Différences entre les versions de « Libre à vous ! Radio Cause Commune - Transcription de l'émission du 16 mars 2021 »
| Ligne 92 : | Ligne 92 : | ||
==Un point avec l'association Interhop sur son recours contre le partenariat entre l'État et la plateforme Doctolib== | ==Un point avec l'association Interhop sur son recours contre le partenariat entre l'État et la plateforme Doctolib== | ||
| − | <b>Étienne Gonnu : </b>Pour notre dernier sujet, j’ai le plaisir d’accueillir | + | <b>Étienne Gonnu :</b> Pour notre dernier sujet, j’ai le plaisir d’accueillir par téléphone Adrien Parrot de l'association Interhop, et Juliette Alibert, avocate au barreau de Paris. Vous êtes avec nous ? Nous allons avoir l'intérêt de discuter avec vous du recours que menait l'association de promotion du logiciel libre pour la santé, Interhop, contre un partenariat entre l'État et la plateforme Doctolib pour la prise des rendez-vous pour la vaccination contre le Covid-19 et nos auditeur.rice.s fidèles se rappelleront sans doute que nous avons déjà reçu Interhop qui avait fait un recours également contre le ''Health Data Hub'', une plateforme pour la recherche sur les données de santé parce que cette plateforme hébergeait ses données chez Microsoft ; c'était à l'époque un recours victorieux puisque le Conseil d'État avait enjoint la plateforme à trouver une autre solution d'hébergement qui ne soit pas soumise au droit américain, on y reviendra sans doute. Qu'est-ce qui a motivé ce recours contre le partenariat entre l'État et Doctolib, Adrien Parrot ? |
| + | |||
| + | <b>Adrien Parrot :</b> On a fait ce recours au Conseil d'État ; on était associés à treize autres parties, dont des syndicats de médecins et de patients et la Ligue des droits de l'homme, aussi, qui était avec nous ; la problématique, ce sont des sujets tout à fait connexes entre le Health Data Hub hébergé chez Microsoft et le partenariat dans le cadre de la prise de rendez-vous chez Doctolib en l'occurrence, puisque Doctolib est hébergé, cette fois-ci, pas chez Microsoft, mais chez Amazon Web Services, qui est le cloud d'Amazon. C'est sur les mêmes fondements qu'on a attaqué ce partenariat, qui sont le recours à des sociétés soumises au droit américain, et donc non soumises strictement au droit européen, comme devraient l'être à notre sens les sociétés qui hébergent des données de santé. | ||
| + | |||
| + | <b>Étienne Gonnu :</b> Pourquoi est-ce que c'est un problème que ces données qui concernent les prises de rendez-vous pour la vaccination soient hébergé chez Amazon ? | ||
| + | |||
| + | <b>Juliette Alibert :</b> Ce qui est problématique, en fait, c'est la même problématique que dans le cadre du contentieux sur le Health Data Hub comme vous l'avez rappelé, c'est effectivement qu'en l'état, le droit américain, de par ses effets extra-territoriaux, ne permet pas de garantir un niveau d'adéquation en termes de protection équivalent au RGPD, et notamment au regard de certaines lois qui permettent aux services de renseignements d'avoir accès aux données sur le fondement du [https://fr.wikipedia.org/wiki/Foreign_Intelligence_Surveillance_Act FISA] ou de l'''Executive Order'' ; le fait qu'effectivement Doctolib héberge ses données personnelles de santé au sein d'une société soumise au droit américain, ça veut dire que, dès lors qu'il y a ces demandes sur le fondement des deux bases légales que j'ai rappelées, effectivement les données se retrouvent aux États-Unis, en méconnaissance du RGPD ; ça, c'était problématique. | ||
| + | |||
| + | <b>Étienne Gonnu :</b> Le RGPD, qui est la réglementation européenne qui régule un peu l'usage que les entreprises -- ou n'importe quel acteur -- peuvent faire des données personnelles. Tous ces sujets seront traités dans la chronique mensuelle de Noémie Bergez sur ''Libre à vous'', et qui pourra permettre aux personnes que ça intéresse de creuser le sujet. Là, vous parlez d'extra-territorialité, c'est-à-dire comment le droit européen peut s'appliquer à des entreprises étrangères, c'est ça l'idée ? | ||
| + | |||
| + | <b>Juliette Alibert :</b> Plutôt, là, en l'état effectivement on a des données qui sont hébergées sur le sol français, sur le sol européen, parce que les données sont hébergées sur le sol français et européen, mais comme c'est des sociétés dont le siège social est aux États-Unis, elles sont soumises au droit américain. Donc, sur la base de la section 702 du FISA, par exemple, il est possible à tout moment aux autorités américaines de demander un accès auprès de ces grosses sociétés aux données, et même à imposer à ces sociétés de taire l'accès à ces données, c'est-à-dire de le faire sans que les citoyens européens soient informés. Et sur la base de l'''Executive order'', c'est complètement différent : ces autorités-là peuvent pomper directement les données. C'est ce qui a donné lieu à une jurisprudence importante, la jurisprudence Schrems II cet été, qui, au regard de ces ingérences-là, a fait valoir que dès lors qu'une société qui héberge les données à caractère personnel est soumise au droit américain, c'est totalement incompatible avec le RGPD. | ||
| + | |||
| + | <b>Étienne Gonnu :</b> Oui, la fameuse fin du ''[https://fr.wikipedia.org/wiki/Bouclier_de_protection_des_donn%C3%A9es_UE-%C3%89tats-Unis Privacy Shield]'', c'est bien ça ? | ||
| + | |||
| + | <b>Juliette Alibert :</b> Exactement. | ||
| + | |||
| + | <b>Étienne Gonnu :</b> Oui, dont on a beaucoup entendu parler. Si je me rappelle bien, cette décision, le Schrems II, est intervenue juste avant une décision du Conseil d'État dans le recours d'Interhop -- et d'autres personnes, dans le collectif [https://www.santenathon.org/ SantéNathon] -- contre le ''Health Data Hub'', et c'est sur la base de cette jurisprudence que le Conseil d'État a donné raison au collectif SantéNathon, ou je me trompe ? | ||
