Va: ref 444937 CONSEIL NATIONAL DU LOGICIEL LIBRE c/ MINISTERE DES SOLIDARHFS ETDE LA SANTE CONSEIL SECTION DU CONTENTIEUX REFERE L. 521-2 CJA MEMOIRE EN OBSERVATIONS Pour La Cummission nationals de l'informatique ct des libertes (CNIL) dont le siege est 3 place de Famenoy, TSA 80715, 75334 PARIS CEDEX 07, repreentee par sa Presideme. nc'msurm A mm": a: In rm dam 1511mm; mum a um um: exam . L5 pawn/la: arm ln/ormmiqm: mums en mm a Iapwreman an mm mm; am am no momma>>: an lune nu par murmr "ml. Paar an 1::er pm ITS ET PROCEDURE Le Pimeforme des donnees de same (PDS), egalelnenl appelee Heallh Dam Hub Ll ele par la lol 11" 2019-774 du 24 juillet 2019 relatlve l'orgauisafian et In nansformatiun du sysleme de sanle (OTSS) e! par arreie du 29 novembre 2019 pnur faciliier le panagc des donnees dc same afin de favoriser la recherche. Dans Ce cadre. la PDS a vocal-ion 21 centraliser l'ensemble des dormees du systeme national des donnees cle sallte', regroupanl les donnees dz sante dc l'ensemble de la pupulalion soignee en France. Elie est responsablc du tmitement an sens du RGPD. La FDS a fait le choix de recourir aux services de Microsofl, soelete dum le siege est simi': aux Elms--Unis, en tam qua sous-traitzmt an du RGPD, afin d'heberger infommtiquemem les donnees de sanre nemellement en sa possession (services AZURE dits dc Cloud computing). La saciele Microsoft nvait adhere 2m Privacy Shield, instrument encadrant les de dounees a caraciere personnel vars les Elms-Unis ayant fail l'objei de la dec ion d'adequazion 2016/1250, par la Commissian enropeenne. Les transfens de donnees ii caraclere personnel ope'res clans cc cadre soul. en cum: encadres par l'imermediaire de clauses contractualles types anncxecs an comrat. LL: 5 ociobrc 2020, la Commission national: de cl des libertes a ete rendlle destinamil'e, pour production d'observalions, dc la requetc en refere deposee par la Conseil National du Logiciel Librc CNLL :1 autres sur le dc Particle L. 52 du Code d: justice administrative, enragisrree an gruff: de la Sectinn du Conumtieux du Consell d'Emr sous 15 ll" 4449371 La requele en Iefere met pnneipaiement en cause in commriele llu RGPD des transform potentials Lies donnees en cause vars les Ems-Unis, A l'inin'ative de Microsofl on d'aulorites publiques des EmsAUnis, noramme'ui des services de renseignement, Le at nutres sollicitem ainsi que le trail/amen: er la centralisation des donnees en lien avec l'epldemie dc Covid-19 sur la Plaleforme ties dormees dc same Healrll Data Hub soicm suspendus aux fins de meme lm term: 'aunc aneime grave et manifesremem illegale an droit 2'1 la vie privee et :1 la protection des donnees personnelles, a as qu'il soil enjoin: mules les mesures llecessail'es aux fins d'assurer l'absence d'mteinte grave at manifestemem illegale an dmit i: la Vie privee at A in protection des donnees personnelles en lien avec le traitsment at la centralisation des donnees tie same sur le Health Data Hub, a rifle iaire, que la CNIL soii soilicite'e aim fins de simmer 5111' its implications de l'invalidmion (in Privacy Shield sur le trailement e! la collecle des dolmees au sein de la Plateforme ales donnees de same. Article L. MEX-1 du l'ense'mhle den donnees liees a l'hosplizlismion issues an .ls medicnlisnfion des syslemes d'lnfol'matiolx on les de l'n sumnce nlaladie on SNIIRAM, les donllees relatives nu stutm vital at aux causes medicales de as ex on CeplDC' les donnees ales maisons depsnementalcs des personnes hundimpees cu MDFH, zles dunnees m-ossnam dc; organismes d'assnrance nmladiemmplememaires, touts nu proclaim l'ou'asion Lies aciiviresde prevenficn, d: diagnostic ml dc soills. c'esr-ii-dlre mus les dossiers medium par un elablisselnent. lm de same