Intervention de Adrien Parrot

Les arrêtés sont protecteurs et nous avons confiance dans la gouvernance du HDH. Cependant, en l'occurrence, Microsoft sera contraint – à son corps défendant – de donner accès aux données, si son supérieur hiérarchique le lui demande, en raison du FISA et de l' Executive Order. C'est vraiment sur ce point que les garanties sont insuffisantes. Dans ce contexte, nous devons nous interroger : est-il techniquement possible pour Microsoft d'avoir accès à ces données ? Où sont réalisées les analyses ? Le stockage est chiffré. C'est une garantie. Sur quel processeur les analyses sont-elles réalisées ? Est-ce sur un processeur soumis au droit américain ? Ce processeur est-il détenu par Microsoft ? Si le processeur – et c'est le cas – est soumis au droit américain, alors les données ne sont plus protégées.

Quant à la pseudonymisation, on peut toujours, en effet, ré-identifier un individu. Il existe deux techniques principales d'appariement entre bases de données. La première consiste à lier des bases de données à partir d'un même numéro présent dans deux bases différentes (par exemple un numéro de sécurité sociale). En l'absence d'un tel numéro, et si l'on dispose uniquement d'informations telles que l'âge ou le sexe, d'autres techniques permettent de lier des bases de données entre elles. Ce sont des techniques qui existent, qui sont utilisées en routine. Il est possible de ré-identifier des données de cette manière.