| + | |||
| + | <b>Juliette Alibert :</b> Le référé était un référé liberté, c'était une décision de rejet, mais en même temps en substance à ce moment-là, le juge a reconnu au regard de la jurisprudence Schrems II qu'effectivement les risques étaient réels et il a simplement laissé un délai raisonnable pour que le ''Health Data Hub'' soit hébergé auprès d'un autre hébergeur, donc changer et passer de Microsoft à notamment un hébergeur soumis au droit français, ou au droit européen en tout cas. | ||
| + | |||
| + | <b>Étienne Gonnu :</b> Quand on revient maintenant au présent, vous nous faisiez part des grandes similitudes, la problématique étant similaire, c'est-à-dire un hébergement chez une entreprise soumise au droit américain, et pourtant la décision du Conseil d'État n'a pas été la même. | ||
| + | |||
| + | <b>Adrien Parrot :</b> En effet, la problématique que l'on essaie de soulever est vraiment systémique ; pour le redire, on n'est ni contre la recherche ni contre la prise de rendez-vous, l'utilisation d'outils numériques, par contre on veut vraiment faire prendre conscience des risques liés à ces textes de portée extra-territoriale, qui s'appliquent directement sur les serveurs hébergés, même si les serveurs sont hébergés en France. Donc en effet la décision ne va pas exactement dans le même sens que celle du Conseil d'État, de la précédente décision sur le HDH, sur le ''Health Data Hub'' ; dans le cadre de ce recours, on a demandé plusieurs fois à ce que la CNIL, à l'écrit et à l'oral, lors de l'audience, Juliette Alibert l'avait fait en tant qu'avocat, les parties l'avaient demandé, que la CNIL soit saisie, pour que la CNIL puisse donner un avis dans un cadre différent lors de l'audience au Conseil d'État ; en octobre dernier, c'était sur les entrepôts de données de santé que la CNIL avait donné son avis, donc un sujet connexe parce qu'il y a de l'hébergement de données, mais c'était pas exactement le même cadre, donc on voulait un avis juridique de la CNIL sur l'hébergeur, en l'occurrence, Amazon, et ça, malheureusement, on ne l'a pas eu, on n'a pas réussi à l'avoir, et c'est vrai que moi personnellement je suis très déçu que cet avis n'ait pas eu lieu ; il aurait été sûrement aidant d'un point de vue juridique et d'un point de vue technique aussi pour analyser exactement la sécurité de la plateforme de prise de rendez-vous. | ||
| + | |||
| + | <b>Étienne Gonnu :</b> Oui, bien sûr. On rappellera -- je pense que la plupart des gens connaissent la CNIL, mais au cas où -- qu'il s'agit d'une autorité administrative indépendante, la Commission nationale informatique et libertés, qui a pour objet de faire appliquer le règlement général de protection des données personnelles, et elle avait donné effectivement un avis, tu le rappelais, Adrien, contre le ''Health Data Hub'', qui allait fortement dans le sens que vous indiquez, qui levait beaucoup de drapeaux rouges par rapport à la situation d'un hébergement chez Microsoft si je me souviens bien. | ||
| + | |||
| + | <b>Adrien Parrot :</b> C'est ça exactement ; elle disait que l'hébergement des données de santé du HDH, du ''Health Data Hub'', devait être strictement soumis à des entités relevant uniquement du droit européen, et donc c'est vrai que c'est clairement un avis qui allait dans le sens de nos inquiétudes et de ce que l'on dénonçait. J'ajoute aussi que la CNAM, donc la sécurité sociale -- parce qu'avant d'envoyer des données, il y a une étape pour une partie des données, mais une grosse partie, une étape où c'est la sécurité sociale qui doit donner son accord pour envoyer les données au ''Health Data Hub'', -- et j'ajoute que la CNAM, il y a peut-être maintenant trois semaines, à cause des problématiques juridiques que Juliette Alibert a mis en valeur, le FISA et l'''Executive Order'', a décidé de bloquer l'envoi des données au ''Health Data Hub''. Le conseil d'administration de la CNAM a décidé de bloquer l'envoi des données au ''Health Data Hub'' parce qu'il était soumis à une société américaine et parce que c'est, en l'occurrence, Microsoft. | ||
| + | |||
| + | <b>Étienne Gonnu :</b> Oui, une décision concrète très importante ; alors, du coup, comment vous expliquez cette différence ? Quel changement de paradigme utilise le Conseil d'État pour arriver à une conclusion différente sur des sujets qui ont l'air finalement assez similaires ? Et comment vous, vous l'expliquez, cette différence de décision ? Juliette Alibert, peut-être, sur le fond juridique, déjà. | ||
| + | |||
| + | <b>Juliette Alibert :</b> C'est vrai que d'emblée, ça s'inscrit effectivement dans la lignée du contentieux sur le ''Health Data Dub'', mais en même temps il y a des différences qui sont essentielles, qui sont majeures, puisque d'une part les données traitées par Doctolib, elles ne sont pas pseudonymisées comme c'était le cas pour le ''Health Data Hub'', et ça, c'était important de le marquer, parce que cela veut dire qu'elles sont directement identifiantes. Ça, c'était un point vraiment différent, et ce qui s'est passé, c'est que le juge a considéré dans son ordonnance que d'une part, les données de prise de rendez-vous dans le cadre de la politique vaccinale -- dans le cadre donc du partenariat entre le ministère de la santé et de Doctolib pour gérer les rendez-vous pour les vaccins -- n'étaient pas des données de santé ; lors de l'audience il y a eu un long débat ; les parties et moi-même avons fait valoir qu'effectivement c'était bien des données de santé puisque directement le fait de répondre à la question : est-ce que la personne a eu une première