« Il peut exister un risque
de conflit de souveraineté »

Raphaël Brun
-

Le président de la commission de contrôle des informations nominatives, Guy Magnan, explique comment les données personnelles de santé stockées dans le futur cloud monégasque seront encadrées par son institution. Et les problématiques qui en découlent.

Créer un cloud monégasque « jumeau » à l’étranger, peut-être au Luxembourg, engendre quelles problématiques en termes de protection des données personnelles ?

La commission n’ayant pas encore été saisie officiellement de ce projet, il me manque des éléments factuels pour répondre pleinement à la question. Je m’interroge notamment sur le fait de savoir s’il est seulement envisagé une sauvegarde à l’étranger des informations ou une externalisation partielle ou complète de cette infrastructure “cloud”.

Stocker des informations de santé à l’étranger présente quels avantages en termes de protection des données personnelles ?

Concernant la question de l’hébergement des données à l’étranger, ceci peut être réalisé à des fins de duplication, qui est avant tout une mesure essentielle à leur sécurité. Dans l’hypothèse d’un sinistre majeur affectant les infrastructures locales, il peut s’avérer crucial d’avoir une solution de duplication qui affecte le moins possible les usagers des services ainsi que le fonctionnement de l’administration. Toutes les grandes structures disposent de plans de reprise d’activité qui comprennent notamment cette duplication des données dans des serveurs éloignés d’au moins deux régions. Cela procède de la même logique, et la situation géographique de la principauté de Monaco peut nécessiter de se tourner vers l’étranger.

Quoi d’autre ?

Cela permet également de s’appuyer sur des savoir-faire externes et des infrastructures déjà existantes, disposant de solutions technologiques et de sécurité de haut niveau qui ne seraient pas nécessairement disponibles actuellement en principauté.

Il y a aussi des inconvénients ?

Il peut exister un risque de conflit de souveraineté sur la donnée hébergée à l’étranger. L’actualité de 2018 a montré qu’en vertu du “cloud act”, qui est une loi fédérale des États-Unis d’Amérique, les forces de l’ordre américaines peuvent désormais contraindre les fournisseurs de services américains à leur communiquer les données demandées stockées sur des serveurs, qu’ils soient situés aux États-Unis ou dans des pays étrangers.

Y compris en Europe ?

A ce jour, cette problématique n’existe pas avec l’Union européenne (UE), et une veille juridique permettra d’anticiper toute difficulté à venir. En tout état de cause, si les données se trouvant dans ces serveurs ont préalablement fait l’objet d’un chiffrement de haut niveau, il est alors très difficile, pour un tiers non autorisé, d’avoir un accès en clair à ces données.

D’autres points vous semblent importants ?

Ce qui importe également, c’est que les accès aux données soient bien encadrés et qu’un niveau de sécurité physique et logique adéquat soit assuré de bout en bout.

Dans ce dossier, le gouvernement monégasque a quelles obligations vis-à-vis de la CCIN ?

Notre commission devra être saisie par le gouvernement des traitements d’informations nominatives qui seront mis en œuvre à cet effet. Elle aura alors l’occasion de formuler toutes les remarques et les propositions qui lui sembleront nécessaires.

La CCIN aura donc les compétences nécessaires pour ce futur cloud de santé ?

Le responsable de traitement sera le ministre d’Etat. L’hébergement de données à l’étranger est sans incidence sur cette qualification. La loi monégasque relative à la protection des informations nominatives sera pleinement applicable à ces traitements.

Pour les informations de santé stockées à l’étranger, cela engendrera des limitations dans l’exercice de vos compétences ?

Seule restriction, il ne sera pas possible si cela devait s’avérer nécessaire pour la CCIN, d’investiguer le data center situé dans un pays tiers, mais elle pourra solliciter l’Autorité de protection des données luxembourgeoise, dans le cadre des mécanismes de coopération qui existent déjà aujourd’hui.

Installer des données sensibles dans un autre pays, pose des difficultés vis-à-vis du droit international et des normes européennes ?

Conformément à ses missions, la CCIN s’attache à vérifier la licéité des communications d’informations effectuées par des responsables de traitements soumis au champ d’application de la loi n ° 1 165. Si un cloud souverain est choisi en dehors de la principauté, les principales barrières à sa mise en œuvre seraient d’ordre interne : une base légale empêchant tout transfert de données « stratégiques », ou une difficulté d’ordre politique.

Et en ce qui concerne la CCIN ?

En ce qui concerne la CCIN, quand un transfert de données sensibles, comme des informations médicales par exemple, est envisagé, il peut nécessiter des démarches particulières en matière de protection des données dès lors qu’il s’effectue à destination d’un pays ne disposant pas d’un niveau de protection adéquat. Or, le Luxembourg étant un pays disposant au sens de la loi monégasque d’un niveau de protection adéquat, aucune difficulté ne devrait, a priori, se poser à de telles communications.

Les gens se posent aussi des questions pratiques précises : où les données seront-elles stockées, qui en dispose et pour combien de temps et, bien sûr, comment sont-elles détruites ?

La commission n’ayant pas encore été saisie, il m’est difficile de répondre en détail sur les modalités de mise en œuvre de ces traitements. Conformément à la loi n° 1165 du 23 décembre 1993, seules les personnes dûment habilitées ont accès aux informations suivant les droits qui leurs sont conférés et ces accès doivent être tracés. Les informations doivent être conservées pour une durée en adéquation avec la finalité du traitement pour lequel elles ont été collectées. Par la suite, elles doivent être effacées par des moyens logiciels ou physiques suivant les référentiels de normes en vigueur. Dans tous les cas, ces différents aspects du traitement des données doivent être soumis à la commission dès avant la mise en œuvre des traitements, et la CCIN en vérifiera la licéité, la justification, la sécurité, la proportionnalité, etc.

Comment s’assurer que le consentement de chacun est bien respecté ?

En toutes hypothèses, toute personne peut valablement s’adresser au responsable de traitement pour obtenir des renseignements sur un traitement donné et se tourner si nécessaire vers la CCIN. Pour rappel, et sauf exceptions tenant à la sécurité publique, aux infractions, aux condamnations et aux mesures de sûreté, la consultation du répertoire public des traitements est possible dans nos locaux.

En cas de hacking, qui sera responsable ?

Personne ne peut certifier qu’un système est infaillible, et donc afficher une sécurité qui serait de 100 %. Toutefois, cet état de fait ne doit pas empêcher les responsables de traitement, et en l’espèce le gouvernement, de se doter d’outils technologiques, dès lors que toutes les mesures adéquates ont été prises en matière de sécurité lors de sa mise en place, et dans le temps. De plus, comme je l’ai évoqué précédemment, la responsabilité du traitement incombe à l’Etat et le recours à d’éventuels prestataires ne l’exonère en rien de cette responsabilité. Enfin, je rappelle que l’Agence Monégasque de Sécurité Numérique (AMSN) a pour mission de s’assurer de la robustesse des infrastructures de l’Etat.

 

Suite du dossier :

Éric Léandri : « On va proposer nos services à Monaco »

 

journalistRaphaël Brun