèmes d'information - Décembre 2020 - N°463 - Le mensuel du droit de l'informatique et du multimédia - CONTENTIEUX - L’ARME CONTRACTUELLE POUR ÉVITER L’EXPERTISE JUDICIAIRE A L’ISSUE INCERTAINES
Expertises des Systèmes d'information - Décembre 2020 - N°463 - Le mensuel du droit de l'informatique et du multimédia - 426
Expertises des Systèmes d'information - Décembre 2020 - N°463 - Le mensuel du droit de l'informatique et du multimédia - 427
Expertises des Systèmes d'information - Décembre 2020 - N°463 - Le mensuel du droit de l'informatique et du multimédia - DONNÉES PERSONNELLES - HEALTH DATA HUB ET TRANSFERTS DE DONNÉES : PORTÉE ET LIMITES DE L’ARRÊT SCHREMS II
Expertises des Systèmes d'information - Décembre 2020 - N°463 - Le mensuel du droit de l'informatique et du multimédia - 429
Expertises des Systèmes d'information - Décembre 2020 - N°463 - Le mensuel du droit de l'informatique et du multimédia - 430
Expertises des Systèmes d'information - Décembre 2020 - N°463 - Le mensuel du droit de l'informatique et du multimédia - 431
Expertises des Systèmes d'information - Décembre 2020 - N°463 - Le mensuel du droit de l'informatique et du multimédia - DONNÉES PERSONNELLES - MICROSOFT ET HEALTH DATA HUB, RETOUR SUR LA CERTIFICATION HDS
Expertises des Systèmes d'information - Décembre 2020 - N°463 - Le mensuel du droit de l'informatique et du multimédia - 433
Expertises des Systèmes d'information - Décembre 2020 - N°463 - Le mensuel du droit de l'informatique et du multimédia - DONNÉES PERSONNELLES - CONSERVATION DES DONNÉES DE CONNEXION : LA CJUE RAPPELLE LES LIMITES
Expertises des Systèmes d'information - Décembre 2020 - N°463 - Le mensuel du droit de l'informatique et du multimédia - 435
Expertises des Systèmes d'information - Décembre 2020 - N°463 - Le mensuel du droit de l'informatique et du multimédia - 436
Expertises des Systèmes d'information - Décembre 2020 - N°463 - Le mensuel du droit de l'informatique et du multimédia - 437
Expertises des Systèmes d'information - Décembre 2020 - N°463 - Le mensuel du droit de l'informatique et du multimédia - 438
Expertises des Systèmes d'information - Décembre 2020 - N°463 - Le mensuel du droit de l'informatique et du multimédia - 439
Expertises des Systèmes d'information - Décembre 2020 - N°463 - Le mensuel du droit de l'informatique et du multimédia - 440
https://www.nxtbook.fr/newpress/celog/celog-expertises-2201_475
https://www.nxtbook.fr/newpress/celog/celog-expertises-2112_474
https://www.nxtbook.fr/newpress/celog/celog-expertises-2111_473
https://www.nxtbook.fr/newpress/celog/celog-expertises-2110_472
https://www.nxtbook.fr/newpress/celog/celog-expertises-2109_471
https://www.nxtbook.fr/newpress/celog/celog-expertises-2107_470
https://www.nxtbook.fr/newpress/celog/celog-expertises-2106_469
https://www.nxtbook.fr/newpress/celog/celog-expertises-2105_468
https://www.nxtbook.fr/newpress/celog/celog-expertises-2104_467
https://www.nxtbook.fr/newpress/celog/celog-expertises-2103_466
https://www.nxtbook.fr/newpress/celog/celog-expertises-2102_465
https://www.nxtbook.fr/newpress/celog/celog-expertises-2101_464
https://www.nxtbook.fr/newpress/celog/celog-expertises-2012_463
https://www.nxtbook.fr/newpress/celog/celog-expertises-2011_462
https://www.nxtbook.fr/newpress/celog/celog-expertises-2010_461
https://www.nxtbook.fr/newpress/celog/celog-expertises-2009_460
https://www.nxtbook.fr/newpress/celog/celog-expertises-2007_459
https://www.nxtbook.fr/newpress/celog/celog-expertises-2006_458
https://www.nxtbook.fr/newpress/celog/celog-expertises-2005_457