et une deuxième injection ou non, ça renseigne bien directement sur l'état de santé de la personne mais même indirectement puisque les personnes, dès lors qu'elles ont un compte associé préexistant, il suffit de croiser l'ensemble des données, et puis on sait effectivement notamment pourquoi elle a pu avoir une première injection en tant que public prioritaire. Donc rien qu'au moment en fait où elle se fait vacciner, on peut en déduire que du coup elle était public prioritaire parce qu'elle souffrait d'une pathologie importante, puisqu'il y avait une liste de pathologies pour avoir droit au vaccin. Donc ça c'est un des raisonnements du Conseil d'État -- peut-être Adrien pourra me compléter -- vis-à-vis duquel on est extrêmement inquiets parce que ça signifie donc aujourd'hui que les données que sont les rendez-vous ne sont plus considérées comme des données de santé ou en tout cas ça ouvre cette brèche-là. Alors là, on nous dit que ce n'est que pour la politique vaccinale, mais ça ouvre cette brèche qui est très inquiétante, et du coup ça crée un risque majeur d'atteinte, demain, au secret médical. Ensuite mais peut-être, je ne vais pas être trop longue, on pourra en discuter après, mais ce qui est passé, c'est que le juge, dans sa décision, a fait valoir qu'il y avait des garanties contractuelles suffisantes, notamment un contrat entre Doctolib et Amazon qui permettrait en tous cas a priori à Amazon de notifier la société Doctolib si elle avait des demandes d'accès par les autorités américaines, ou en tous cas d'essayer de s'y opposer, alors même que quand on lit le FISA, par exemple, on se rend bien compte que de toute façon sur la base de ces textes, les autorités américaines peuvent directement demander à Amazon de taire ces demandes, donc on ne voit pas vraiment en quoi c'est une garantie. Et en termes de garanties techniques, ce qui a été mis en valeur par l'ordonnance du juge c'est qu'en fait il y avait de toutes façons un jeu de clefs détenu par une société tierce de confiance et que ça suffisait. Mais lors de l'audience il y a eu deux heures d'échanges sur les aspects juridiques et aussi sur les aspects techniques, et j'aimerais vraiment qu'Adrien puisse compléter ensuite, sur tout ce qui était chiffrement, et en fait c'est vrai que dans l'ordonnance, tout ça est réduit en un tout petit paragraphe, et je trouve que c'est dommage en fait, parce qu'il y a énormément de questions qui étaient posées et on a fait valoir effectivement que la CNIL devait être saisie, et ça n'a pas été le cas… | ||
| + | |||
| + | <b>Étienne Gonnu :</b> On voit déjà aussi pour rebondir sur le manque d'avis de la CNIL, on devine, même sans être spécialiste du sujet, tout l'enjeu qu'il peut y avoir à considérer qu'effectivement les données par rapport à un rendez-vous médical puissent être considérées comme des données personnelles, et tout le danger qu'il y a à considérer qu'elles ne le sont pas, qu'elles n'ont pas cette sensibilité-là. Effectivement, on sera vigilant à voir les évolutions jurisprudentielles qu'il pourrait y avoir par rapport à tout ça. Effectivement, je pense qu'Adrien aura beaucoup à nous dire là-dessus sur un sujet qui est difficile, celui de la cybersécurité : si j'ai bien compris, pour reprendre les propos de Juliette Alibert, l'une des justifications pour dire que finalement le contrat était OK par rapport au RGPD, c'était de dire que voilà, il y avait des clés de chiffrement, donc que les données n'étaient pas accessibles à moins d'avoir ces clés pour déchiffrer les données, mais Interhop a fait un travail de fond très important pour montrer finalement que non, ce n'était pas satisfaisant d'un point de vue de sécurité. Adrien, tu as la lourde tâche de rendre accessible à des personnes non spécialistes de la cybersécurité tout cet enjeu. | ||
| + | |||
| + | <b>Adrien Parrot :</b> Pour rebondir juste rapidement sur les rendez-vous, dire que les rendez-vous ne sont pas des données sensibles et des données de santé ne s'appuie sur aucun argument en lien avec le RGPD, avec le règlement de protection des données : le RGPD définit des données de santé comme étant en lien directement ou indirectement avec un état de santé, donc déjà la définition est très large volontairement, pour être protectrice pour les personnes, la CNIL, et l'Ordre des médecins dans un papier commun avaient clairement dit que les rendez-vous sont des données de santé. Encore une fois : dire que des rendez-vous de vaccination ne sont pas des données de santé ; alors est-ce qu'un rendez-vous de gynécologue, de proctologue est une donnée de santé ? Est-ce que le cardiologue est une donnée de santé ? Je pense que c'est très dangereux de commencer à différencier des données de santé sans fondement réel juridique, et je rajoute aussi que le secret médical, c'est le fondement de la médecine et que c'est parce qu'il y a un secret, parce que les patients peuvent parler librement qu'on peut faire une médecine de qualité. Il faut garder à tout prix ce lien de confiance entre les soignants et les soignés, et c'était déjà ce qu'on défendait pour le ''Health Data Hub'' : c'est ce fondement même de la confiance et de la relation de soin. Sur le chiffrement, du coup, ce qui se passe pour les rendez-vous -- c'est tout à fait détaillé sur le blog d'Interhop --, ce qui est chiffré ce sont les données au repos et les données en transit ; les données au repos, c'est par exemple une sauvegarde, c'est un ensemble de données au repos, et la sauvegarde, par exemple, est chiffrée chez Amazon aussi. Cette partie-là est chiffrée ; par contre, les clés de déchiffrement, il faut toujours se poser la question, quand on parle de chiffrement, où est la clé de chiffrement, et cette