liberal, em, des donnees rem-m a in perm d'autonom des donnees lies enquetes domaine de la simte, la: remeillics lors ries medieales er de depistage clans ecok-s. dunnecs issues lies centres de praise-Linn s: Du mr. dormers tolleerees dans le cadre de la medceine (in small, L'affaire lellc qu'elle se presente appelle, de in pan de la CNIL e! sans qu'elle n'entende se positionner sur chacun des arguments souleves par la requete, [es observations suivantes. OBSERVATIONS 1. La position de la CNIL avant I'intervention de l'arrfit de la CJUE lejuille12010 flit II (CJUE 16 juill. 2020, DPC c. Facelwok Ireland et M. Schrems, 31f. La CNE a ete saisie en avril demier de la question de l'utilisation de la PDS Plans le cadre do [a arise sanitaire de la Covid-IQZ, A cette occasion, si elle avait reconnu la qualite des mesures de securite protegeant les donnees caractere personnel, elle s'etait inquiete'e du fait que le choix de Microsoft pour l'hebergement des donnew impliquait, malgre ies precautions prises par la PDS, que des innsferts de donnees Vets les Etals>>Unis soient realisesr A l'epoque, les transfens en question zestaient converts par la decision d'adequation 2016/1250 du Privacy Shield. En vertu de la jurisprudence de la CJUE 6 octobre 2015, dit Schrems 1), i1 appanenait a la CNIL et aux auturites franqaises de respecter cette decision qu'elle n'avsit pas ete invalidee par 12 CIUE, unc procedure etant alors en coins. F11 outre, les transfers etaicm encadres par des clauses conusetuelles types Malgre cela, la CNIL a mppele dans son avis du 20 avril 2020 que le Comite europeen de la protection des donnees (CEPD) avait exprime a plusieurs reprises ses inquietudes concemant I'scces particulierement large par les autorites des Etats--Unis aux donnees A caractere personnel transferees aux Etats-Unis ou rraitees sur des plateformes techniques operees par des socieies etstsuniennes. La CNIL, sans estimer qua la situation serait illegale ct aurait jusn'fie un avis defavombie, a done appele le gouvemement une extreme vigilance s'agjssant des conditions de conservation e1 modaliies d'acces aux donnees, eta recommaude que, a plus long terme, l'hebergemenl et les services de gestion de la PDS puissent etre re'serves in des enlile: relevant exclusivement desjuridiclians d2 1 'Union europe'enne Ln CNIL avait d'ailleurs regu Lies assurances sur ie fait que les services de l'Etat et de la PDS Lravaillaient a la reversibilite des travaux de constitution du HDH, destinee rendxe possible un changement d'hebergeur spies la montee en puissance du systeme en cours dc deploiement 2 Defibermion 11' 2020-044 du 20 nvril 2020 pom! Iwis sur un projet d'axrite wmplelanl l'arrele du 23 mars 2020 prescrivimt les mesum d'orgnnisatinn at in fanctiannement du symme de snnte necessnires puur 1m face A l'epidemie decovidrlg dnus le cadre del'etnt d'urgenwe 5mm 3 2. Les cnnsequences de l'arret de la CJUE du lfljuillet 2020 16 juill. 2020, DPC c. Facehook Ireland at M. Schrems, aifl Call/18) L'm'rel du 16 juillet 2020 a radicalemenl change' In situation du (scours {a des solutions d'hebetgemeut foumies par dos acleuts etstsuuleus, de ('ugon genemlc e! an particulier pour les ellfl'cpfits dc dormecs de sante, La CJUE, dams son anel 0311/18 du 16juillet 2020' dit threms II, a estime . D'uue part. que les exigeuces dc la secuou 702 du Forei lmelli venue Surveillance fl (FISA) at 1 Executive Order 12333 du (Imil emtsunien, qui insfitueut des programmcs permettaut l'ucces des autoriles publiques elalsuuiennes (1135 fins dc securite nationals aux donnees personnelles u'msferecs d: Vets les EmtsAUnis, de fagon paniculieremcnt large ct sans ciblage, entraincm des limitaiions dc la pmtection donnees personnelles qui ne