https://www.nxtbook.fr/newpress/celog/celog-expertises-2004_456
https://www.nxtbook.fr/newpress/celog/celog-expertises-2003_455
https://www.nxtbook.fr/newpress/celog/celog-expertises-2002_454
https://www.nxtbook.fr/newpress/celog/celog-expertises-2001_453
https://www.nxtbook.fr/newpress/celog/celog-expertises-1912_452
https://www.nxtbook.fr/newpress/celog/celog-expertises-1911_451
https://www.nxtbook.fr/newpress/celog/celog-expertises-1910_450
https://www.nxtbook.fr/newpress/celog/celog-expertises-1909_449
https://www.nxtbook.fr/newpress/celog/celog-expertises-1907_448
https://www.nxtbook.fr/newpress/celog/celog-expertises-1906_447
https://www.nxtbook.fr/newpress/celog/celog-expertises-1905_446
https://www.nxtbook.fr/newpress/celog/celog-expertises-1904_445
https://www.nxtbook.fr/newpress/celog/celog-expertises-1903_444
https://www.nxtbook.fr/newpress/celog/celog-expertises-1902_443
https://www.nxtbook.fr/newpress/celog/celog-expertises-1901_442
https://www.nxtbook.fr/newpress/celog/celog-expertises-1812_441
https://www.nxtbook.fr/newpress/celog/celog-expertises-1811_440
https://www.nxtbook.fr/newpress/celog/celog-expertises-1810_439
https://www.nxtbook.fr/newpress/celog/celog-expertises-1809_438
https://www.nxtbook.fr/newpress/celog/celog-expertises-1807_437
https://www.nxtbook.fr/newpress/celog/celog-expertises-1806_436
https://www.nxtbook.fr/newpress/celog/celog-expertises-1805_435
https://www.nxtbook.fr/newpress/celog/celog-expertises-1804_434
https://www.nxtbook.fr/newpress/celog/celog-expertises-1803_433
https://www.nxtbook.fr/newpress/celog/celog-expertises-1802_432
https://www.nxtbook.fr/newpress/celog/celog-expertises-1801_431
https://www.nxtbook.fr/newpress/celog/celog-expertises-1712_430
https://www.nxtbook.fr/newpress/celog/celog-expertises-1711_429
https://www.nxtbook.fr/newpress/celog/celog-expertises-1710_428
https://www.nxtbook.fr/newpress/celog/celog-expertises-1709_427
https://www.nxtbook.fr/newpress/celog/celog-expertises-1707_426
https://www.nxtbook.fr/newpress/celog/celog-expertises-1706_425
https://www.nxtbook.fr/newpress/celog/celog-expertises-1705_424
https://www.nxtbook.fr/newpress/celog/celog-expertises-1704_423
https://www.nxtbook.fr/newpress/celog/celog-expertises-1703_422
https://www.nxtbook.fr/newpress/celog/celog-expertises-1702_421
https://www.nxtbook.fr/newpress/celog/celog-expertises-1701_420
https://www.nxtbook.fr/newpress/celog/celog-expertises-1612_419
https://www.nxtbook.fr/newpress/celog/celog-expertises-1611_418
https://www.nxtbook.fr/newpress/celog/celog-expertises-1610_417
https://www.nxtbook.fr/newpress/celog/celog-expertises-1609_416
https://www.nxtbook.fr/newpress/celog/celog-expertises-1607_415
https://www.nxtbook.fr/newpress/celog/celog-expertises-1606_414
https://www.nxtbook.fr/newpress/celog/celog-expertises-1605_413
https://www.nxtbook.fr/newpress/celog/celog-expertises-1604_412
https://www.nxtbook.fr/newpress/celog/celog-expertises-1603_411
https://www.nxtbook.fr/newpress/celog/celog-expertises-1602_410
https://www.nxtbook.fr/newpress/celog/celog-expertises-1601_409
https://www.nxtbook.fr/newpress/celog/celog-expertises-1512_408
https://www.nxtbook.fr/newpress/celog/celog-expertises-1511_407
https://www.nxtbook.fr/newpress/celog/celog-expertises-1510_406
https://www.nxtbook.fr/newpress/celog/celog-expertises-1509_405
https://www.nxtbook.fr/newpress/celog/celog-expertises-1507_404
https://www.nxtbook.fr/newpress/celog/celog-expertises-1506_403
https://www.nxtbook.fr/newpress/celog/celog-expertises-1502_399
https://www.nxtbookmedia.com