clé de déchiffrement, de toute façon, elle est chez Amazon aussi. Donc même si les données sont chiffrées au repos -- donc là, je parle vraiment d'un sous-ensemble, la sauvegarde --, de toute façon les clés de déchiffrement sont présentes aussi chez Amazon. Deuxième gros bloc, c'est les données en transit entre le serveur et le navigateur ; donc là c'est le protocole HTTPS ; le S de HTTPS, ça veut dire que c'est sécurisé, mais on voit qu'on décrit deux blocs chiffrés, les sauvegardes et les données entre le serveur et le navigateur du patient, ou même du médecin, mais il y a plein d'autres étapes qui à notre sens ne sont pas chiffrées, le serveur typiquement, pour un peu plus les experts peut-être, le backend qui accède aux données de la base de données, lui forcément a accès aux données, et ce backend il est aussi chez Amazon. Donc, voilà, il y a un moment donné, pour résumer, où les données sont de toute façon déchiffrées sur le serveur d'Amazon. Et deuxième grosse alerte de notre analyse technique, c'est qu'entre les serveurs Amazon et le navigateur des utilisateurs et des utilisatrices, il y a ce que l'on appelle [https://fr.wikipedia.org/wiki/Cloudflare Cloudflare], qui est une société soumise au droit américain qui a des intérêts techniques, donc on n'est pas en train de critiquer l'intérêt de mettre Cloudflare, par contre la problématique de Cloudflare, c'est que cette société et les serveurs de cette société américaine voient toutes les données passer en clair aussi, et ça c'est aussi un appel un peu peut-être aux plus geek qui écoutent et peut-être même la CNIL, de parler de Cloudflare, et d'expliquer sur les réseaux, c'est vraiment un point central qui présente une faille de sécu très très importante. | ||
| + | |||
| + | <b>Étienne Gonnu :</b> Merci, je pense que ça a été relativement accessible, et clairement c'est un sujet qui est complexe ; j'invite vraiment les personnes que ça intéresse à aller voir, on mettra le lien sur le site de l'April, Interhop a fait un gros travail d'explication, avec des schémas, pour rendre le sujet plus accessible, un sujet qui n'est vraiment pas évident sinon. Notre temps avance, j'aimerais vous laisser le mot de la fin : est-ce qu'il y a un point central sur lequel vous aimeriez venir, un point qu'on n'a pas abordé, qui vous paraît essentiel avant que nous nous quittions ? | ||
| + | |||
| + | <b>Juliette Alibert :</b> Pour moi c'est essentiel en fait que sur ces contentieux importants, l'aspect juridique et l'aspect technique soient un travail des techniciens avec les juristes, et c'est vrai que ça a été un travail de fond très important qu'on a pu mener ensemble avec les parties, et notamment avec Interhop pour faire valoir les enjeux en termes de garanties techniques, et vraiment c'est extrêmement dommage que la CNIL n'ait pas pu être saisie d'autant qu'Adrien a rappelé tout ce qui a pu être démontré dans le cadre de l'audience, mais ensuite il y a eu un gros travail parce que des journalistes d'investigation qui sont venus à l'audience, France Inter, une journaliste qui s'est saisie elle-même de la question, qui a fait les mêmes vérifications que celles que Interhop avait faites et avait présentées à l'audience. Il y a plusieurs journalistes, un chercheur de l'INRIA qui sont arrivés aux mêmes conclusions que celles qu'on avait déployées, donc ça montre bien que c'est important qu'il y ait une montée en compétences et en tout cas vraiment un travail entre les juristes et les techniciens, enfin, je sais pas comment les appeler, les geeks, sur ces sujets-là, parce que ça permet de mettre en exergue, de faire valoir l'absence de garanties mais de façon très concrète. Effectivement je rejoins aussi Adrien : un des points vraiment qui nous met en difficulté, c'est sur les données de rendez-vous qui ne seraient pas des données de santé, ça, je pense que c'est une énorme alerte et qu'il va falloir être vigilants et les parties de toute façon n'entendent pas en rester là. C'est infondé d'un point de vue juridique, en tous cas à notre sens, et la politique de vaccination et le Covid, effectivement il faut répondre aux enjeux sanitaires, mais ça ne permet pas d'aller trop loin et en tout cas de revenir sur des acquis en termes de protection de la vie privée et du secret médical. | ||
| + | |||
| + | <b>Étienne Gonnu :</b> C'est entendu, en tout cas, on va suivre votre lutte et vous soutenir autant que possible. Merci beaucoup Adrien Parrot, président de l'association Interhop, Juliette Alibert, avocate au barreau de Paris. On rappellera les liens, notamment un lien pour soutenir alors non seulement financièrement mais aussi par des contributions techniques la superbe association Interhop ; un grand merci à vous et je vous souhaite une bonne fin de journée et meilleurs voeux pour la continuation de notre combat. | ||
Version du 17 mars 2021 à 00:01
Titre : Émission Libre à vous ! diffusée mardi 9 mars 2021 sur radio Cause Commune
Intervenant·e·s : Vincent Calame - Valentin - - - - Étienne Gonnu - Adrien Bourmault à la régie
Lieu : Radio Cause Commune
Date : 16 mars 2021
Durée : 1 h 30 min
Page des références utiles concernant cette émission
Licence de la transcription : Verbatim
Illustration :
NB : transcription réalisée par nos soins, fidèle aux propos des intervenant·e·s mais rendant le discours fluide.
Les positions exprimées sont celles des personnes qui interviennent et ne rejoignent pas nécessairement celles de l'April, qui ne sera en aucun cas tenue responsable de leurs propos.
Transcription
Voix off : Libre à vous !, l’émission pour comprendre et agir avec l’April, l’association de promotion et de défense du logiciel libre.
Étienne Gonnu : Bonjour à toutes. Bonjour à tous.
