By 
Si l’on cherche sur le site gouvernemental Santé.fr où se faire vacciner contre le Covid-19, on peut trouver une liste de centres de vaccination par département, ainsi que des liens pour prendre rendez-vous directement en ligne, en passant par des plates-formes de rendez-vous médicaux privées, comme Doctolib, Keldoc ou Maiia. Cela résulte d’un partenariat signé le 11 janvier entre ces trois entreprises et l’Etat français.
Mais l’utilisation de Doctolib par le gouvernement fait aujourd’hui réagir plusieurs associations, dont des syndicats de professionnels de santé, qui estiment que ce partenariat va à l’encontre du droit européen et met en danger les données médicales des Français. Ces associations, parmi lesquelles la Fédération des médecins de France et le Syndicat de la médecine générale, ont déposé un référé-liberté qui est examiné, ce lundi 8 mars, par le Conseil d’Etat, la plus importante juridiction administrative du pays.
Elles s’inquiètent du fait que Doctolib héberge ses données sur les serveurs d’Amazon Web Services, gérés par la société américaine Amazon. Pour les requérants, les données des Français qui passent par Doctolib ne sont pas suffisamment protégées, puisqu’elles sont soumises au droit américain et peuvent être demandées par les autorités américaines, sous certaines conditions. « La gestion de la crise du Covid ne peut pas se faire à l’encontre du droit à la vie privée », estime Juliette Alibert, avocate qui a rédigé le recours administratif.
Une jurisprudence européenne complexe
La requête s’appuie sur une décision qui a secoué l’Europe au cours de l’été. En juillet 2020, la Cour de justice de l’Union européenne (CJUE) avait annulé le Privacy Shield, un accord qui réglementait les échanges de données personnelles entre l’Europe et les Etats-Unis, et le traitement de données de citoyens européens par des entreprises de droit américain. Cette décision a abouti à une situation juridique complexe, qui oblige aujourd’hui les entreprises qui transfèrent des données personnelles à observer de nouvelles précautions.
En septembre, cette décision de la CJUE avait déjà été utilisée par plusieurs syndicats et associations pour attaquer, devant le Conseil d’Etat, la plate-forme Health Data Hub, qui rassemble et traite des données médicales françaises à des fins de recherche, et utilise notamment les serveurs de l’entreprise américaine Microsoft.
Le Health Data Hub, tout comme le partenariat avec Doctolib aujourd’hui, faisait craindre que les Etats-Unis ne puissent, à travers une décision de justice ou un décret présidentiel, demander à Microsoft les données médicales de citoyens français.
En octobre, le Conseil d’Etat avait finalement estimé que l’hébergement de données médicales sensibles par Microsoft ne contrevenait pas au droit, enjoignant simplement à l’entreprise d’apporter des consolidations techniques et juridiques pour sécuriser les informations personnelles des autorités américaines. La Commission nationale de l’informatique et des libertés (CNIL) avait, de son côté, émis plusieurs réserves et estimé qu’à terme le droit imposerait au Health Data Hub de choisir une solution d’hébergement qui ne soit pas soumise au droit américain.
Lundi, les requérants vont demander au Conseil d’Etat de suspendre le partenariat concernant les rendez-vous de vaccination entre les autorités sanitaires et Doctolib – Keldoc et Maiia ne sont pas concernées par le référé-liberté. L’issue de cette nouvelle action peut-elle être différente de celle qui avait été menée contre le Health Data Hub ?
Doctolib assure que les données sont inaccessibles
Pour Benoît Blaes, membre du Syndicat national des jeunes médecins généralistes (SNJMG, qui fait partie des requérants), cette action est aussi le moyen d’interroger le fait de passer par des partenariats privés pour des campagnes de santé publique. « Il y a des alternatives qui existent, des administrations comme les agences régionales de santé », ajoute-t-il. Me Alibert espère aussi que la CNIL pourra rendre un avis sur ce partenariat, mais le gendarme de la protection des données indique ne pas encore avoir été sollicité concernant ce dossier.
Doctolib assure que l’hébergement des données chez Amazon est parfaitement conforme au droit européen concernant la protection des données : les informations qui y sont stockées sont chiffrées, sur des serveurs localisés sur le sol européen, et les clés de chiffrement sont hébergées sur les serveurs d’une entreprise soumise au droit français. « En tant qu’hébergeur certifié par l’Etat français, Amazon Web Services respecte l’ensemble des réglementations françaises et européennes, dont le RGPD [règlement général de protection des données] », a précisé le PDG de Doctolib, Stanislas Niox-Château, dans un billet de blog.
L’entreprise franco-allemande assure, par ailleurs, que les données de rendez-vous de vaccination sont supprimées au bout de trois mois. Le ministère de la santé se veut, lui aussi, rassurant, et déclare que la protection des données médicales est « quelque chose qu’[il] surveille de très près », tout en disant entendre « les inquiétudes ». Le Conseil d’Etat doit se prononcer d’ici à mercredi.
Comments