sour pas circonscrites de manierc a satisfaire exigences essentiallemcnl equivalemes 2i mqulses par le dmit de -- D'aulTe pan, qua certs legislation n'xccorde pas aux personnes concemees das dmits de recours devant juridictions contre les automes etatsuniennes (la souligne qua Des programmes De prevoicnt aucune limitation du pouvoir ceufere aux autorilc's etaLsuniennes, m' dc garanties pour les persmmes ciblees non etatsunielmes) En cu sens. la Cour a estime que la droit elaEunieu, du fail de In section 702 du FISA at l'ExccuthIe Order 12333, n'assure pas un niveau de proteclion cssemiellcmeut equivalmt au droit europeen rclalif la protection dfis donnees camclere personnel, Ainsi, du [alt de l'ampleur ds l'atteinle portec aux droits fnndumemaux parser-mes dent les dunnecs son: Vel'S ce pays tiers, la CJUE a, an pramier lieu, declare invalidc la decisimi d'adequatinn 2016/1250 du Privacy Shield. La Cour a par aillcur; relcve que la legislatiun precitee s'applique xi (out transfen vars les Elais--Unls par vole elecuoniquc qui relev: du champ d'application dc C8116 legislation, at ce quel que mil l'outil Ila utilise". Si Cour n'n pas, en second lieu, invalide Ies clauses contractualles types par la Commission alle a neanmoins indique qua, pour les utiliser valablcmem, il uppam'cm au responsable de trzaitemeut d'evaluer si la pays tiers lcquel les donnees unraclere personnel serum transferecs assure un nivcau de protection essentiallemcnl equxvaleut 5i celm de l'Uniau europeennc. Si ce n'est pas le uas, ll meme en place des mcsures ndditionnelles pour assurcr 1e nivcnu de protcction des donnees rcquis, on noiifier A l'aulorite de protection des donnees competeute son intention de continue? a u'ansfiirer des donnees sans ces gaxanlies. 3 nu 20: . L'anjcle 702 glacronique" (vm'r la defim'n'on fiqurunt a l'ariiclu 50 use 1881(b)(4)), mum's qua I'Exccun'ue Order 12333 organise (a elecrrum'qup, qul est defim'u comm: 4v I'ncqul'suinu dune communication non publlque pm' 4m magens cm iques sans (e umxsememeul (1'1er pcravnne qui eszpam'e 5; mm communication Hem-unique on, dans la m: .1 mm camynunicufiou non electronique, sans (e comenremenr d'unn quiest visiblcmun! mum In ac la cmnmunx'cnlion' a Pentium" d9 l'ub'lisan'on d'un eqmpemenl radiogoniomelriquc den-mm" dam (3 4 Dans conditions, 51 des lransl'erls sont effectivemcnt envisages a destination Elms-Unis, notamment sur la base de clauses conu'acruclles types, des mcsures additionnellcs doiveut etrc prevucs par le rcsponsable de tl'nitemenL Elles parliculieremeni difficiles apporter. Dcux Situations son! 5 dislinguer dans la mcsurc on les programmes dc surveillance regis par lc FISA et l'E012333 no couvrenl pas des organismcs elals-uniens mais seulemem canaius d'cnm: aux, nolamment les foumisscurs de service dc communication -- Lorsque lc destinalaire das donnees (non chiffrees on decliiffiables par lui) est dircclemcnr soumis GBP1 13 surveillance et aux demandes des auzorites dc renseignements reg-leg par le FISA ct la mise en ceuvrc de garantics additionnelles protegeant eerie surveillance apparait partlculiercment delicate 3} meme en muvre. C'est In situation clans Iaquelle Se {rouve Microsoi'r aux Elms--Unis. - Lorsque le destinataii'c n'est pew dans le champ de la surveillance instituee par les deux normes Jugees incompatibles avec le standard minimum de protection cxige par le RGPD cr Particle de la Chane des droits fondamenlaux de l'Union europeenne (par example une societe industrious aux EtatsVUnis), les donnees sour, malgm' ccla, ge'neralcmenl soumiscs aux programmes de surveillance on question lots dc lcur transit vers le dcsiinmaii'e. En effet' ce transit utilise canaux dc communication qui son: soumis aux programmes