Amazon : la France continuera d’utiliser Doctolib pour la prise de rendez-vous pour la vaccination

Le Conseil d'Etat a estimé qu'il n'y avait pas d'"atteinte grave et manifestement illégale au droit au respect de la vie privée et au droit à la protection des données personnelles". [Shutterstock/Postmodern Studio]

Le juge des référés du Conseil d’Etat a estimé vendredi dernier (12 mars) qu’il n’y avait pas d’« atteinte grave et manifestement illégale au droit au respect de la vie privée et au droit à la protection des données personnelles » après que plusieurs associations, dont Interhop, ont dénoncé l’hébergement des données de Doctolib par Amazon.

« Une brèche extrêmement dangereuse » s’est ouverte, selon l’avocate des requérants Juliette Alibert, après que le Conseil d’État a validé le partenariat entre le Ministère des Solidarités et de la Santé et le service de gestion en ligne Doctolib, dont les données collectées sont hébergées par le géant américain Amazon et sa filiale Amazon Web Services (AWS), pour sa plateforme de rendez-vous pour la vaccination Santé.fr.

Les collectifs à l’origine de la requête en référé s’inquiètent du précédent que cette décision introduit, au regard de la définition des données de santé et de l’encadrement prévu par le Règlement général sur la protection des données (RGPD).

Protection des données : la France devant le Conseil d’Etat pour son partenariat avec Doctolib

Le 8 mars prochain, le ministère des Solidarités et de la Santé devra défendre devant le Conseil d’Etat le choix d’intégrer la société Doctolib, qui utilise les services d’hébergement d’Amazon, à son système de prise de rendez-vous en ligne pour la vaccination contre la Covid-19.

Plusieurs associations, dont le collectif Interhop, s’étaient alarmées du fait que l’hébergement de données de santé, par définition particulièrement sensibles, par Amazon, une société de droit américain, était incompatible avec le RGPD.

Selon les requérants, ce partenariat représentait un risque en matière de protection de la vie privée face à la possibilité pour les autorités américaines d’y avoir accès – notamment après l’invalidation en juillet dernier du « Privacy Shield » qui encadrait les échanges de données entre l’UE et les États-Unis par la Cour de justice européenne et en vertu du « Cloud Act » qui peut autoriser le renseignement américain à mettre la main sur les données hébergées par n’importe quelle société basée sur le sol américain.

Lors d’un précédent recours, visant cette fois l’hébergement des données de santé du Health Data Hub français par les services cloud de Microsoft, le Conseil d’État avait déjà estimé qu’un tel « risque (…) ne peut pas être totalement écarté » après que la Commission Nationale de l’informatique et des libertés (CNIL) avait elle-même demandé au gouvernement de trouver une solution alternative.

Le choix de Microsoft pour le Health Data Hub français continue d'alimenter les critiques

L’hébergement par le géant Microsoft du Health Data Hub français est-il en train de devenir un « boulet » que la nouvelle plateforme de données de santé va devoir traîner ? Si ce choix critiqué provoque l’indignation de l’écosystème numérique français et européen, il inquiète aussi les défenseurs de la protection des données.

Dans son ordonnance, le Conseil d’État juge que la plateforme ne collecte pas de données de santé que le RGPD encadre au motif que « les données litigieuses comprennent les données d’identification des personnes et les données relatives aux rendez-vous mais pas de données de santé sur les éventuels motifs médicaux d’éligibilité à la vaccination, les personnes intéressées se bornant, au moment de la prise de rendez-vous, à certifier sur l’honneur qu’elles entrent dans la priorité vaccinale, qui est susceptible de concerner des adultes de tous âges sans motif médical particulier. »

Un argument juridique qui ne tient pas la route selon les requérants puisque les renseignements enregistrés au moment même de la prise de rendez-vous peuvent donner des indications, même « indirectement », sur l’état de santé du patient, d’après Juliette Alibert. « On commence à grignoter un peu sur la protection des données de santé », regrette-t-elle.

En dépit des garanties contractuelles supplémentaires prises par la société Doctolib – et prises en compte par le juge des référés pour sa décision – et sa promesse d’un chiffrement complet des données de santé de bout en bout, FranceInter révélait la semaine dernière plusieurs failles.

Malgré les demandes répétées des requérants, la CNIL n’a pas été saisie pour se prononcer sur ces questions.

« Les parties entendent faire valoir leur indignation suite à la décision intervenue ce jour et limitée à un unique paragraphe en ce qui concerne l’instruction, » note le communiqué du collectif Interhop. « Elles entendent bien poursuivre leurs actions », a confirmé Mme Alibert auprès d’EURACTIV France, sans révéler toutefois quelle forme cela pourrait prendre.

Subscribe to our newsletters

Subscribe
Contribuer