Vaccination : le Conseil d’État retoque la demande de suspension de partenariat entre le ministère de la Santé et Doctolib

13/04/2021


Le Conseil d’État a publié un communiqué qui explique pourquoi la demande de suspension de partenariat entre Doctolib et le ministère de la Santé a été rejetée. Le juge de l’institution estime que les données recueillies par la plateforme et les conditions imposées par l’État sont suffisantes.



« Le juge des référés du Conseil d'État écarte cette demande en relevant que les données recueillies dans le cadre des rendez-vous de vaccination ne comprennent pas de données de santé sur les motifs médicaux d'éligibilité à la vaccination et que des garanties ont été mises en place pour faire face à une éventuelle demande d'accès par les autorités américaines » tranche le Conseil d’État. Dans un communiqué, l’institution explique les raisons qui l’ont poussé à retoquer la demande d’associations et syndicats qui demandaient la suspension du partenariat entre le ministère de la Santé et Doctolib. 

 

« Pour les besoins de l'hébergement de ses données, la société Doctolib a recours à la société AWS Sarl, qui est une filiale de la société américaine Amazon Web Services Inc.
Des associations et syndicats professionnels de la santé ont demandé au juge des référés du Conseil d'État de suspendre le partenariat conclu entre le ministère de la santé et Doctolib. Ceux-ci estimaient que l'hébergement des données de Doctolib par la filiale d'une société américaine comportait des risques au regard de demandes d'accès par les autorités américaines. Cette contestation s'inscrit dans la suite de l'arrêt « Schrems II » de la Cour de justice de l'Union européenne (CJUE)1 , qui a jugé que la protection des données transférées vers les États-Unis par le « Privacy Shield » (ou « bouclier de protection des données ») était insuffisante au regard du droit européen
 » rappelle le texte.

Examinant cet aspect mis en avant par les plaignants, le juge assure avoir observé le type de données stockées puis leur traitement. Concernant le premier aspect, le fait que les raisons qui donnent droit en priorité à la vaccination ne soit pas connu par Doctolib a pesé dans la balance. Et pour le second, « Ces données sont par ailleurs supprimées au plus tard à l'issue d'un délai de trois mois à compter de la date de rendez-vous, les personnes concernées pouvant en outre les supprimer directement en ligne. Le juge des référés a ensuite observé que le contrat conclu entre la société Doctolib et la société AWS Sarl prévoit une procédure spécifique en cas de demandes d'accès par une autorité étrangère prévoyant la contestation de toute demande ne respectant pas la règlementation européenne. La société Doctolib a également mis en place un dispositif de sécurisation des données hébergées par la société AWS Sarl reposant sur un tiers de confiance situé en France afin d'empêcher la lecture des données par des tiers. »