Dans le cadre de la campagne de vaccination contre la Covid-19, le Ministère de la santé a confié la gestion des rendez-vous de vaccination à des différents prestataires dont Doctolib, qui a recours à la société américaine Amazon Web Services (AWS).
Des associations et syndicats professionnels avaient déposé un recours en référé estimant qu’Amazon Web Services ne protégeait pas suffisamment les données personnelles des patients qui souhaitent prendre rendez-vous pour la vaccination.
En effet, selon les requérants le partenariat porte atteinte à la protection des données car leur hébergement est confié à Amazon qui, en tant que société américaine est soumise à la législation américaine, et celle-ci ne permet pas d’assurer le niveau de protection appropriée, en plus d’une éventuelle demande d’accès par les autorités américaines.
Cette contestation s’inscrit dans la suite de l’arrêt « Schrems II » de la CJUE du 16 juillet 2020 qui estime que la protection des données transférées vers les États-Unis par le Privacy Shield était insuffisante face au droit européen.
Cependant, le 12 mars 2021, le Conseil d’État a refusé de suspendre le partenariat entre le Ministère de la santé et Doctolib.
Le Conseil d’État a relevé que les données transmises à Doctolib ne comprennent pas des données de santé sur les motifs médicaux d’éligibilité à la vaccination, mais porte uniquement sur l’identification des personnes et la prise de rendez-vous.
Les utilisateurs certifient sur l’honneur qu’elles entrent bien dans la catégorie des personnes ayant la priorité vaccinale.
Les seules informations récoltées sont supprimées à l’issue d’un délai de trois mois à compter de la date du rendez-vous. À ceci s’ajoute la possibilité pour les personnes concernées de supprimer directement en ligner les données.
De plus, le juge estime que Doctolib possède un mécanisme de sécurisation des données suffisant, le contrat prévu entre Doctolib et Amazon Web Services prévoit une procédure spécifique en cas de demande d’accès par une autorité publique et conteste toute demande ne respectant pas la règlementation européenne.
Doctolib a mis également en place une procédure de chiffrement reposant sur Atos, qui empêche la lecture des données par un tiers. Les seules données liées aux documents médicaux tels que les ordonnances ou les résultats d’analyse étaient chiffrées de bout en bout.
Dans ces conditions, le juge estime que le niveau de protection des données concernées n’est pas manifestement insuffisant au regard du risque invoqué par les associations et syndicats requérants, et compte tenu de la nature des données en cause, il a rejeté la demande des requérants.