Nous vous proposons aujourd’hui une spéciale Playlist de Libre à vous !, de la musique libre avec les commentaires experts de Valentin. Avant ça Vincent nous proposera sa réflexion à l’approche de la date anniversaire du premier confinement dans sa chronique « Jouons collectif ». En fin d’émission nous ferons un point avec Interhop sur son action contre le partenariat entre l'État et la plateforme Doctolib.
Vous êtes sur la radio Cause Commune, la voix des possibles, 93.1 FM et en DAB+ en Île-de-France et partout dans le monde sur le site causecommune.fm.
Soyez les bienvenus pour cette nouvelle édition de Libre à vous !, l’émission pour comprendre et agir avec l’April, l’association de promotion et de défense du logiciel libre.
Je suis Étienne Gonnu, chargé de mission affaires publiques pour l’April .
Le site web de l’April est april.org, vous pouvez y trouver une page consacrée à cette émission avec tous les liens et références utiles et également les moyens de nous contacter. N’hésitez pas à nous faire des retours ou nous poser toute question.
Nous sommes le 16 mars 2021, nous diffusons en direct, mais vous écoutez peut-être une rediffusion ou un podcast.
À la réalisation de l’émission Adrien. Salut Adrien.
Adrien Bourmault : Salut.
Étienne Gonnu : Si vous souhaitez réagir, poser une question pendant ce direct, n’hésitez pas à vous connecter sur le salon web de la radio. Pour cela rendez-vous sur le site de la radio, causecommune.fm, cliquez sur « chat » et retrouvez-nous sur le salon dédié à l’émission.
Nous vous souhaitons une excellente écoute.
Tout de suite place au premier sujet.
[Virgule musicale]
Chronique « Jouons collectif » de Vincent Calame, bénévole à l'April, sur l'anniversaire du confinement
Étienne Gonnu : Pour le premier sujet j’ai le plaisir d’avoir avec moi en studio Vincent Calame pour sa chronique « Jouons collectif ». Est-ce que ça va Vincent ?
Vincent Calame :
Étienne Gonnu : Une fois n’est pas coutume, nous allons tout de suite passer à notre sujet suivant.
[Virgule musicale]
La Playlist de Libre à vous !, sélection de musiques libres déjà diffusées dans l'émission
Étienne Gonnu : Nous vous proposons une spéciale, La Playlist de Libre à vous !, une sélection de musiques libres que nous avons déjà diffusées dans l'émission
Étienne Gonnu : Vous écoutez toujours l’émission Libre à vous ! sur radio Cause Commune, la voix des possibles, 93.1 FM et en DAB+ en Île-de-France et partout dans le monde sur le site causecommune.fm.
Je suis Étienne Gonnu, chargé de mission affaires publiques pour l’April .
Nous allons passer à notre sujet suivant.
[Virgule musicale]
Un point avec l'association Interhop sur son recours contre le partenariat entre l'État et la plateforme Doctolib
Étienne Gonnu : Pour notre dernier sujet, j’ai le plaisir d’accueillir par téléphone Adrien Parrot de l'association Interhop, et Juliette Alibert, avocate au barreau de Paris. Vous êtes avec nous ? Nous allons avoir l'intérêt de discuter avec vous du recours que menait l'association de promotion du logiciel libre pour la santé, Interhop, contre un partenariat entre l'État et la plateforme Doctolib pour la prise des rendez-vous pour la vaccination contre le Covid-19 et nos auditeur.rice.s fidèles se rappelleront sans doute que nous avons déjà reçu Interhop qui avait fait un recours également contre le Health Data Hub, une plateforme pour la recherche sur les données de santé parce que cette plateforme hébergeait ses données chez Microsoft ; c'était à l'époque un recours victorieux puisque le Conseil d'État avait enjoint la plateforme à trouver une autre solution d'hébergement qui ne soit pas soumise au droit américain, on y reviendra sans doute. Qu'est-ce qui a motivé ce recours contre le partenariat entre l'État et Doctolib, Adrien Parrot ?
Adrien Parrot : On a fait ce recours au Conseil d'État ; on était associés à treize autres parties, dont des syndicats de médecins et de patients et la Ligue des droits de l'homme, aussi, qui était avec nous ; la problématique, ce sont des sujets tout à fait connexes entre le Health Data Hub hébergé chez Microsoft et le partenariat dans le cadre de la prise de rendez-vous chez Doctolib en l'occurrence, puisque Doctolib est hébergé, cette fois-ci, pas chez Microsoft, mais chez Amazon Web Services, qui est le cloud d'Amazon. C'est sur les mêmes fondements qu'on a attaqué ce partenariat, qui sont le recours à des sociétés soumises au droit américain, et donc non soumises strictement au droit européen, comme devraient l'être à notre sens les sociétés qui hébergent des données de santé.
Étienne Gonnu : Pourquoi est-ce que c'est un problème que ces données qui concernent les prises de rendez-vous pour la vaccination soient hébergé chez Amazon ?
Juliette Alibert : Ce qui est problématique, en fait, c'est la même problématique que dans le cadre du contentieux sur le Health Data Hub comme vous l'avez rappelé, c'est effectivement qu'en l'état, le droit américain, de par ses effets extra-territoriaux, ne permet pas de garantir un niveau d'adéquation en termes de protection équivalent au RGPD, et notamment au regard de certaines lois qui permettent aux services de renseignements d'avoir accès aux données sur le fondement du FISA ou de l'Executive Order ; le fait qu'effectivement Doctolib héberge ses données personnelles de santé au sein d'une société soumise au droit américain, ça veut dire que, dès lors qu'il y a ces demandes sur le fondement des deux bases légales que j'ai rappelées, effectivement les données se retrouvent aux États-Unis, en méconnaissance du RGPD ; ça, c'était problématique.
