Newsletter:
L’autorité néerlandaise des données personnelles vient de publier un avis défavorable à Google. Si l‘entreprise américaine ne résout pas les problèmes de confidentialité identifiés dans ses applications courantes, elles ne pourront plus être utilisées par les services gouvernementaux et ceux de l’éducation. Cette décision prendrait effet dès la nouvelle rentrée scolaire. Dans leur état actuel, les applications telles que Gmail, Drive, Hangouts et Classroom enfreignent le Règlement Général sur la Protection des Données (RGPD).
Grâce à cette mise en garde, le gouvernement et les organisations informatiques éducatives dont SIVON peuvent enfin finaliser leurs négociations avec Google. Ils sont d’ailleurs actuellement en pourparlers afin de mettre en place le plus tôt possible les ajustements nécessaires. D’après les éléments fournis par Google, tous les risques seront résolus en temps opportun.
Une conclusion après 3 ans d’analyse
L’alerte de l'Autorité des données personnelles (AP), ne date pas d’hier et résulte d’un long processus commencé en 2018. Face aux nombres importants de services gouvernementaux qui utilisent les applications de fournisseurs de cloud telles que Microsoft, des accords dits nationaux avec les différents fournisseurs américains semblaient indispensables. Une manière de garantir que leurs usages n'enfreignent pas la législation européenne sur la protection de la vie privée. Des ajustements concluants ont déjà été faits avec Microsoft, une requête similaire a donc été lancée en 2019 auprès de Google.
Une grande partie de ce processus consiste à évaluer l’impact sur la confidentialité des données (CNIL). Par des pouvoirs d’enquête et de recherches, ces risques sont alors mesurés lorsqu'une organisation se sert d’un outil numérique ou utilise un logiciel. Et d’après les résultats de l’enquête, 10 risques majeurs ont été répertoriés pour ceux de Google G Suit. Depuis l'été dernier, après s’être consultés, le gouvernement et les autorités d’enseignements ont commencé d’intenses négociations auprès du géant américain. Malgré leurs efforts, en février, les dangers étaient encore bien trop élevés. Il est notamment question des données d'utilisation collectées par la firme, du manque de transparence quant aux traitements et à la divulgation, des faibles paramètres respectueux de la vie privée, mais aussi de problématiques plus larges relatives aux rôles et aux responsabilités de Google. Pour résumer, à la suite des conclusions du CNIL (obligatoire), l'utilisation de Google Workspace (soit l’ensemble des outils et logiciels de productivité de la firme) ne peut être approuvée car des risques résiduels persistent.
Lorsque le rapport n’est pas concluant, le RGPD (règlement général sur la protection des données) indique la nécessité de demander conseil à l'organisme national de surveillance de la vie privée. Il s’agit d’une consultation préalable pour déterminer les futures mesures à prendre. Aux Pays-Bas, l'autorité des données personnelles (AP) est le garde-fou national. Son rapport a été publié puis envoyé pour évaluation. Le CNIL compte 171 pages, qui ont été soigneusement lues et commentées par l'AP. Et d’après leur conclusion, Google devrait fournir de serieuses garanties que toutes les réglementations sont bien respectées. Face à l’enjeu commercial, c'est devenu une course contre la montre, la nouvelle année scolaire approchant à grands pas. Ainsi, un accord doit absolument avoir lieu d’ici 6 à 8 semaines.
Qu’en est-il pour le secteur médical ?
Le problème de la confidentialité des données se pose également pour les administrations de santé. Beaucoup d’entre elles travaillent avec des services cloud de Microsoft, Google ou Amazon. Elles se servent, entre autres, des outils d’emailing, de calendriers, de vidéoconférences, de stockage de Big Data ou encore d’applications d'IA (Intelligence artificielle). Et tout comme dans le secteur de l’éducation ou gouvernemental, il s'agit de renseignements particulièrement sensibles. Outre le RGPD, les données médicales sont d’ailleurs soumises à d'autres lois et réglementations qui doivent garantir leur confidentialité. À ce jour, les preuves manquent sur les applications de cloud public utilisées par les médecins généralistes, les hôpitaux et tous les autres prestataires médicaux.
Il paraît vraisemblable que les organisations de santé prendront en compte les facteurs risques soulignés et suivront avec attention les ajustements demandés. Cependant, hormis SIVON, il n’existe aucune initiative similaire qui s’assure de la sécurité des données lors de l'utilisation d'applications cloud. D’après une enquête auprès d'avocats de nouvelles questions relatives à la vie privée devraient bientôt être posées dans le milieu médical.
