- Un arrêt s’inscrivant dans un contexte hostile aux GAFAM
Dans le cadre de la campagne de vaccination massive décidée par le Gouvernement contre la Covid-19, le Ministère des Solidarités et de la Santé a confié la gestion des rendez-vous de vaccination sur internet à différents prestataires[1] dont la société Doctolib.
La société Doctolib a recours à la société de droit luxembourgeois AWS Sarl, filiale de la société américaine Amazon Web Services Inc (ci-après « AWS ») pour l’hébergement de ses données.
Dans ce contexte, plusieurs associations et syndicats professionnels de la santé ont saisi le juge des référés du Conseil d’État afin de demander la suspension du partenariat entre la plateforme de la société Doctolib et le Ministère de la Santé, ce que le Conseil d’État a refusé.
Les requérants faisaient valoir les risques que cette situation comportait au regard du droit au respect de la vie privée, compte tenu de possibles transferts de données vers les Etats-Unis pouvant notamment faire l’objet de demandes d’accès à certaines données de santé par les autorités américaines (dans le cadre de ses programmes de surveillance).
Cette décision intervient dans un climat particulièrement hostile à l’égard des GAFAM[2].
En effet, pour rappel, la Cour de justice de l’Union européenne avait estimé dans un arrêt en date du 16 juillet 2020[3] que la protection des données transférées vers les États-Unis par le « Privacy Shield[4] » était insuffisante au regard du droit européen, puisque le droit américain permet notamment aux autorités américaines d’accéder aux données personnelles hébergées par des sociétés américaines.
Par la suite, le Conseil d’État avait également reconnu, dans son ordonnance du 13 octobre 2020[5], l’existence d’un risque de transfert de données issues du Health Data Hub de Microsoft vers les États-Unis et demandé des garanties supplémentaires.
- La validation du recours à un hébergeur soumis au droit américain
En l’espèce, le contexte est légèrement différent puisqu’aucun transfert transfrontalier n’était prévu contractuellement entre les sociétés Doctolib et AWC.
Le Conseil d’État a toutefois jugé utile d’évaluer le niveau de protection du traitement des données et les garanties prévues contractuellement dans l’hypothèse où celles-ci seraient potentiellement accessibles par les autorités américaines.
- Les données hébergées par la société AWS sont-elles de nature à créer un risque d’atteinte à la vie privée des personnes concernées ?
En premier lieu, le Conseil d’État constate que « les données litigieuses comprennent les données d’identification des personnes et les données relatives aux rendez-vous mais pas de données de santé sur les éventuels motifs médicaux d’éligibilité à la vaccination, les personnes intéressées se bornant, au moment de la prise de rendez-vous, à certifier sur l’honneur qu’elles entrent dans la priorité vaccinale, qui est susceptible de concerner des adultes de tous âges sans motif médical particulier ».
Sur ce point, le Conseil d’État adopte une définition restrictive de la notion de la donnée de santé. Les magistrats ne semblent pas tenir compte de la doctrine de la CNIL[6] selon laquelle les informations liées à la prise de rendez-vous « peuvent renseigner sur l’état de santé des patients, de même que la simple connaissance d’une consultation d’un spécialiste peut indiquer sur l’état de santé (ex : consulter un cardiologue régulièrement) ».
Plus encore, le Règlement Général de Protection des Données[7] définit la donnée de santé comme les données relatives à « la santé physique ou mentale d’une personne physique, y compris la prestation de services de soins de santé, qui révèlent des informations sur l’état de santé de cette personne ».
Or, à la date du recours formé par les requérants, les personnes concernées par la vaccination étaient les personnes de 75 ans et plus, les personnes vulnérables à très haut risque, les personnes en situation de handicap, les personnes de 50 à 74 ans inclus souffrant d’une ou plusieurs des comorbidités[8].
Il existait alors de grandes chances de pouvoir tirer des conclusions sur l’état de santé ou le risque pour la santé de la personne ayant pris un rendez-vous pour la vaccination.
Le Conseil d’État considère également que le niveau de protection de la plateforme, telle qu’assuré notamment par la suppression automatique des données à l’issue d’un délai de 3 mois et la possibilité pour les utilisateurs de supprimer directement leurs données, était suffisant.
- La protection de ces données par la société Doctolib et la société AWS est-elle suffisante afin d’éviter leur accès par les autorités américaines ?
En second lieu, le Conseil d’État relève ensuite que la société Doctolib et la société AWS ont prévu dans leur contrat un « addendum complémentaire sur le traitement des données instaurant une procédure précise en cas de demande d’accès par une autorité publique aux données traitées pour le compte de Doctolib (…) ainsi qu’une procédure de chiffrement reposant sur un tiers de confiance situé en France afin d’empêcher la lecture des données par des tiers ».
Pour justifier d’une protection suffisante des données par la société Doctolib et la société AWS, le Conseil d’État estime (i) que la garantie contractuelle entre les deux sociétés permettra valablement de contester toute demande d’accès des autorités de renseignement américaines et (ii) que le choix de la procédure de chiffrement mise en place constitue une garantie technique suffisante.
- Que retenir de cet arrêt ?
A la lecture de ces différents arguments, doit-on en déduire que le Conseil d’État estime que les différentes dispositions prises par la société Doctolib et AWS correspondent aux dites « garanties supplémentaires » que le Conseil d’État visait lui-même dans son ordonnance du 13 octobre 2020 concernant le Health Data Hub ?
En tout état de cause, lorsque le Conseil d’État conclut par ces mots : « Eu égard à ces garanties et aux données concernées, le niveau de protection niveau de protection des données de prise de rendez-vous dans le cadre de la campagne de vaccination ne peut être regardé comme manifestement insuffisant au regard du risque de violation du règlement général de protection des données », nous serions tentés de croire que, au vue du contexte sanitaire actuel, le Conseil d’État a volontairement minimisé le niveau de sensibilité des données personnelles hébergées afin de valider les garanties existantes entre la société Doctolib et AWS et permettre de poursuivre la campagne de vaccination contre la Covid-19.
[1] Les sociétés MAIIA et KELDOC
[2] GAFAM est l’acronyme des géants du Web — Google, Apple, Facebook, Amazon et Microsoft
[3] CJUE Data Protection Commissioner contre Facebook Ireland Ltd et Maximillian Schrems, C-311/18
[4] « bouclier de protection des données »
[5] CE, ord. Réf., 13 octobre 2020, n°444937
[6] CNIL, Guide pratique sur la protection des données personnelles, juin 2018
[7] Règlement UE 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données
[8] Site du Gouvernement « Les personnes éligibles à la vaccination contre la Covid-19 », mars 2021 : <https://www.gouvernement.fr/les-personnes-eligibles-a-la-vaccination-contre-la-covid-19>