Étienne Gonnu : Le RGPD, qui est la réglementation européenne qui régule un peu l'usage que les entreprises -- ou n'importe quel acteur -- peuvent faire des données personnelles. Tous ces sujets seront traités dans la chronique mensuelle de Noémie Bergez sur Libre à vous, et qui pourra permettre aux personnes que ça intéresse de creuser le sujet. Là, vous parlez d'extra-territorialité, c'est-à-dire comment le droit européen peut s'appliquer à des entreprises étrangères, c'est ça l'idée ?
Juliette Alibert : Plutôt, là, en l'état effectivement on a des données qui sont hébergées sur le sol français, sur le sol européen, parce que les données sont hébergées sur le sol français et européen, mais comme c'est des sociétés dont le siège social est aux États-Unis, elles sont soumises au droit américain. Donc, sur la base de la section 702 du FISA, par exemple, il est possible à tout moment aux autorités américaines de demander un accès auprès de ces grosses sociétés aux données, et même à imposer à ces sociétés de taire l'accès à ces données, c'est-à-dire de le faire sans que les citoyens européens soient informés. Et sur la base de l'Executive order, c'est complètement différent : ces autorités-là peuvent pomper directement les données. C'est ce qui a donné lieu à une jurisprudence importante, la jurisprudence Schrems II cet été, qui, au regard de ces ingérences-là, a fait valoir que dès lors qu'une société qui héberge les données à caractère personnel est soumise au droit américain, c'est totalement incompatible avec le RGPD.
Étienne Gonnu : Oui, la fameuse fin du Privacy Shield, c'est bien ça ?
Juliette Alibert : Exactement.
Étienne Gonnu : Oui, dont on a beaucoup entendu parler. Si je me rappelle bien, cette décision, le Schrems II, est intervenue juste avant une décision du Conseil d'État dans le recours d'Interhop -- et d'autres personnes, dans le collectif SantéNathon -- contre le Health Data Hub, et c'est sur la base de cette jurisprudence que le Conseil d'État a donné raison au collectif SantéNathon, ou je me trompe ?
Juliette Alibert : Le référé était un référé liberté, c'était une décision de rejet, mais en même temps en substance à ce moment-là, le juge a reconnu au regard de la jurisprudence Schrems II qu'effectivement les risques étaient réels et il a simplement laissé un délai raisonnable pour que le Health Data Hub soit hébergé auprès d'un autre hébergeur, donc changer et passer de Microsoft à notamment un hébergeur soumis au droit français, ou au droit européen en tout cas.
Étienne Gonnu : Quand on revient maintenant au présent, vous nous faisiez part des grandes similitudes, la problématique étant similaire, c'est-à-dire un hébergement chez une entreprise soumise au droit américain, et pourtant la décision du Conseil d'État n'a pas été la même.
Adrien Parrot : En effet, la problématique que l'on essaie de soulever est vraiment systémique ; pour le redire, on n'est ni contre la recherche ni contre la prise de rendez-vous, l'utilisation d'outils numériques, par contre on veut vraiment faire prendre conscience des risques liés à ces textes de portée extra-territoriale, qui s'appliquent directement sur les serveurs hébergés, même si les serveurs sont hébergés en France. Donc en effet la décision ne va pas exactement dans le même sens que celle du Conseil d'État, de la précédente décision sur le HDH, sur le Health Data Hub ; dans le cadre de ce recours, on a demandé plusieurs fois à ce que la CNIL, à l'écrit et à l'oral, lors de l'audience, Juliette Alibert l'avait fait en tant qu'avocat, les parties l'avaient demandé, que la CNIL soit saisie, pour que la CNIL puisse donner un avis dans un cadre différent lors de l'audience au Conseil d'État ; en octobre dernier, c'était sur les entrepôts de données de santé que la CNIL avait donné son avis, donc un sujet connexe parce qu'il y a de l'hébergement de données, mais c'était pas exactement le même cadre, donc on voulait un avis juridique de la CNIL sur l'hébergeur, en l'occurrence, Amazon, et ça, malheureusement, on ne l'a pas eu, on n'a pas réussi à l'avoir, et c'est vrai que moi personnellement je suis très déçu que cet avis n'ait pas eu lieu ; il aurait été sûrement aidant d'un point de vue juridique et d'un point de vue technique aussi pour analyser exactement la sécurité de la plateforme de prise de rendez-vous.
Étienne Gonnu : Oui, bien sûr. On rappellera -- je pense que la plupart des gens connaissent la CNIL, mais au cas où -- qu'il s'agit d'une autorité administrative indépendante, la Commission nationale informatique et libertés, qui a pour objet de faire appliquer le règlement général de protection des données personnelles, et elle avait donné effectivement un avis, tu le rappelais, Adrien, contre le Health Data Hub, qui allait fortement dans le sens que vous indiquez, qui levait beaucoup de drapeaux rouges par rapport à la situation d'un hébergement chez Microsoft si je me souviens bien.
Adrien Parrot : C'est ça exactement ; elle disait que l'hébergement des données de santé du HDH, du Health Data Hub, devait être strictement soumis à des entités relevant uniquement du droit européen, et donc c'est vrai que c'est clairement un avis qui allait dans le sens de nos inquiétudes et de ce que l'on dénonçait. J'ajoute aussi que la CNAM, donc la sécurité sociale -- parce qu'avant d'envoyer des données, il y a une étape pour une partie des données, mais une grosse partie, une étape où c'est la sécurité sociale qui doit donner son accord pour envoyer les données au Health Data Hub, -- et j'ajoute que la CNAM, il y a peut-être maintenant trois semaines, à cause des problématiques juridiques que Juliette Alibert a mis en valeur, le FISA et l'Executive Order, a décidé de bloquer l'envoi des données au Health Data Hub. Le conseil d'administration de la CNAM a décidé de bloquer l'envoi des données au Health Data Hub parce qu'il était soumis à une société américaine et parce que c'est, en l'occurrence, Microsoft.