dc surveillance examines par la CJUE. Des mcsures additionnelles de chiffremem sonr, en revanchc, probablement de nature ii pcrmertte, sous ceriames conditions, It: rnriinrien d'un nivcnu dc prolcctiou mffisanl des donnees. Le CEPD (Comite europecn de protection des donnem') travaille preciser ces conditio -. ll fuui an ouuc, an (out emt dc cause, que le destinataire rapport: {:galement des gas-antics suffisantes sur lo Lraircmeni qu'il feta donnees, notaminenr lors dc leur transfer: entre ses differems sites potentials par la biais de canaux sournis :l ces legislaiions el en consideration les autrcs dispositions de la legislation eratsuniennei Eufin, en iroisieme lieu, si la Cour lie s'ast penchee qua sur le cas an un npel'aleur lransfire de sa propre initiative des domiees vers les Etats-Unis, qIIl etnir celui de l'espece, les motifs do 53 decision impliquent d'examiner la liceire d'une situation or) Inn operareur traitant des donnecs sur le numpeen s'expose devuil' les transferer sur judiciaire on administrative aux services de eratsuniens' ainsi que le la rcquete (voir ci-npres). 3i Sur dc transferts de donnees de la PDS vers Etuts>>Unis ii l'inifiativc dc In PDS, (In ses ntilisatelu's on de Microsoft Lorsqu'elle a examine la simmion en avril, in Commission a conclu 5i l'exislencc dc lransl'srts residuals de donnees dc same vers EmsUnis ce qui, s'ngissanl d'une platefonne appclec a centi'aliscr uric quantite cunsidc'mblc de donnees, a justifie un apps] de la Commission A line exll'emc vigilance el zl efforts pour supprimc'r ces En offer, etmr etabli one 165 donnecs an rcpos elaiem'. stockecs en Europe at si l'utilisation des donnecs par les clierclieuis, pour leur calcul, nc doit pus, selon les indications donl dispose la Commission, dormer licu A dos lransf'ens. ceux-ci resmicnt possiblcs dans le cadre (lea; diverses operations des systemes d'information que Microsoft sera amene re'aliser. ll fan! relevcr que les Cles de ehiffi'ement soul detenues par Microscfi. La PBS 8 choisi dc reenurir a un dispositif rnis en place par Microsnfl qui institue un sysieme de contrele des acces des administrateurs de Microsofi aux donuees, a la main de la PDS, denornn-ie Customer Lackbax Ce systems: constitue une garamie de limitation des transfens, dans lamesmre ou la PDS assure qu'elle refusera tout transfert. cc disposilif, encadre par certains elements du central, mmporte des exceptions an principe de conndle a priori de la PDS, dans le cadre de sce'narios inaliendur ou imprevisibles cor-respondam [1 de: catastrophes an en ea: 'accesfierit aux dunnee: par un inge'nieur Microsafi La pseudonymisation des donnees personnelles est par ailleuxs souvem avance'e comme une autre gazantie permanent de limiter les detoumements de donnees Si cette mesure pen-net effectivcrnen! de limiter les risques, la estime qu'elle ne per-met pas de lever tout risque d'identification des personnes. En effet, les durinees detenues per la PDS sent des donnees de sante fies detaille'es er done tries fortemeut identifizmtes. Elles le serum dc plus en plus a mesure que cette nouvelle infiastructure montera en puissance. Mime si les et prenoms n'y figurent pas, i1 Sara possible (1: re-idcmifier une pm, probablement substantielle, des personnes en croisant les donnees de same avec d'auu'es sources de donnees. Cene analyse a justifie la position qu'a prise la Commission dans son avis du 20 avril detnier. A la suite de cet nvis, la PDS a canclu nvec Microsofi un nouvel avenanl, communique la Commission et qur limite encore davemage les transfens. En eflet, l'avenam prevoit que les donne'es de la PDS seront (an repos) dim: la zone geographique determine'e par la PBS, at confixme la possibilite pour la PDS de