Des conseils obsolètes
Deux ans auparavant, le stockage de données médicales sur Google Cloud par une entreprise néerlandaise avait déjà fait débat. L’ancien ministre des Soins médicaux, Bruno Bruins, avait alors demandé un avis indépendant auprès du cabinet d'avocats de la santé ICTRecht. Spécialisé dans le droit de la santé, leurs recherches ont montré qu'il est souhaitable d'utiliser un fournisseur de cloud ayant une capacité d'établissement, de représentation ou de stockage au sein de l'Union européenne. Google, Amazon et Microsoft répondent à ces critères. De plus, d’après le rapport publié, le Règlement général sur la protection des données (CNIL) s'applique aux fournisseurs de cloud situés dans l'UE. Cela protège les données d'une utilisation non autorisée par le fournisseur de cloud et peut renforcer efficacement la conformité des réglementations en vigueur.
Selon ICTRecht, l’expertise menée a fourni un grand nombre de mesures techniques et organisationnelles pour garantir que le stockage des données médicales sur les serveurs des fournisseurs américains répond aux exigences des lois et réglementations européennes. Parmi elles se trouvent le cryptage (soit l'authentification à 2 facteurs), une actualisation fréquente et la présence des bonnes certifications chez les fournisseurs de cloud. N’oublions pas que les organisations de santé telles que les hôpitaux ont toujours une grande responsabilité dans la confidentialité de l’archivage des renseignements enregistrés.
À l’époque, sous réserve de cette expertise, le ministre Bruno Bruins avait acté que, si les bonnes mesures étaient appliquées, le stockage des données médicales chez les principaux prestataires américains n’enfreignait pas le CNIL. Depuis la publication de ce rapport consultatif, les changements nécessaires ont été effectués, a déclaré ICTRecht. Cependant, l’étude menée en 2019 n'entre pas dans les détails de la gamme complète des services proposés par Google. Un fait important souligné par le RGPD.
Si le gouvernement, les administrations de l’éducation et Google ne parviennent pas à un accord, il est fort probable que les services de stockage de données médicales n'arrivent pas à se plier aux conformités exigées. Toutefois, une enquête DPIA (Analyse d’impact relative à la protection des données) pour l'utilisation de Google dans les soins de santé peut ne pas être pertinente pour les besoins des organisations éducationnelles. Quelle organisation aura le dernier mot ? Difficile à dire puisque jusqu'à présent, il n’existe pas un réel enthousiasme pour une approche aussi large.
Une problématique globale
En Belgique, il existe un flou sur la conformité des services proposés par les principaux fournisseurs de cloud. Les logiciels ne répondent pas toujours aux exigences du RGPD, ni à celles prévues par la législation nationale en matière de stockage de données médicales. Au sein de l'Union européenne, plusieurs initiatives ont été mises en place pour forcer les firmes internationales à respecter toutes les règles. Malheureusement, pour obtenir quelques changements, les organismes nationaux de surveillance de la vie privée doivent pratiquement partir en guerre. Ils peuvent notamment mettre en place des directives et des conseils généraux ou enquêter sur les violations présumées de la protection des données.
Récemment, l'autorité belge de protection de la vie privée (Autorité de protection des données) a rencontré un autre problème au sein de son Conseil d'administration. La Commission européenne vient de lancer une action en justice contre la Belgique suite à des plaintes l’accusant de ne pas agir de manière suffisamment objective. Les exigences d'impartialité de RGPD stipulent que « le garde-fou national doit rester à l'abri de toute influence extérieure. Il doit être complètement indépendant du gouvernement ». Selon le quotidien De Tijd, le haut fonctionnaire Frank Robben est le principal interlocuteur concerné par un potentiel conflit d’intérêts. En effet, il fait partie du Conseil des projets de loi, le Knowledge Center. En tant qu'administrateur général du Crosspoint of Social Security et de la plateforme eHealth, il est donc impliqué dans de nombreux projets de données gouvernementaux.
Le haut fonctionnaire affirme dans une réponse à De Tijd qu'il ne met en aucun cas en danger l'indépendance de l’autorité belge de protection des données : « Je fais partie du comité sur le respect de la vie privée depuis 30 ans. J'ai toujours contribué à la recherche des bons équilibres entre les droits fondamentaux avec une approche multidisciplinaire et je suis disponible pour continuer à le faire ».
Laisser un commentaire
Rejoindre la discussion?N’hésitez pas à contribuer !