Étienne Gonnu : Oui, une décision concrète très importante ; alors, du coup, comment vous expliquez cette différence ? Quel changement de paradigme utilise le Conseil d'État pour arriver à une conclusion différente sur des sujets qui ont l'air finalement assez similaires ? Et comment vous, vous l'expliquez, cette différence de décision ? Juliette Alibert, peut-être, sur le fond juridique, déjà.
Juliette Alibert : C'est vrai que d'emblée, ça s'inscrit effectivement dans la lignée du contentieux sur le Health Data Dub, mais en même temps il y a des différences qui sont essentielles, qui sont majeures, puisque d'une part les données traitées par Doctolib, elles ne sont pas pseudonymisées comme c'était le cas pour le Health Data Hub, et ça, c'était important de le marquer, parce que cela veut dire qu'elles sont directement identifiantes. Ça, c'était un point vraiment différent, et ce qui s'est passé, c'est que le juge a considéré dans son ordonnance que d'une part, les données de prise de rendez-vous dans le cadre de la politique vaccinale -- dans le cadre donc du partenariat entre le ministère de la santé et de Doctolib pour gérer les rendez-vous pour les vaccins -- n'étaient pas des données de santé ; lors de l'audience il y a eu un long débat ; les parties et moi-même avons fait valoir qu'effectivement c'était bien des données de santé puisque directement le fait de répondre à la question : est-ce que la personne a eu une première et une deuxième injection ou non, ça renseigne bien directement sur l'état de santé de la personne mais même indirectement puisque les personnes, dès lors qu'elles ont un compte associé préexistant, il suffit de croiser l'ensemble des données, et puis on sait effectivement notamment pourquoi elle a pu avoir une première injection en tant que public prioritaire. Donc rien qu'au moment en fait où elle se fait vacciner, on peut en déduire que du coup elle était public prioritaire parce qu'elle souffrait d'une pathologie importante, puisqu'il y avait une liste de pathologies pour avoir droit au vaccin. Donc ça c'est un des raisonnements du Conseil d'État -- peut-être Adrien pourra me compléter -- vis-à-vis duquel on est extrêmement inquiets parce que ça signifie donc aujourd'hui que les données que sont les rendez-vous ne sont plus considérées comme des données de santé ou en tout cas ça ouvre cette brèche-là. Alors là, on nous dit que ce n'est que pour la politique vaccinale, mais ça ouvre cette brèche qui est très inquiétante, et du coup ça crée un risque majeur d'atteinte, demain, au secret médical. Ensuite mais peut-être, je ne vais pas être trop longue, on pourra en discuter après, mais ce qui est passé, c'est que le juge, dans sa décision, a fait valoir qu'il y avait des garanties contractuelles suffisantes, notamment un contrat entre Doctolib et Amazon qui permettrait en tous cas a priori à Amazon de notifier la société Doctolib si elle avait des demandes d'accès par les autorités américaines, ou en tous cas d'essayer de s'y opposer, alors même que quand on lit le FISA, par exemple, on se rend bien compte que de toute façon sur la base de ces textes, les autorités américaines peuvent directement demander à Amazon de taire ces demandes, donc on ne voit pas vraiment en quoi c'est une garantie. Et en termes de garanties techniques, ce qui a été mis en valeur par l'ordonnance du juge c'est qu'en fait il y avait de toutes façons un jeu de clefs détenu par une société tierce de confiance et que ça suffisait. Mais lors de l'audience il y a eu deux heures d'échanges sur les aspects juridiques et aussi sur les aspects techniques, et j'aimerais vraiment qu'Adrien puisse compléter ensuite, sur tout ce qui était chiffrement, et en fait c'est vrai que dans l'ordonnance, tout ça est réduit en un tout petit paragraphe, et je trouve que c'est dommage en fait, parce qu'il y a énormément de questions qui étaient posées et on a fait valoir effectivement que la CNIL devait être saisie, et ça n'a pas été le cas…
Étienne Gonnu : On voit déjà aussi pour rebondir sur le manque d'avis de la CNIL, on devine, même sans être spécialiste du sujet, tout l'enjeu qu'il peut y avoir à considérer qu'effectivement les données par rapport à un rendez-vous médical puissent être considérées comme des données personnelles, et tout le danger qu'il y a à considérer qu'elles ne le sont pas, qu'elles n'ont pas cette sensibilité-là. Effectivement, on sera vigilant à voir les évolutions jurisprudentielles qu'il pourrait y avoir par rapport à tout ça. Effectivement, je pense qu'Adrien aura beaucoup à nous dire là-dessus sur un sujet qui est difficile, celui de la cybersécurité : si j'ai bien compris, pour reprendre les propos de Juliette Alibert, l'une des justifications pour dire que finalement le contrat était OK par rapport au RGPD, c'était de dire que voilà, il y avait des clés de chiffrement, donc que les données n'étaient pas accessibles à moins d'avoir ces clés pour déchiffrer les données, mais Interhop a fait un travail de fond très important pour montrer finalement que non, ce n'était pas satisfaisant d'un point de vue de sécurité. Adrien, tu as la lourde tâche de rendre accessible à des personnes non spécialistes de la cybersécurité tout cet enjeu.
