Le Conseil d’Etat admet l’innocuité de l’hébergement par AWS des données traitées par Doctolib

20/05/2021

La campagne de vaccination contra la Covid-19 se poursuit, et devrait encore s’intensifier le 15 juin prochain, date à compter de laquelle les prises de rendez-vous seront ouverts à tous. Alors qu’on estime qu’au 25 juin prochain, la moitié de la population française devrait avoir été vaccinée, une ordonnance récente du Conseil d’Etat (CE, ord. 12 mars 2021 : n°450163) est l’occasion de faire un point sur la question du traitement des données personnelles de Doctolib.


Le contexte :

 

Pour la mise en œuvre des mesures de vaccination contre la Covid-19, le Ministère de la Santé a confié la gestion de la prise de rendez-vous sur internet à différents prestataires, dont la société Doctolib. Or, pour l’hébergement des données qu’elle recueille, la société Doctolib fait appel aux services de la société luxembourgeoise Amazon Web Services, filiale de la société américaine du même nom, mais dont les serveurs dédiés sont situés en France et en Allemagne.

 

Or rappelle toutefois que par décision en date du 16 juillet 2020, la CJUE a invalidé le Privacy Shield, en vertu duquel le transfert de données de l’UE vers les Etats Unis pouvait précédemment être envisagé.

 

Considérant que l’hébergement de données de santé par une filiale d’une société américaine était incompatible avec les exigences du RGPD, plusieurs associations médicales ont initié une procédure en référé par devant le Conseil d’Etat, aux fins d’obtenir la condamnation du Ministère de la Santé d’avoir recours à d’autres solutions, ou d’obtenir sinon l’avis de la CNIL.

 

Ces associations considéraient notamment qu’il existait un risque d’atteinte à la protection des données, dès lors que la législation américaine ne garantissait pas un niveau de protection des données personnelles conforme, et que demeurait encore la possibilité d’un transfert des données vers les Etats Unis sur demande d’accès par les autorités américaines en application de l’article 702 du « Foreign Intelligence Surveillance Act ».

 

Tant le Ministre de la Santé que la société Doctolib ont soutenu qu’il n’existait pas d’atteinte grave et manifestement illégale au droit de la protection des données personnelles, et qu’il existait en outre un intérêt public visant à permettre la poursuite de l’utilisation des services de prise de rendez-vous de Doctolib pour les besoins de la gestion de l’urgence sanitaire et de la lutte contre la pandémie.

 

La solution :

 

Le Conseil d’Etat rejette la requête des associations demanderesses, considérant qu’il n’y a pas d’atteinte grave et manifestement illégale au droit au respect de la vie privée et au droit à la protection des données personnelles. Il considère également qu’il n’y a pas lieu de solliciter l’avis de la CNIL.

 

Et pour arriver à cette conclusion, le Conseil d’Etat a retenu plusieurs critères :

 

  • la nature des données concernées (en l’occurrence uniquement des données d’identification des personnes et des données relatives aux rendez-vous mais pas de données de santé sur les éventuels motifs médicaux d’éligibilité à la vaccination, la prise de rendez-vous ne s’appuyant que sur une certification sur l’honneur de la personne) ;

 

  • le délai de conservation des données (lesquelles sont supprimées au plus tard 3 mois après la date de rendez-vous, avec possibilité pour chaque personne de supprimer son compte de la plateforme) ;

 

  • l’existence d’un addendum conclu entre Doctolib et AWS, instaurant une procédure précise en cas de demandes d’accès par une autorité publique aux données traitées prévoyant notamment la contestation de toute demande générale ou ne respectant pas la réglementation européenne ;

 

  • la mise en place d’une sécurisation des données, par leur chiffrement, par la société Doctolib.

 

En résumé :

 

Outre le caractère actuel du sujet, s’agissant du traitement des données liées à la campagne de vaccination Covid 19, la décision est intéressante en ce qu’elle est un exemple de mise en conformité dans le cas d’une application éventuelle d’un transfert vers les Etats Unis, depuis l’invalidation du Privacy Shield.

 

Ainsi, limitation des données, de leur durée de conservation, choix de se soumettre contractuellement aux exigences du RGPD et mesures techniques organisationnelles permettent une mise en conformité en pratique.