determiner egalement la zone dams laquellc les donnees serum traitees commie your la resolution ems. Ce paragraphe de l'evenant mentionne une liste Iimimtive de services specifiques. SI cene iste devait couvnr l'ensomble des services auxqucls recourt la PDS pour la mise en place (in mm}. dam hub, 13 signature de ce! avenant amenerait a conclure qu'il n'y a plus aucune possibilite de transferls de donnees vers les Ems-Unis qui soit possible 3: l'initian've de Microsofi, sous reserve egalement que la PDS s'engage ne jamais les autoriser. Cependant, la CNIL a interroge la PDS sur le fait qu'il n'cst pas sur, ii In lecture des documents, que l'nvenant oeuvre l'eusemble des services en ligne Azure sensor-its par le contra! principal. Elle souhaite egalemenl s'assurcr que eel avenant l'emporte sur les documents contractuels relatifs i: la 4< Custarmer Iockbux qui, aux, prevoient des exceptions, comme cela ele indique. Ces points sent en cours d'insn'uetiani ll n'est done pas possible de conclure de maniere certaine, 3 Ce stade de l'instructjen, 5r l'absence de transfert de donnees pmonnelles, notammenl relatives 3 la same. 11 est renvoye sur ces points aux precisions qui seront par la PDS. Si des transfens devaicnt subsister, ils seraienr dune illegaux is la suite de l'intervenfion de l'arret Schrems II. 4. ludependamment de de transferts l'initiative de la platel'nrme ou de Mlcrosnn, sur la possibllite de lransferts 51 la demnnde des services de renseignernem des Elam-Unis. hidependamment de certe question des nansfens operes par Microsoft dens le cadre de de in solution technalogique offerle a la PDS, se pose la question, soulevee par 6 la inquete, des transferis operes par Microsofi a la demands des services de ransaignement des Elms-Unis. D: on point dc vue, la CNH. s'est reintermgee depuis l'inlervennon de l'arret Schrem: II sur 15 point dc savoir si la legislaiion americaine contraint legalement Micmsofi a communique: aux services do tenseignement des donnees cntreposees et traitees uniquement hots du territoire etatsunien, pour lesquelles il delicnt les cles dc chifli-ement. La CNIL relevc dc at point dc vue qua l'avenant signe par la PDS, qni limits fonement les transfers a i'inifiative dc Microsofi, stipule egalement que Microsofi ne divulguera ni ne dormem acne: 21 we qualcanque Dannee Trairee aux autorites, :aufm' In 101' I'm *2 (soulignamani ajoute). Si on laisse dc cete 1e CIarifi/ing Overseas Use of DaluAct ou Act qui n'n pas ete examine dans l'anet Schrems II (mais ant he caractere extraterritorial ne fait aucun dome), 18 estime, en l'etat des informatians don! elle dispase, que les iegislntions FISA at 130 123333 s'appliqucnt aux donnees stuckees en dehors du ten-itch: Etals-Unis. S'anissaut dc la loi Foreix'n Intelliceiice Surveillance Ac! FISA. 702 La section FISA 702 conceme 1e ciblage de personne: dam an pent misonnablemem peru'Er qu'elles Se tr'ouven! en dehors des Eran-Unis pour ablenir des infirmations de remeignemerzls e'lrar/ger: ct s'applique aux <des Etats>>Ums. Implique la possibilile d'un acces A 655 information: an dehors du (errlioim elmsuniend Les nutm'ites emtsuniennes ennfirment elles--memes l'exislence de demandes concernant des donnees stockees sur le tem'tolrc de IVUuion, en particulier dans le receni vax'e Blane sur les suites de l'an'et II pnblie en 2020 conjoinlcment pa! le Deparlemcnl du Commerce, 16 Depanemem de la Justice, a: le Bureau du Dirccleur du Renscignemanl (ODNI) qui fail reference aux <4 cmreprisex qui Immferen! (1e: dnmrez: depuis at m' an! real (135 ordre: aulorises par la FISA 702 exiuealy; 1a diva! valiclLde dannc'e: aux agance: de rcnsex'gnement americaims dz: fins d2 randeignemen/x ezrangerx (soulignemeu! ajoute). avissang