Doctolib, Rendez-vous de vaccination COVID et RGPD

Pour faciliter et accélérer la campagne de vaccination contre la Covid-19, le ministère des solidarités et de la Santé a confié la gestion de prise de rendez-vous de vaccination à trois sociétés différentes, parmi elles Doctolib. Cette société héberge ses données auprès de la société de droit luxembourgeois AWS Sarl, filiale de la société américaine Amazon Web Services Inc. La société AWS est certifiée « hébergeur de données de santé » en application de l’article L. 1111-8 du code de la santé publique.

Les données qu’elle traite sont hébergées dans des datacenters situés en France et en Allemagne. Le contrat conclu entre la société Doctolib et AWS ne prévoit pas le transfert de données pour des raisons techniques aux Etats-Unis. Par ailleurs, Doctolib et AWS ont conclu un addendum au contrat sur le traitement des données qui instaure une procédure précise en cas de demandes d’accès par une autorité publique aux données traitées pour le compte de Doctolib et qui prévoit notamment la contestation de toute demande ne respectant pas la règlementation européenne. Enfin, pour interdire l’accès aux données par des tiers, Doctolib a également sécurisé les données hébergées par la société AWS par une procédure de chiffrement reposant sur un tiers de confiance situé en France.

Malgré ces précautions, plusieurs associations ont saisi le juge référé du Conseil d’Etat en vue d’ordonner la suspension du partenariat avec la société Doctolib concernant l’hébergement des données de santé auprès d’une société américaine, au motif qu’il serait incompatible avec le règlement général sur la protection des données (art. 44 à 48 du RGPD). Pour étayer leur demande, elles se sont appuyées sur le règlement mais aussi sur la jurisprudence de la CJUE (arrêt grande chambre C-311/18du 16 juillet 2020, Data Protection Commissioner contre Facebook Ireland Ltd et Maximillian Schrems).

S’agissant du RGPD, les données traitées par la plateforme Doctolib seraient, selon les requérants, susceptibles de donner une indication précise sur l’état de santé de la personne et constituent des informations directement identifiantes. Ils ajoutent que les potentielles demandes d’accès aux données personnelles par les autorités américaines ne peuvent faire l’objet d’aucune opposition concrète par les sociétés américaines, que ces accès sont massifs, indiscriminés et non minimisés, et qu’elles ne peuvent faire l’objet de contrôles ou de droit d’opposition auprès d’autorités indépendantes. Ce traitement est donc, selon eux, incompatible avec le règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel. Les requérants soulignent que, du fait de sa qualité de filiale d’une société de droit américain, la société AWS pourrait faire l’objet de demandes d’accès à certaines données de santé par les autorités américaines, dans le cadre de programmes de surveillance fondés sur l’article 702 de la loi américaine FISA ou sur l’Executive Order 12333. Pour invalider le Privacy Shield, la CJUE avait relevé que les activités de la NSA fondées sur l’E.O. 12333 ne font pas l’objet d’une surveillance judiciaire et ne sont pas susceptibles de recours juridictionnels.

Le FISA (Foreign Intelligence Surveillance Act), du 25 octobre 1978, autorise, sous le contrôle de l’United States Foreign Intelligence Surveillance Court (FISC), les programmes de surveillance de type PRISM ou UPSTREAM, certifiés chaque année par l’Attorney General et le directeur du renseignement national (DNI). Le programme PRISM oblige les fournisseurs de service internet à fournir à la NSA toutes les communications envoyées et reçues par un « sélecteur », une partie d’entre elles étant également transmise au FBI et à la Central Intelligence Agency (CIA) (agence centrale de renseignement). En ce qui concerne le programme UPSTREAM, les entreprises de télécommunications exploitant la « dorsale » de l’internet (réseau de câbles sous-marins, terrestres, commutateurs et routeurs) doivent autoriser la NSA à copier et à filtrer les flux de trafic Internet pour recueillir des communications envoyées par un ressortissant non américain visé par un « sélecteur », reçues par lui ou le concernant. Ces flux concernent aussi bien les métadonnées que les contenus.

L’Executive Order n°12333 permet à la NSA d’accéder à des données « en transit » vers les États-Unis, en accédant aux câbles sous-marins (notamment ceux qui relient l’Europe aux USA), de.les recueillir et de les conserver ces données avant qu’elles n’arrivent aux États-Unis, échappant ainsi aux règles de contrôle du FISA. Les activités fondées sur l’E.O. 12333 ne sont pas régies par la loi. Alors que les ressortissants de l’Union européenne disposent de voies de recours dans le cadre du FISA, lorsqu’ils ont fait l’objet d’une surveillance électronique illégale à des fins de sécurité nationale, il n’en est pas ainsi dans le cadre de l’E.O 12333. Les activités de la NSA fondées sur l’E.O. 12333 ne font pas l’objet d’une surveillance judiciaire et ne sont pas susceptibles de recours juridictionnels.

Le Conseil d’Etat donne tort aux associations requérantes : «Les données litigieuses comprennent les données d’identification des personnes et les données relatives aux rendez-vous mais pas de données de santé sur les éventuels motifs médicaux d’éligibilité à la vaccination, les personnes intéressées se bornant, au moment de la prise de rendez-vous, à certifier sur l’honneur qu’elles entrent dans la priorité vaccinale, qui est susceptible de concerner des adultes de tous âges sans motif médical particulier. […] le niveau de protection des données de prise de rendez-vous dans le cadre de la campagne de vaccination contre la Covid-19 ne peut être regardé comme manifestement insuffisant au regard du risque de violation du règlement général de protection des données invoqué par les requérants ».