Des associations et syndicats professionnels ont demandé au juge des référés du Conseil d'État de suspendre le partenariat conclu entre le ministère de la santé et Doctolib en estimant que l’hébergement des données des rendez-vous de vaccination par la filiale d’une société américaine comportait des risques au regard de demandes d’accès par les autorités américaines. Le juge des référés du Conseil d’État écarte cette demande en relevant que les données recueillies dans le cadre des rendez-vous de vaccination ne comprennent pas de données de santé sur les motifs médicaux d’éligibilité à la vaccination et que des garanties ont été mises en place pour faire face à une éventuelle demande d’accès par les autorités américaines.
Dans le cadre de la campagne de vaccination contre la covid-19, le ministère des solidarités et de la santé a confié la gestion des rendez-vous de vaccination sur internet à différents prestataires, dont la société Doctolib. Pour les besoins de l’hébergement de ses données, la société Doctolib a recours à la société AWS Sarl, qui est une filiale de la société américaine Amazon Web Services Inc.
Des associations et syndicats professionnels de la santé ont demandé au juge des référés du Conseil d'État de suspendre le partenariat conclu entre le ministère de la santé et Doctolib. Ceux-ci estimaient que l’hébergement des données de Doctolib par la filiale d’une société américaine comportait des risques au regard de demandes d’accès par les autorités américaines.
Cette contestation s’inscrit dans la suite de l’arrêt « Schrems II » de la Cour de justice de l’Union européenne (CJUE)1 , qui a jugé que la protection des données transférées vers les États-Unis par le « Privacy Shield » (ou « bouclier de protection des données ») était insuffisante au regard du droit européen.
Afin de satisfaire aux exigences posées par cet arrêt, le juge des référés du Conseil d’État a donc vérifié le niveau de protection assuré lors du traitement des données en tenant compte de la nature des données en cause et de ce que prévoit le contrat conclu entre Doctolib et la société AWS Sarl et du droit applicable à cette société.
Les données recueillies dans le cadre des rendez-vous de vaccination ne comprennent pas d’indications sur les motifs médicaux d’éligibilité à la vaccination
Le juge des référés du Conseil d’État a tout d’abord relevé que les données transmises à Doctolib dans le cadre de la campagne de vaccination ne comprennent pas de données de santé sur les motifs médicaux d’éligibilité à la vaccination, mais portent uniquement sur l’identification des personnes et la prise de rendez-vous. Ces données sont par ailleurs supprimées au plus tard à l’issue d’un délai de trois mois à compter de la date de rendez-vous, les personnes concernées pouvant en outre les supprimer directement en ligne.
Le juge des référés a ensuite observé que le contrat conclu entre la société Doctolib et la société AWS Sarl prévoit une procédure spécifique en cas de demandes d’accès par une autorité étrangère prévoyant la contestation de toute demande ne respectant pas la règlementation européenne. La société Doctolib a également mis en place un dispositif de sécurisation des données hébergées par la société AWS Sarl reposant sur un tiers de confiance situé en France afin d’empêcher la lecture des données par des tiers.
Dans ces conditions, le juge des référés du Conseil d’État estime que le niveau de protection des données concernées n’est pas manifestement insuffisant au regard du risque invoqué par les associations et syndicats requérants, et compte tenu de la nature des données en cause. Il a, dès lors, rejeté la demande des associations et syndicats requérants.
1CJUE, 16 juillet 2020, Data Protection Commissioner c/ Facebook Ireland Ltd, Maximillian Schrems, affaire C 311/18 (communiqué de presse n° 91/20).
Lire la décision n°450163