Vaccination : pas de suspension du partenariat Doctolib / Amazon

Par une ordonnance de référé du 12 mars 2021, le Conseil d’Etat a refusé d’ordonner la suspension du partenariat avec la société Doctolib concernant l’hébergement des données de santé auprès d’une société américaine, au motif qu’il serait incompatible avec le règlement général sur la protection des données (RGPD). Il estime qu’au vu des garanties apportées, « le niveau de protection des données de prise de rendez-vous dans le cadre de la campagne de vaccination contre la Covid-19 ne peut être regardé comme manifestement insuffisant au regard du risque de violation du règlement général de protection des données invoqué par les requérants ».
Dans le cadre de la campagne de vaccination contre la covid-19, le ministère des Solidarités et de la Santé a confié la gestion des rendez-vous de vaccination sur internet à différents prestataires dont la société Doctolib. Pour les besoins de l’hébergement de ses données, Doctolib a fait appel à la société de droit luxembourgeois AWS Sarl, filiale de la société américaine Amazon Web Services Inc. AWS est certifiée « hébergeur de données de santé » en application de l’article L. 1111-8 du code de la santé publique. Amazon certifie que les données traitées sont hébergées dans des data centers situés en France et en Allemagne et que le contrat conclu avec Doctolib ne prévoit pas de transfert de données pour des raisons techniques aux Etats-Unis. L’association InterHop ainsi que d’autres requérants à l’initiative du recours font valoir que, du fait de sa qualité de filiale d’une société de droit américain, la société AWS pourrait faire l’objet de demandes d’accès à certaines données de santé par les autorités américaines, dans le cadre de programmes de surveillance fondés sur l’article 702 de la loi américaine FISA ou sur l’executive order 12333. Ils invoquent l’arrêt de la CJUE dit Schrems II qui juge qu’il faut vérifier le niveau de protection assuré lors du traitement des données en prenant en considération non seulement les stipulations contractuelles convenues entre le responsable du traitement et son sous-traitant, mais aussi, en cas de soumission de ce sous-traitant au droit d’un Etat tiers, les éléments pertinents du système juridique de celui-ci. Pour refuser la demande des requérants, le Conseil d’Etat commence par rappeler que Doctolib ne collecte pas de données de santé sur d’éventuels motifs médicaux d’éligibilité à la vaccination, les personnes intéressées se bornant, au moment de la prise de rendez-vous, à certifier sur l’honneur qu’elles entrent dans la priorité vaccinale, qui est susceptible de concerner des adultes de tous âges sans motif médical particulier. Ces données sont supprimées au plus tard dans un délai de trois mois à compter de la date de rendez-vous, et chaque personne concernée ayant créé un compte sur la plateforme pour les besoins de la vaccination pouvant le supprimer directement en ligne. Par ailleurs, un addendum complémentaire conclu par les deux sociétés instaure une procédure précise en cas de demandes d’accès par une autorité publique aux données traitées pour le compte de Doctolib prévoyant notamment la contestation de toute demande générale ou ne respectant pas la règlementation européenne. Le Conseil d’Etat ajoute que les données hébergées par AWS sont sécurisées par le biais d’une procédure de chiffrement reposant sur un tiers de confiance situé en France afin d’empêcher la lecture des données par des tiers.