Le juge des référés du Conseil d’Etat juge qu'il n'y a pas lieu de suspendre le partenariat conclu entre le ministère de la Santé et Doctolib en raison de l’hébergement des données des rendez-vous de vaccination par la filiale d’une société américaine : les données recueillies ne comprennent pas de données de santé et des garanties suffisantes ont été mises en place.Dans le cadre de la campagne de vaccination contre le Covid-19, le ministère de la Santé a confié la gestion des rendez-vous de vaccination sur internet à différents prestataires, dont la société Doctolib. Cette dernière confiant l'hébergement de ses données à une filiale de la société américaine Amazon, des associations et syndicats professionnels de la santé ont demandé au juge des référés du Conseil d'Etat de suspendre le partenariat conclu entre le ministère et Doctolib, au regard des risques éventuels de demandes d’accès par les autorités américaines.
Dans une ordonnance du 12 mars 2021 (requête n° 450163), le juge des référés relève tout d'abord que les données transmises à Doctolib dans le cadre de la campagne de vaccination ne comprennent pas de données de santé sur les motifs médicaux d’éligibilité à la vaccination, mais portent uniquement sur l’identification des personnes et la prise de rendez-vous. Ces données sont par ailleurs supprimées au plus tard à l’issue d’un délai de trois mois à compter de la date de rendez-vous.Le juge des référés observe ensuite que le contrat conclu entre les deux sociétés prévoit une procédure spécifique en cas de demandes d’accès par une autorité étrangère prévoyant la contestation de toute demande ne respectant pas la règlementation européenne. Doctolib a également mis en place un dispositif de sécurisation des données hébergées par la filiale reposant sur un tiers de confiance situé en France afin d’empêcher la lecture des données par des tiers.
Dans ces conditions, le juge des référés du Conseil d’Etat estime que le niveau de protection des données concernées n’est pas manifestement insuffisant au regard du risque invoqué par les requérants, et compte tenu de la nature des données en cause.
SUR LE MEME SUJET :
Health Data Hub : des précautions s'imposent, selon le Conseil d'Etat - Legalnews, 15 octobre 2020