dc Z'Exqgulive Order 12 333 Ce decret presidential fonds principalement 155 techniques d'inlercepu'ons des fins de renseigucmem sur signaux (<>) et done an paniculier techniques cle collecte e! filtragc sur les donnees en transit, vets on an dchors Ems-Unis (cables sous- marlns. communications em. En lc G29 avail cansidere que 12 champ d'applicarian de [75012333 est largz enprincipe, mute collecte dz donne'es d2 remeignemenm ezmngers peut avair lieu In zlisurerizm du presidem des Elam-< cancemani sociele's ou d'aulre: nrganisatian: commerciales. (E0 12333, 2.3). Cunn'airement a In section 702 FISA, 1e decrel rest: canes vague sur la forme que peuvent prendre les acquisitions e: interceptions. Au regard des informations dont dispose la CNIL, il n'est pas exclu qua can: acquisition puisse egalemeut se faire par des demandes d'assislance cu d'aeces adressees aux fournisseurs de services. (*kfi En conclusion sur ee point, en l'elal de ses instructions, In CNIL estime done que, merne dans 19 GBP35 all l'ahsence de transferts de dunnecs personnelles en dehnrs dc :3 dc: fins ile fourniture du service semit confirmee, la societe Microsoft pent etre soumise, sur la {ondement du FISA, voire peut--elre de PEI) 123333, a Iles injunctions des services de renseignement l'obligeant 5 leur transferer des stackees et traitees sur le territoirc dc l'Uninn europeenne. 5. Sur l'illegalite qui en resulte pour le EDH et les enh'epfits rle donnees de sante lieberges par des acteurs soumis au droit etawunien. La CNH. estime que les demandes des autorltes emts-uniennes, emises en vertu de la section 702 FISA ou du decret E0 12333, et adressees Microsofi pour des trailemems soumis au RGPD, devmient etre considerees comme des divulgations non autorisees par le droit de I'Uniun, en application de Particle 48 (in En effei, d'une part, ces demandes interviennent en dehors de (out accord international ou traite d'entraide judiciairc} D'autre pan, ces demandcs ne peuvent se fender sur aucun autre cas prevu par le chapilre du RGPD, sous rescrve de ce qui saw (fit plus has sur les demgaiions de Particle 49, dans la mesure ou la cour a juge que les programmes dc surveillance etablis par ces normes, ainsi que l'absenee de reeours juridictionnel, rendaiem ces transferts structurcllemem incompafibles avec 12 standard de protection minimifle, La pas sans ignorer que can: situation, induite par l'an'et Schrems 11, depasse largement lc cadre du seul en cause dans la quuete. Elle reserve sou appreciation dex eonsequences qu'il convient d'en tirer dans d'autres seeteurs et pour d'autres donnees prescntant une moindre sensibillte. S'agissam des donnees de snnte' alle souligne cependam qu'i] exisle, A 52 connaissance, de nombreux entrepfits de donnees 'de same, depmdant hospitaliers cu d'autres responsables de u'ailement, qui son! hebcrges par socieies eiatsunienncs et qui sonl. dime plaees dans la rnemc situation que le HDH, Voire auloriscm plus largement les uansferts vars EratsUnis A la main du sous-traimnt, nmammem 'Am'cle 49 .- mnsiens nu divulgaiions non aulorisk par la moi: de Tome decisr'on Ll'unejuridicfion an am aurari're administrative d'un pays tiers exigeant d'lm du h'aitemenr Du d'un saus-trm'mnr quit trans/Ere nu diwlgue de: donnees a mmcterv pmonnei HQ pen! em: reconnue on mxdue "magi" d2 quelquz muniere quiz :5 soil quii Ia qu'elk seirfimdee sur un accord immanent, tel qu'un mine d'enh'al'de judiciaire, en ul'gumr arm? 12 pay: tiers demandmr 2! (Union mi un mm memhre, sans prijudice d'aurres mmifs .12 transfer! an mm du presentchapitre a Un in aecnrd devrni! 