Le Quotidien du 16 mars 2021 : Données personnelles

[Brèves] Vaccination contre la covid-19 : maintien du partenariat entre le ministère de la Santé et Doctolib pour la gestion des rendez-vous de vaccination

Réf. : CE référé, 12 mars 2021, n° 450163 (N° Lexbase : A94164KX)

Lecture: 4 min

N6787BYZ

Citer l'article

Créer un lien vers ce contenu

[Brèves] Vaccination contre la covid-19 : maintien du partenariat entre le ministère de la Santé et Doctolib pour la gestion des rendez-vous de vaccination. Lire en ligne : https://www.lexbase.fr/article-juridique/65867836-breves-vaccination-contre-la-covid19-maintien-du-partenariat-entre-le-ministere-de-la-sante-et-docto
Copier

par Marie-Lou Hardouin-Ayrinhac

le 17 Mars 2021

► Le juge des référés du Conseil d’État écarte la demande formulée par des associations et syndicats professionnels de la santé de suspension du partenariat conclu entre le ministère de la Santé et Doctolib en relevant que les données recueillies dans le cadre des rendez-vous de vaccination ne comprennent pas de données de santé sur les motifs médicaux d’éligibilité à la vaccination et que des garanties ont été mises en place pour faire face à une éventuelle demande d’accès par les autorités américaines.

Faits et procédure. Dans le cadre de la campagne de vaccination contre la covid-19, le ministère des Solidarités et de la Santé a confié la gestion des rendez-vous de vaccination sur internet à différents prestataires, dont la société Doctolib. Pour les besoins de l’hébergement de ses données, la société Doctolib a recours à la société AWS Sarl, qui est une filiale de la société américaine Amazon Web Services Inc.

Des associations et syndicats professionnels de la santé ont demandé au juge des référés du Conseil d'État de suspendre le partenariat conclu entre le ministère de la Santé et Doctolib. Ceux-ci estimaient que l’hébergement des données de Doctolib par la filiale d’une société américaine comportait des risques au regard de demandes d’accès par les autorités américaines.

Contexte. Cette contestation s’inscrit dans la suite de l’arrêt « Schrems II » de la Cour de justice de l’Union européenne, qui a jugé que la protection des données transférées vers les États-Unis par le « Privacy Shield » (ou « bouclier de protection des données ») était insuffisante au regard du droit européen (CJUE, 16 juillet 2020, aff. C-311/18 N° Lexbase : A26443RD ; v. J. Martinez, Invalidation du Privacy Shield par la CJUE et les grands défis de « Schrems II », Lexbase Affaires, octobre 2020, n° 649 N° Lexbase : N4708BYZ).

Décision. Afin de satisfaire aux exigences posées par cet arrêt, le juge des référés du Conseil d’État a donc vérifié le niveau de protection assuré lors du traitement des données en tenant compte :

  • de la nature des données en cause ;
  • de ce que prévoit le contrat conclu entre Doctolib et la société AWS Sarl ; et 
  • du droit applicable à cette société.

Nature des données. Le juge des référés du Conseil d’État a tout d’abord relevé que les données transmises à Doctolib dans le cadre de la campagne de vaccination ne comprennent pas de données de santé sur les motifs médicaux d’éligibilité à la vaccination, mais portent uniquement sur l’identification des personnes et la prise de rendez-vous.

Durée de conservation. Ces données sont par ailleurs supprimées au plus tard à l’issue d’un délai de trois mois à compter de la date de rendez-vous, les personnes concernées pouvant en outre les supprimer directement en ligne.

Mesures prévues par le contrat. Le juge des référés a ensuite observé que le contrat conclu entre la société Doctolib et la société AWS Sarl prévoit une procédure spécifique en cas de demandes d’accès par une autorité étrangère prévoyant la contestation de toute demande ne respectant pas la règlementation européenne.

La société Doctolib a également mis en place un dispositif de sécurisation des données hébergées par la société AWS Sarl reposant sur un tiers de confiance situé en France afin d’empêcher la lecture des données par des tiers. 

Rejet. Dans ces conditions, le juge des référés du Conseil d’État estime que le niveau de protection des données concernées n’est pas manifestement insuffisant au regard du risque invoqué par les associations et syndicats requérants, et compte tenu de la nature des données en cause. Il a, dès lors, rejeté la demande des associations et syndicats requérants.

newsid:476787