Respect de la vie privée, protection des données personnelles. Légalité du partenariat COVID-19 avec DOCTOLIB dépendant d’AMAZON

Par une requête au secrétariat du contentieux du Conseil d’Etat, l’association InterHop, l’association Constances, l’association Actions Traitement, l’association les Actupiennes, l’association Actup santé sud ouest, le syndicat de la Médecine générale (SMG), l’Union française pour une médecine libre (UFML), le Sndicat national des jeunes médecins généralistes (SNJMG), la Fédération des médecins de France (FMF), Mme A… D…, en son mandat de représentante des usagers du Conseil de surveillance de l’AP-HP, M. B… C…, la Fédération SUD santé sociaux et la Ligue des droits de l’Homme ont demandé au juge des référés du Conseil d’Etat, statuant sur le fondement de l’article L. 521-2 du Code de justice administrative d’ordonner la suspension du partenariat avec la société Doctolib en ce qu’il repose sur un hébergement des données de santé auprès d’une société américaine, le rendant incompatible avec le règlement général sur la protection des données (RGPD).

Pour accélérer la campagne de vaccination contre la Covid-19, la gestion de prise de rendez-vous est assurée par trois sociétés différentes, dont la société Doctolib. Pour les besoins de l’hébergement de ses données, la société Doctolib a recours aux prestations de la société de droit luxembourgeois AWS Sarl, filiale de la société américaine Amazon Web Services Inc. Les données litigieuses comprennent les données d’identification des personnes et les données relatives aux rendez-vous, mais pas de données de santé sur les éventuels motifs médicaux d’éligibilité à la vaccination. Ces données sont supprimées au plus tard à l’issue d’un délai de trois mois à compter de la date de rendez-vous, chaque personne concernée ayant créé un compte sur la plateforme pour les besoins de la vaccination pouvant le supprimer directement en ligne. La société Doctolib et la société AWS ont conclu un addendum complémentaire sur le traitement des données instaurant une procédure précise en cas de demandes d’accès par une autorité publique aux données traitées pour le compte de Doctolib prévoyant notamment la contestation de toute demande générale ou ne respectant pas la règlementation européenne. La société Doctolib a également mis en place un dispositif de sécurisation des données hébergées par la société AWS par le biais d’une procédure de chiffrement reposant sur un tiers de confiance situé en France afin d’empêcher la lecture des données par des tiers. Eu égard à ces garanties et aux données concernées, le niveau de protection des données de prise de rendez-vous dans le cadre de la campagne de vaccination ne peut être regardé comme manifestement insuffisant au regard du risque de violation du règlement (UE) 2016/679 du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel.

Ainsi, et sans qu’il soit besoin de saisir la CNIL d’une demande d’avis, la décision de confier à la société Doctolib, parmi d’autres voies possibles de réservation de rendez-vous, la gestion de rendez-vous de vaccination contre la Covid-19 ne porte pas une atteinte grave et manifestement illégale au droit au respect de la vie privée et au droit à la protection des données personnelles.

La demande de suspension du partenariat avec la société Doctolib est rejetée.


  • Conseil d’État, Juge des référés, 12 mars 2021, req. n° 450163

Laisser un commentaire

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.