Adrien Parrot : Pour rebondir juste rapidement sur les rendez-vous, dire que les rendez-vous ne sont pas des données sensibles et des données de santé ne s'appuie sur aucun argument en lien avec le RGPD, avec le règlement de protection des données : le RGPD définit des données de santé comme étant en lien directement ou indirectement avec un état de santé, donc déjà la définition est très large volontairement, pour être protectrice pour les personnes, la CNIL, et l'Ordre des médecins dans un papier commun avaient clairement dit que les rendez-vous sont des données de santé. Encore une fois : dire que des rendez-vous de vaccination ne sont pas des données de santé ; alors est-ce qu'un rendez-vous de gynécologue, de proctologue est une donnée de santé ? Est-ce que le cardiologue est une donnée de santé ? Je pense que c'est très dangereux de commencer à différencier des données de santé sans fondement réel juridique, et je rajoute aussi que le secret médical, c'est le fondement de la médecine et que c'est parce qu'il y a un secret, parce que les patients peuvent parler librement qu'on peut faire une médecine de qualité. Il faut garder à tout prix ce lien de confiance entre les soignants et les soignés, et c'était déjà ce qu'on défendait pour le Health Data Hub : c'est ce fondement même de la confiance et de la relation de soin. Sur le chiffrement, du coup, ce qui se passe pour les rendez-vous -- c'est tout à fait détaillé sur le blog d'Interhop --, ce qui est chiffré ce sont les données au repos et les données en transit ; les données au repos, c'est par exemple une sauvegarde, c'est un ensemble de données au repos, et la sauvegarde, par exemple, est chiffrée chez Amazon aussi. Cette partie-là est chiffrée ; par contre, les clés de déchiffrement, il faut toujours se poser la question, quand on parle de chiffrement, où est la clé de chiffrement, et cette clé de déchiffrement, de toute façon, elle est chez Amazon aussi. Donc même si les données sont chiffrées au repos -- donc là, je parle vraiment d'un sous-ensemble, la sauvegarde --, de toute façon les clés de déchiffrement sont présentes aussi chez Amazon. Deuxième gros bloc, c'est les données en transit entre le serveur et le navigateur ; donc là c'est le protocole HTTPS ; le S de HTTPS, ça veut dire que c'est sécurisé, mais on voit qu'on décrit deux blocs chiffrés, les sauvegardes et les données entre le serveur et le navigateur du patient, ou même du médecin, mais il y a plein d'autres étapes qui à notre sens ne sont pas chiffrées, le serveur typiquement, pour un peu plus les experts peut-être, le backend qui accède aux données de la base de données, lui forcément a accès aux données, et ce backend il est aussi chez Amazon. Donc, voilà, il y a un moment donné, pour résumer, où les données sont de toute façon déchiffrées sur le serveur d'Amazon. Et deuxième grosse alerte de notre analyse technique, c'est qu'entre les serveurs Amazon et le navigateur des utilisateurs et des utilisatrices, il y a ce que l'on appelle Cloudflare, qui est une société soumise au droit américain qui a des intérêts techniques, donc on n'est pas en train de critiquer l'intérêt de mettre Cloudflare, par contre la problématique de Cloudflare, c'est que cette société et les serveurs de cette société américaine voient toutes les données passer en clair aussi, et ça c'est aussi un appel un peu peut-être aux plus geek qui écoutent et peut-être même la CNIL, de parler de Cloudflare, et d'expliquer sur les réseaux, c'est vraiment un point central qui présente une faille de sécu très très importante.
Étienne Gonnu : Merci, je pense que ça a été relativement accessible, et clairement c'est un sujet qui est complexe ; j'invite vraiment les personnes que ça intéresse à aller voir, on mettra le lien sur le site de l'April, Interhop a fait un gros travail d'explication, avec des schémas, pour rendre le sujet plus accessible, un sujet qui n'est vraiment pas évident sinon. Notre temps avance, j'aimerais vous laisser le mot de la fin : est-ce qu'il y a un point central sur lequel vous aimeriez venir, un point qu'on n'a pas abordé, qui vous paraît essentiel avant que nous nous quittions ?
Juliette Alibert : Pour moi c'est essentiel en fait que sur ces contentieux importants, l'aspect juridique et l'aspect technique soient un travail des techniciens avec les juristes, et c'est vrai que ça a été un travail de fond très important qu'on a pu mener ensemble avec les parties, et notamment avec Interhop pour faire valoir les enjeux en termes de garanties techniques, et vraiment c'est extrêmement dommage que la CNIL n'ait pas pu être saisie d'autant qu'Adrien a rappelé tout ce qui a pu être démontré dans le cadre de l'audience, mais ensuite il y a eu un gros travail parce que des journalistes d'investigation qui sont venus à l'audience, France Inter, une journaliste qui s'est saisie elle-même de la question, qui a fait les mêmes vérifications que celles que Interhop avait faites et avait présentées à l'audience. Il y a plusieurs journalistes, un chercheur de l'INRIA qui sont arrivés aux mêmes conclusions que celles qu'on avait déployées, donc ça montre bien que c'est important qu'il y ait une montée en compétences et en tout cas vraiment un travail entre les juristes et les techniciens, enfin, je sais pas comment les appeler, les geeks, sur ces sujets-là, parce que ça permet de mettre en exergue, de faire valoir l'absence de garanties mais de façon très concrète. Effectivement je rejoins aussi Adrien : un des points vraiment qui nous met en difficulté, c'est sur les données de rendez-vous qui ne seraient pas des données de santé, ça, je pense que c'est une énorme alerte et qu'il va falloir être vigilants et les parties de toute façon n'entendent pas en rester là. C'est infondé d'un point de vue juridique, en tous cas à notre sens, et la politique de vaccination et le Covid, effectivement il faut répondre aux enjeux sanitaires, mais ça ne permet pas d'aller trop loin et en tout cas de revenir sur des acquis en termes de protection de la vie privée et du secret médical.
Étienne Gonnu : C'est entendu, en tout cas, on va suivre votre lutte et vous soutenir autant que possible. Merci beaucoup Adrien Parrot, président de l'association Interhop, Juliette Alibert, avocate au barreau de Paris. On rappellera les liens, notamment un lien pour soutenir alors non seulement financièrement mais aussi par des contributions techniques la superbe association Interhop ; un grand merci à vous et je vous souhaite une bonne fin de journée et meilleurs voeux pour la continuation de notre combat.
