2021年3月12日,法国国务委员会(Conseil d'Etat),是法国最高的法国行政法院,交给了一项裁决(SomennancedesRéférés.)允许医学公司是一家负责预订Covid-19疫苗接种约会的公司,依赖于基于美国的健康数据主机。

在本案中,Doctolib的服务器 - 法国政府委托的平台委托Covid-19疫苗接种 - 由AWS,美国公司的卢森堡子公司主办。具体而言,在这种情况下,AWS数据存储在位于欧盟(特别是在法国和德国)的数据中心中。

法国政府决定使用由美国公司附属公司主办的平台的决定在法国协会和工会中提出了重大关注,因为欧盟法院举行的SCHREMS II决定(CJEU 7,220,案例C-311/18,数据保护专员v。Facebook Ireland Ltd.和Maximilian Schrems),阐明了美国监测法可能在美国机构访问请求的数据受试者对数据受试者造成的风险。

即使是法国数据保护机构(CNIL)也根本反应到这一决定,发现法国健康数据集线器由由美国的公司托管,需要被委托给未按顺序缴纳美国法律的数据主持人避免美国监督法的任何干扰。

这种摇摇欲坠的监管背景领导了卫生保健部门的各种法国协会和工会,以挑战与专家的合作,声称该托管计划会破坏法国患者健康信息的安全性。他们在法国国务委员会之前提出了紧急申请,寻求暂停卫生和专家部之间的伙伴关系。

这一决定值得仔细关注,因为法国国务委员会就可以根据法国法规根据法国条例举办个人资料,以澄清可能用于确定美国公司是否可以托管个人资料的担保和标准提供重大澄清。

一个摇摆的法律框架

目前的决定应根据法国和其他成员国的法院作出的先例读取,在施莱姆斯II决定之后,这使得隐私盾牌无效。 CJEU在这一决定中裁定,仅仅由美国法律受到美国法律而受到美国法律的托管。根据美国监督法的理由,在美国当局访问U.S. Ansionities的要求。

在法国,这一决定引发了若干决定和建议,强调了CJEU强调的风险。

如Schrems II中所述,隐私盾牌的无效导致了法国国家议会在法国数据中心托管计划之前挑战了各种协会 - 由美国为基础的公司举办 - 由于风险美国当局干预。

在此次,法国国家理事会提出的CNIL提供了咨询意见,已经采取了一项坚定的职位:追索于美国宿主的公司并不似乎与CJEU的决定兼容。因此,根据此类托管计划所涉及的风险,因此建议使用受欧盟法律(CNIL强烈优选的选项)而不是提供具体担保的托管公司。

法国国务委员会通过拒绝暂停法国数据集线器的运作,通过拒绝暂停CNIL的立场。它于2020年10月13日承认,决定通过美国当局雇用数据是潜在的风险,这意味着它正式寻求实施补充保障措施,以尽量减少风险。

未解决的问题是确定应实施适当的补充担保。 2021年3月12日的Doctolib决定在这方面提供了有趣的洞察力。

澄清有机会使用基于U.S.的云服务提供商的案例分析

在其理论决定中,法国国家理事会根据三个方面进行了详细的分析,使其有助于得出决定,由DOCTOLIB及其基于美国的云服务提供商实施的安全措施已经足够了。

(i)托管数据的敏感性和紧密数据保留期

首先,法国国家委员会决定通过决定将卫生数据的资格拒绝给托管数据来基准其对数据的敏感性水平的决定。

法国国家理事会可以如下证明其立场。仅处理和托管与个人识别和预约的数据有关的数据。它认为与疫苗接种资格(即健康数据)相关的信息,不需要在平台上预约,因为只需要证明他们是基于各种预先存在条件的列表的优先案例。

除上述关于托管的数据类型的分析外,法国国家委员会还认为适用的数据保留措施正在收紧平台的保护水平。在实践中,该平台允许在预约日期(最新)之日起三个月自动删除数据(最新)以及用户随时删除其在线帐户的可能性。

这种分析受到批评,因为它被视为一种旨在规避正面对抗的一种方式,其存在健康数据将受到威胁的情况。在这方面,关于预先存在的条件的个人提供的信息是否在适用的欧盟法律下,在卫生数据的定义下,目前是值得争议的,可以说是最少的。

为了澄清,法国国家理事会确定了额外的保障措施是适当的。

(ii)合同保障与监督法

作为第二步,法国国家理事会强调了合同保障。具体而言,Doctolib和AWS之间的缔约方与外国当局正式致力于挑战任何获取申请的AWS,缔约方之间缔结了补充编纂。

起草了这样的方式,该条款被司法管辖区从合同的角度担任。实际上,规定比唯一的数据宿主的承诺更苛刻 不是 要转移数据,请达到补充附录要求实施法律和财务手段,以便反对外国权力对数据主机的任何访问请求。

(iii)技术保障 - 加密

最后,技术保障涉及在此数据托管的上下文中选择的数据安全机制。由位于法国的公司获得的已实施的加密机制可能会阻止第三方和数据主机本身以可读格式访问数据。因此,法国国家委员会的加密被认为是充分的保障措施,特别是关于所实施的“三角计划”:加密密钥由受欧盟法律的值得信赖的第三方专门举行。

到目前为止含义

目前的决定证实,使用美国云服务提供商仍然可以确保符合欧盟要求的令人满意的安全水平,并且仍然构成了将来会影响未来案件的一步,尽管内划线仍然会影响未来案件。

第一个外卖应该在这里概述。使用美国云服务提供商没有绝对禁止。

但是,对于至少有两个原因,需要谨慎查询目前决定的范围:

  1. 首先,疫苗接种活动周围的压力赌注是由平台扮演的至关重要作用,构成了可能受到法国国家委员会达成的解决方案的一个因素。
  2. 其次,法国国家委员会通过在欧盟法律的意义上不适用健康数据的严格定义,将持有在平台上的数据的敏感性。在这方面,在健康数据托管的情况下,特定的额外保障可以审议 - 特别是由CNIL - 在其对法国委员会的所有云提供者排除的建议中,法国理事会已被两次拒绝两次状态。

目前的决定仍然对这种补充保障的性质提供重要方向。法国法官特别注意合同机制。因此,数据宿主同意的合同承诺的精确和令人信服的力量是在评估托管活动的保护水平时要考虑的重要因素。

到目前为止,涉及确保所托管数据的保密和完整性所需的实用技术保障,而且除了任何适用于任何类型的数据的情况下,还没有发出精确指导。因此,最先进的技术需要成为解决方案的一部分。

最后,该决定还展示了法国数据保护合规性的结构趋势:法院继续进行审查这些问题,以便在适用的法规上拥有自己的话语。