Décision du 12/03/2021
LE CONTEXTE :
Dans le cadre de la campagne de vaccination contre la covid-19, le ministère des solidarités et de la santé a confié la gestion des rendez-vous de vaccination sur internet à différents prestataires, dont la société Doctolib.
Pour les besoins de l’hébergement de ses données, la société Doctolib a recours à la société AWS Sarl, qui est une filiale de la société américaine Amazon Web Services Inc.
Des associations et syndicats professionnels de la santé ont demandé au juge des référés du Conseil d’État de suspendre le partenariat conclu entre le ministère de la santé et Doctolib. Ceux-ci estimaient que l’hébergement des données de Doctolib par la filiale d’une société américaine comportait des risques au regard de demandes d’accès par les autorités américaines.
LA DECISION :
Le juge des référés ne suspend pas le partenariat entre le ministère de la santé et Doctolib pour la gestion des rendez-vous de vaccination contre la covid-19 pour les raisons suivantes :
1. Les données recueillies dans le cadre des rendez-vous de vaccination ne comprennent pas de données de santé sur les motifs médicaux d’éligibilité à la vaccination.
2. Les données recueillies portent uniquement sur l’identification des personnes et la prise de rendez-vous
3. Ces données sont par ailleurs supprimées au plus tard à l’issue d’un délai de trois mois à compter de la date de rendez-vous.
4. Les personnes concernées pouvant en outre supprimer ces données directement en ligne.
5. Des garanties ont été mises en place par Doctolib et AWS pour faire face à une éventuelle demande d’accès par les autorités américaines.
6. Le contrat conclu entre la société Doctolib et la société AWS Sarl prévoit une procédure spécifique en cas de demandes d’accès par une autorité étrangère prévoyant la contestation de toute demande ne respectant pas la règlementation européenne.
7. La société Doctolib a également mis en place un dispositif de sécurisation des données hébergées par la société AWS Sarl reposant sur un tiers de confiance situé en France afin d’empêcher la lecture des données par des tiers.
LA CONCLUSION :
Dans ces conditions, le juge des référés du Conseil d’État estime que le niveau de protection des données concernées n’est pas manifestement insuffisant au regard du risque invoqué par les associations et syndicats requérants, et compte tenu de la nature des données en cause. Il a, dès lors, rejeté la demande des associations et syndicats requérants
Téléchargez la décision n°450163 du Conseil d’Etat
Lire le communiqué de presse au format pdf