Recevez chaque jour toute l'actualité du numérique

x

Le Conseil d'Etat blanchit Doctolib sur la protection des données de santé liées au Covid-19

D'après le Conseil d'Etat, les données personnelles transitant par Doctolib dans le cadre de la vaccination contre le Covid-19 sont suffisamment protégées bien qu'AWS ait été choisi pour les héberger. En effet, les deux sociétés ont conclu un avenant permettant de lutter contre la mainmise des autorités américaines sur les informations des patients français. 
Twitter Facebook Linkedin Flipboard Email
×

Le Conseil d'Etat blanchit Doctolib sur la protection des données de santé liées au Covid-19
Le Conseil d'Etat blanchit Doctolib sur la protection des données de santé liées au Covid-19 © Doctolib

Dans une décision très attendue, le Conseil d'Etat a refusé de suspendre le partenariat établi entre l'Etat et Doctolib dans le cadre de la campagne de vaccination contre le Covid-19. Pour rappel, la société franco-allemande avait été choisie aux côtés de deux autres plateformes de prise de rendez-vous.

Les requérants, des associations et des syndicats, avaient déposé un recours en référé estimant qu'ayant choisi Amazon Web Services, la pépite française ne protégeait pas suffisant les données personnelles des patients souhaitant prendre un rendez-vous pour se faire vacciner.

La condition d'urgence non remplie
Le juge administratif a estimé que la condition d'urgence, corolaire à la recevabilité d'un référé, n'était pas remplie. Son raisonnement repose sur deux démonstrations : l'absence de données de santé liées aux motifs médicaux d'éligibilité et un mécanisme de sécurisation suffisant pour éviter que les autorités américaines n'accèdent à ces informations.

Le Conseil d'Etat rappelle que les données litigieuses incluent "les données d'identification des personnes" et "les données relatives aux rendez-vous". En revanche, les données de santé sur les "éventuels motifs médicaux d'éligibilité à la vaccination" ne sont pas nécessaires pour prendre un rendez-vous sur Doctolib.

En effet, les personnes ne font que certifier sur l'honneur qu'elles entrent dans "la priorité vaccinale". Les seules informations récoltées sont supprimées au plus tard à l'issue d'un délai de trois mois à compter de la prise de rendez-vous. A ceci s'ajoute la possibilité de supprimer un compte Doctolib à tout moment avec effet immédiat.

Un mécanisme de sécurisation suffisant au regard du rgpd
Le juge ajoute que Doctolib a mis en place un mécanisme de sécurisation des données suffisant au regard de l'arrêt Schrems II ayant invalidé le Privacy Shield. Les requérants estimaient en effet que le partenariat portait une atteinte à la protection des données car leur hébergement était confié à Amazon qui, en tant que société américaine, est soumise à la législation américaine. Or, celle-ci ne permet pas "d'assurer un niveau de protection appropriée" car il y a l'"éventualité" d'un transfert outre-Atlantique et le risque de demande d'accès par les autorités américains.

C'est faux, répond le Conseil d'Etat. En effet, il explique que Doctolib et Amazon Web Services, la filiale d'Amazon spécialisée dans le cloud, ont conclu "un addendum complémentaire" qui instaure une procédure précise en cas de demandes d'accès par une autorité publique. Elle prévoit en particulier la contestation de "toute demande générale" ou ne respectant pas le Règlement général sur la protection des données (RGDP).

Un chiffrement empêchant à AWS d'accéder aux données
De plus, Doctolib a mis en place une procédure de chiffrement reposant sur Atos, note le juge. Ce qui empêche la lecture des données par un tiers, donc par AWS. Une affirmation qui clôt un débat ouvert il y a quelques semaines par un article de France Inter qui accusait la pépite française de mentir sur le niveau de protection qu'elle appliquait aux données transitant par sa plateforme.

De son côté, Doctolib affirmait que seules les données liées aux "documents médicaux", tels que les ordonnances ou les résultats d'analyse, ainsi que celles relatives à son nouveau logiciel dédié aux médecins libéraux étaient chiffrées de bout en bout. Un schéma de protection remis en cause par des développeurs dont le travail était cité par le média. 

Doctolib rappelle son attachement à la vie privée
Doctolib s'est félicité de cette issue. "Nous mettons tout en œuvre pour protéger la confidentialité des données de nos utilisateurs et le parfait respect des réglementations françaises et européennes. Concernant la campagne de vaccination, nos équipes vont poursuivre leur mobilisation jour et nuit pour épauler les centres de vaccination et les soignants et permettre aux Français d’accéder facilement à la vaccination", a déclaré Stanislas Niox-Château, cofondateur de Doctolib, dans un communiqué de presse.

Au contraire, Interhop, l'une des associations à l'origine de la procédure déposée devant le Conseil d'Etat, regrette amèrement cette décision qui aurait omis de nombreux détails techniques. Elle continue d'affirmer "qu'au sein de de l’App Server les données sont à un moment accessibles en clair (Data Access)" ainsi "la donnée de santé n'est pas chiffrée sur tout son parcours".

Au-delà de l'aspect purement juridique, la suspension de ce partenariat aurait mis un frein conséquent à la campagne de vaccination française qui, rappelons-le, est encore très lente. Au 10 mars 2021, Doctolib annonçait avoir enregistré 5,9 millions de rendez-vous, sur 6,4 millions d'injections réalisées à cette date. Un pourcentage énorme qui a surement dû peser dans la balance du juge français.

Réagir

* Les commentaires postés sur L’Usine Digitale font l’objet d’une modération par l’équipe éditoriale.