Par ordonnance du 12 mars 2021 le Conseil d’Etat a rejeté la demande de diverses associations dont le syndicat de la Médecine générale (SMG) et la Ligue des droits de l’Homme demandant au juge des référés du Conseil d’Etat d’ordonner la suspension du partenariat entre le ministère de la santé et la société Doctolib dans le cadre du plan d’accélération de la vaccination contre le COVID-19 dans la mesure où son système de prise de rendez vous en ligne impliquait l’hébergement des données de santé auprès d’une société américaine (AWS).
Selon les demandeurs, le recours à ce prestataire était contraire au règlement général sur la protection des données (RGPD) suite à la décision de la CJUE Schrems II qui avait invalidé le Privacy Shield et implicitement rendu illégal les transferts de données vers les Etats-Unis à moins que des mesures complémentaires soient prises (voir ici pour plus d’information).
Le Conseil d’Etat a rejeté les demandes en précisant d’une part que les données de prises de rendez-vous en ligne n’impliquait pas le traitement de données de santé sur les éventuels motifs médicaux d’éligibilité à la vaccination et d’autre part, que la société Doctoblib avait pris les mesures suffisantes pour assurer le respect du RGPD dans le cadre de ce transfert.
Cette décision est très intéressante dans la mesure où le Conseil d’Etat se positionne sur le risque lié aux données de prises de rendez-vous en ligne et aux mesures complémentaires à adopter lorsqu’une organisation transfère des données vers les Etats-Unis ou tout pays ayant des réglementations ne permettant pas l’application des outils de transferts de données (ex: BCR, clauses contractuelles types etc.).
Toutefois, il est important de rappeler que le Conseil d’Etat saisi en référé ne pouvait accueillir la demande que si les demandeurs prouvait une atteinte grave et manifestement illégale. Ainsi, si la même affaire était jugée au fond, il est possible que la position ne soit pas la même.
1. Les données relatives à la prise de rendez-vous pour la vaccination sont-elles des données de santé ?
Selon le Conseil d’Etat, lors de la prise de rendez-vous, seules les données suivantes sont traitées :
- les données d’identification des personnes ; et
- les données relatives aux rendez-vous;
- certification sur l’honneur qu’elles entrent dans la priorité vaccinale, qui est susceptible de concerner des adultes de tous âges sans motif médical particulier.
Selon le conseil d’etat, la prise de rendez vous n’impliquait pas le traitement de données de santé sur les éventuels motifs médicaux d’éligibilité à la vaccination sans préciser si la prise de rendez-vous constituait une donnée de santé.
Toutefois, selon le RGPD, les données de santé sont « les données à caractère personnel relatives à la santé physique ou mentale d’une personne physique, y compris la prestation de services de soins de santé, qui révèlent des informations sur l’état de santé de cette personne ».
Ainsi, il semble que le Conseil d’Etat n’ait pas voulu se positionner sur la nature des données de rendez-vous mais plus particulièrement sur le niveau de risque qu’implique le traitement de chaque type de donnée.
Il a sans doute considéré, dans le cadre de ce référé, que les risques étaient moins important dans la mesure où le détails des motifs de santé n’était pas révélé sans pour autant exclure de la catégorie « données de santé », les données relatives à la prise de rendez-vous.
Dans tous les cas, conclure que les données de prise de rendez-vous n’entrent pas dans la catégorie des données de santé sur la base de cette décision serait sûrement un raccourci dangereux dans le contexte de la campagne de vaccination.
En effet, le fait d’être vacciné contre le COVID-19 à une date précise révèle l’état de santé des personnes puisqu’on peut déterminer à partir de quelle date la personne concernée est immunisée contre le COVID-19. La position du Conseil d’Etat sera sûrement précisée à l’avenir.
2. Les mesures prises par Doctolib ne sont pas manifestement insuffisantes au regard du risque de violation du RGPD concernant les transferts vers les Etats-Unis
Le point, sans doute le plus intéressant de cette décision est la position du Conseil d’Etat concernant les mesures prises par Doctolib pour assurer la légalité du transferts vers les Etats-Unis.
Suite au jugement Schrem II, la CJUE, qui avait invalidé le Privacy Shield, n’avait pas précisé les mesures complémentaires nécessaires pour assurer le respect du RGPD lorsqu’une organisation souhaitait transférer des données vers les Etats-Unis sur la base des Clauses contractuelles types et avait laissé cette tâche délicate aux autorités de protection des données qui avaient publié des recommandations il y a quelques mois.
La haute juridiction administrative relève que :
- Les données relatives au rendez-vous sont supprimées par défaut à l’issue d’un délai de trois mois à compter de la date de rendez-vous, chaque personne concernée pouvant le supprimer directement en ligne;
- La société Doctolib et la société AWS ont conclu un addendum complémentaire sur le traitement des données instaurant une procédure précise en cas de demandes d’accès par une autorité publique aux données traitées pour le compte de Doctolib prévoyant notamment la contestation de toute demande générale ou ne respectant pas la règlementation européenne;
- La société Doctolib a également mis en place un dispositif de sécurisation des données hébergées par la société AWS par le biais d’une procédure de chiffrement reposant sur un tiers de confiance situé en France afin d’empêcher la lecture des données par des tiers.
Ainsi, selon le Conseil d’Etat, le niveau de protection des données de prise de rendez-vous dans le cadre de la campagne de vaccination contre la Covid-19:
- ne peut être regardé comme manifestement insuffisant au regard du risque de violation du règlement général de protection des données invoqué par les requérants ;
- ne porte pas une atteinte grave et manifestement illégale au droit au respect de la vie privée et au droit à la protection des données personnelles.
En conclusion, bien qu’il ne s’agisse pas d’une validation pure et simple de ces mesures dans la mesure où le Conseil d’Etat ne fait que répondre à la question de savoir si l’atteinte est grave et manifestement illégale, cette décision fournit une certaine sécurité juridique aux organisations devant transférer leur données aux Etats-Unis.
Toutefois, sans décision au fond, il est encore trop tôt pour affirmer sans aucun doute que ces mesures sont suffisantes.
Pour une lecture de la décision, cliquer ici
