13 Avr Schrems II : Le Conseil d’Etat déclare l’hébergement des données Doctolib par une filiale d’Amazon compatible avec le droit de l’Union européenne
Par une décision du 12 janvier 2021, le ministre des Solidarités et de la Santé a désigné le prestataire Doctolib pour organiser la gestion de prises de rendez-vous dans le cadre de la campagne de vaccination contre la Covid-19. Cette société franco-allemande, qui permet à toute personne de prendre un rendez-vous médical en ligne, fonctionne notamment grâce à une identification logée ou la création de comptes pour les patients, qui doivent renseigner plusieurs informations personnelles dont de santé générale.
Dans les faits, ces données sont hébergées dans des centres situés en France et en Allemagne mais le stockage lui-même est assuré par une filiale d’Amazon Web Services (AWS) basée à Seattle, aux Etats-Unis. C’est sur ce point que plusieurs associations et syndicats professionnels ont décidé de saisir le juge des référés du Conseil d’Etat pour demander la suspension du partenariat. En effet, même si aucun transfert de données aux Etats-Unis n’est encore prévu pour le moment, les plaignants considèrent que les ressortissants européens ne sont pas protégés de la faculté des autorités publiques américaines à en demander l’accès. Pour eux, ce choix ministériel méconnaît ainsi l’incompatibilité du droit américain avec la protection des données à caractère personnel de l’Union européenne et constitue une atteinte grave au respect de la vie privée des patients utilisant la plateforme.
L’arrêt Schrems II ayant invalidé le Privacy Shield qui permettait le transfert transatlantique des données personnelles, désormais seule l’existence de clauses contractuelles types entre les parties ainsi que d’autres mesures assurant un niveau de protection substantiellement équivalent des données dans l’Etat étranger (telles que des codes de conduite ou bien des règles d’entreprise contraignantes) permet de répondre aux impératifs européens en termes de protection de la vie privée.
C’est en rappelant cette jurisprudence de la Cour de Justice de l’Union Européenne que le Conseil d’Etat a finalement rejeté la demande des plaignants, jugeant que les garanties apportées par Doctolib et son hébergeur étaient suffisantes. Le juge administratif a en effet relevé que si les données litigieuses comprennent bien des informations relatives aux rendez-vous ainsi qu’à l’identification des patients, ces dernières ne comprennent pas «de données de santé sur les éventuels motifs médicaux d’éligibilité à la vaccination ». N’excédant pas une durée de conservation des données de trois mois à compter de la date de prise de rendez-vous, le Conseil d’Etat a également ajouté que la plateforme permettait à chaque patient s’étant créé un compte pour des besoins de vaccinations de pouvoir le supprimer directement en ligne. Quant à la demande d’accès par les autorités publiques américaines, le juge a souligné la présence de plusieurs mécanismes sécurisant les données des personnes concernées : d’une part, une mesure dans le contrat prévoyant qu’AWS devra contester « toute demande générale ou ne respectant pas la réglementation européenne », et d’autre part, l’existence d’un « dispositif de sécurisation des données hébergées par la société AWS par le biais d’une procédure de chiffrement reposant sur un tiers de confiance situé en France afin d’empêcher la lecture des données par des tiers ». Tous ces éléments réunis assurent ainsi, selon le juge administratif, des garanties suffisantes de protection pour les ressortissants européens, validant donc le choix effectué par le ministère.