2n nutre am conforms a l'arn'de de mm: des dmiis d: minim impairing Ce q\|i delicnt a lemme fies matifs a: l'arrEt 11, en ribsem de garanh'es supplemenmires commie; parles Emu-Unis. pour les operafiuns d'adrninistration. Par consequent, la ponrsuite des autorisations de traitemenl de ces donnees, notarnment dans le cadre de recherches scientiflques. apparait problematique du fait de l'intervention de l'arrel Schrem: II. E. l'nblignfion qui en resulte de modifier les conditions d'hebergement des donnees de sante, au sein de la PDS, et la possibilite de menager line periode transitoire. La Commissiuu en tire pour consequence que le souhait qu'elle avait emis clans son nvis du 20 avril 2020 repose desonnais sur une obligation legals, l'met Schremr devant cunduire selon elle, pour le cas des donnees de sante et en particulier dans la perspective de leur centralisation au sein de la PBS, 5 soustraire ces donnees Ea is possibilite d'une cummunication aux services de renseignement sur le fondsmenl du FISA Voire de 1150123333. Dans la mesure ou cette conclusion ne resnlte pas directement de ['arret Schremr 11, qui comemait les mmsferts, mais de I'applicatien de ses motifs '51 des demandes de communication de donnecs non encore transferees aux services de renseignements etatsmniens, la Commission souligne qu'elle funde sa position sur les panicularltes des donnees de sante et n'emet d'upinion que sur ce seul cas. Cone situation dnit conduire selun elle 'a modifier les conditions d'hebetgement de la PDS, ainsi que cellm des mines eutrepfits de donnc'es cle sante' qui sont heberge's par des societes soumises au droit etatsunierL La solution la plus effective oonsiste confier l'hebergernent de oes donnees des sncietes nun soumises au droit etatsunien, sans prEjudice du respect de la legislation sur les neutrals et sur les marches publics. La CNIL souligne qu'il ne suffit pas que l'hebergeur son siege social hots des Ems-Unis pour ne pas etre soumis en paflifi au droit etatsunieu, s'il exerce une activite dans ce pays. 11 ievicnt ce ca: 5: l'hebergeur dc montrer que des mesures organisationnelles appropriees lui permettent d'assurer lc niveau de protection rcquis. La filialisation des activiles dEployees flux Etats>>Uuis constitue l'une des pistes avancees par les acteurs. La etudie cette question en lien avec ses humolugies. Il est egalemem pent--Eire possible de mettre en place un disposilif contractual par lequel la societe americaine met en place un accord de licence avec une sociele europeenne qui a scule la possibilite d'agir sur les donne'es dechiflirees, et qui beneficie des services ct dc l'expertisc de la suciete americuine, sans que cclIe-ci n'aitjamais un acces aux dunnew. Uri tel montage, qui peut dependre egalement dc la nature des services requis, devrait etre assurli de garnnties pmiculierement fortes. Sa faisabilite est acmellemem etudiee en lien avec ses humolngues par la dans le cadre des travaux sur les mesures additionnelles cnvisagees par l'arret Schrem: [1 pour les clauses contracmellcs types. La CNIL estime quc 1e changeincnt de la solution d'hebergement du HDH et des autres entrepfits de santn': heberges par les socie'tes soumises au droxt etasunien devmit intervenir dans un delni aussi bref que possible. Una pedode de transitian est necessaire, afin d'assurer ces changemenls sans perle de domic'es ou de technologie et sans compromettre les usages qui sont aujourd'hui firits de ces donnees dans le cadre, par exemple, urgences liees a la gestion de la crise saniiaire on de la recherche medicale. L'objectifconsacre par le legisiateu: de pcrmetire A lei-me la centralisation des donnees de sante dans une infrastructure d'uue taille inedite et facilitant dc nouveaux usages de recherche pent egalement justifier que les premiers 10 duveluppcments mis en place beueficient du temps necessmre pour mi grer vars d'autres solutions. Enfm, une grands partie des mitemcms des donnees de sante, uotamment pour les ct recherches, deniement soumis ii uu regime pi'ealable de la Si in situation acmelle liebergcurs de donnees de sautc' soumis aux programmes de renseignement amerioain est bien illegztle, il devrait en resuiter une impossibilite d'auloriser Ces traitements. Il est donc necessairc, taut que la situation n'est pas regularisee, de disposer (l'un fondemcnt juridique permettam, Is 22:5 eche'am, dc delivrer dc tunes autonsatians, sous cenaines gamnties. Ccpendani, cells periode (la transition doit limitee 5 cc qui est necessnire ct imperativement Etre misc 5 profit pour gamntir, par demarches actives, la modification des conditions d'hebei'gcmcut des donnecs. Juridiquemeut, la Commission cstimc, en premiere analyse, que cam: periode Ltausitoirc pourrait em: fondee sur is d) du 1 de l'articla 49, qui autorise des derogations aux exigenccs minimzles de protection des Lransferts pour motifs importants d'iuteret public, condition qu'ils soient rcconnus par le droit dc l'Etat membre, D'ordinaire, la CNIL a mic approche pnrticulierement restrictive dc cctte disposition, mais elle relevc ql|E l'invalidntion du Privaqy Shield et les motifs de l'arret Schrems II de la CJUE cntrainem juridiqucment l'obligation de cesser un tres grand nombre de transferts, ce qui pent, clans ccrtains cas, porter une ntteintc dispmportiomec it l'interet genern]. Ellc relevc egnlement que la Cour a, nu paint 202 de son arret, refuse dc modular dans le temps EffElS dc szi decision, au motif qua l'invalidaticn ne creait pas un Vide juridicpie interdisant tout transfert VBIS las Etats~Unis des lots que les {lerogations prevues a l'anjcle 49 permanent, ix Certaines conditions, de continucr certains transferts en dc decisinn d'adequntinn nu d'autres garnnties Les conditinns de Particle 49 doivent ei're lucs A la lumiere de la siruatian inedite ouverte par l'arret ll, pour regler 0% situations transimires. L'srticle 49 auturisc it titre demgatoire certains ti'ansferts or touts dzmande dc divulgation de donnecs presentes sur 19 so! curopeen adressc'e par les sewices dc rcnseignements elats--unieus un apernteur soumis amt lois americainns donncm lieu a un u'ansfert. uansfens ne sont evidcmment pas par cux~memcs d'interet public Cependant, it a un interet public manifests z'i menager 9cm: periodc de transition, puur gnrantir la cuntinuite dc l'hebergemtmt des domiees ale snnte' at usages qui 3/ son! liesi [l en resulte qua maintenir temporairement lc nsqu: dc ces transferts aux scrvices de rcnseiguement etats-uniens, risque qui existajt dejzl er sur lequel la CNIL mvait attim' l'attention du gouvamcment (inns son avis d'avril darniar, s'avere provisoiremcnt necessajre pour gamntir une transition sansfaisante vers un dispusitif d'hebergcment souvcrain donuees de sante, que la nppelle de ses voeux, Une tells derogation devrait rc'sulter d'unc disposition normative specifique e: tempurait S'ngissant de la duree d2 Celts periodc, elle doit etre limitee au strict neccssaire. La CNIL rccommande aux auturites publiques d'evaluer en urgence l'existence de fuumisscurs allernntit's at leui's capacites, taut en volume de stockings qu'cn qualite de service. afin d'evalucr la duree uecessairc pour assurar cefle transition, la plus mime possiblct La Commission nu dispose pas d'inforrnatiuns suffisamcs pour se pronuncer Elle-meme it E: stade sur la duree admissible de ceite periode dc transition. ll. Telles soul 163 observations que la CNIL, eclairee par un debat au sein du college de la Commission iors de sa seance pleniere du 8 octobre 2020, :ntend fairs GonnaiLre avails Haule juridictinn. 8 MIT. 20?" A Paris, 1: La Prc'sidcnte