Vaccination – Le Conseil d’État préserve le partenariat Doctolib
Maxime JAILLETLe fait d’avoir un hébergeur américain rend-il trop risquée la gestion des prises de rendez-vous de vaccination par Doctolib ? Le juge des référés du Conseil d’État a en tout cas refusé de suspendre le partenariat. Le niveau de protection des données en place ne justifie pas des mesures d’urgences. Quel est l’impact de cette décision pour vos propres activités ? On vous dit tout. C’est l’actualité juridique du jour.
Pourquoi le Partenariat Doctolib a-t-il été contesté ?
Le partenariat entre le Ministère de la Santé et Doctolib est-il possible dans un contexte post-Schrems II ?
Depuis l’arrêt de juillet 2020 par lequel la CJUE a fendu le Privacy Shield, recourir à des prestataires américains est devenu quelque peu compliqué.
Le sujet est encore plus sensible quand il s’agit d’externaliser l’hébergement de données médicales...
C’est ainsi que le Conseil d’État s’est penché en octobre 2020 sur l’hébergement du Health Data Hub par la société Microsoft. Si ce partenariat n’a pas été invalidé, le Conseil d’État a imposé de mettre en œuvre des mesures supplémentaires pour protéger les données... dans l’attente d’un changement d’hébergeur annoncé pour 2022. Le Conseil de la CNAM a audemeurant rendu un avis défavorable à Microsoft à ce sujet…
Cette fois, le Conseil d’État a été saisi du cas Doctolib. LeMinistère de la Santé a en effet confié la gestion des rendez-vous de vaccination à divers acteurs dont cette société. Or l’hébergement de cette base de données est sous-traité à la société américaine AWS.
L’éventualité d’un accès par les autorités américaines à ces données a donc posé la question de la validité de ce choix de prestataire d’hébergement.
Le Partenariat Doctolib maintenu par le juge dans un contexte post-Schrems II
Le juge des référés a en l’occurrence refusé de suspendre le partenariat.
Il reste en effet possible de continuer de travailler avec des prestataires américains. A condition toutefois d’évaluer les risques inhérents notamment à un accès aux données par le prestataire ou par des instances publiques américaines. Et donc d’adopter en conséquence certaines mesures supplémentaires, détaillées par le régulateur européen de la protection des données, l’EDPB.
La situation qui nous concerne est un peu particulière parce qu’il n’y a pas de transfert de données hors de l’Union Européenne auprès du prestataire :
- L’hébergement des données se fait sur des serveurs situés en France et en Allemagne ;
- Il n’y a pas d’opération technique opérée depuis les Etats-Unis. La maison-mère américaine n’a donc pas accès à ces données.
Toutefois, que se passerait-il en cas de demande d’accès aux données par les autorités américaines ?
Le Conseil d’État a estimé, dans son ordonnance de référé du 12 mars 2021, que les mesures mises en œuvre n’étaient pas manifestement insuffisantes :
- Les données concernées portent uniquement sur l’identification des personnes et la prise de rendez-vous. Il n’y a en revanche pas de motifs d’éligibilité à la vaccination. Elles sont par ailleurs supprimées 3 mois à compter de la date de rendez-vous ou à tout moment par la personne concernée.
- Une procédure contractuelle permet de contester la conformité à la réglementation européenne d’une demande d’accès aux données par une autorité américaine.
- Les données sont chiffrées, la clé de déchiffrement étant confiée à un tiers de confiance et non à AWS.
En conséquence, le Conseil d’État a maintenu le partenariat.
Pas manifestement insuffisant=suffisant ?
Il faut le rappeler, le juge des référés n’est pas là pour dire le droit.
Il n’a pas dit que les mesures prises sont suffisantes pour sécuriser le risque d’un accès hors Union Européenne aux données. C’est le juge du fond qui, lorsqu’il est saisi, peut trancher ce point.
On saisit par contre le juge des référés pour constater ou non un trouble manifeste et envisager des mesures d’urgence.
Dans le cas qui nous intéresse, les mesures prises n’ont pas été considérées comme manifestement insuffisantes. Il n’est donc pas nécessaire de prendre des mesures en urgence.
Et pour vous ? Qu’est-ce que cela change ?
Cette ordonnance montre que continuer de travailler avec des prestataires américains suppose de consentir des efforts non négligeables pour protéger et sécuriser les données.
Bien sûr, le problème se pose parce que le prestataire traite des données personnelles. Le mieux est donc de vous assurer qu’i lne manipule que des données anonymisées.
Si l’anonymisation est impossible, analyse de risque et mesures de protection renforcées seront des must have pour continuer de confier des données à vos prestataires américains.
Les recommandations de l’EDPB restent un document facultatif mais sur lequel les autorités de régulation s’appuieront pour estimer que le niveau de protection est ou non suffisant :
- Privilégiez l’hébergement des données en France ou en Europe ;
- Renseignez-vous sur les possibilités d’accès à distance aux données, hors Union Européenne. Le prestataire externalise-t-il des opérations techniques, maintenance par exemple, à une filiale ou sa maison-mère ? Est-ce indispensable ? Peut-il la confier à des acteurs européens ?
- Limiter au maximum les accès aux données par le prestataire ou par tout tiers. Le chiffrement de la base en ayant recours à un tiers de confiance est à cet égard une méthode très intéressante.
Conclusion : Schrems II, Affaire à suivre
La jurisprudence va s’étoffer au fil du temps. De délibérations de la CNIL en décisions de justice, nous aurons de plus en plus d’exemples de pratiques considérées ou non comme suffisantes pour maintenir les transferts de données en place.
La portée de cette ordonnance de référé ne doit néanmoins pas être exagérée.
Le juge des référés n’a pas délivré un blanc seing à Doctolib. Il indique simplement que des mesures d’urgences ne sont pas nécessaires. Cette ordonnance reste intéressante pour les exemplesde mesure en place qu’elle met en lumière.
Ne partez pas si vite
Séisme dans le monde des CMP : le protocole TCF de l’IAB est déclaré illégal !
La décision du 02 février 2022 rendue par l'APD belge est un vrai cataclysme pour l'IAB et le protocole TCF ! Christophe Landat, avocat et DPO d'Axeptio, en présente le contenu.
Mise à jour septembre 2022 : Condamnée par l'Autorité de Protection des Données (CNIL Belge) pour violation du RGPD, notamment à une amende de 250 000€, la division européenne de l’Interactive Advertising Bureau a fait appel de cette décision.
5 conseils pour réussir la mise en conformité RGPD de votre mairie
Maxime JAILLETVotre mairie doit intégrer les exigences du RGPD et de la directive ePrivacy et ce, compte tenu de risques croissants liés à votre activité. Ca vous effraie ? Pas de panique car la tendance est à la mutualisation des ressources : le Data Protection Officer comme les outils IT. Et pour gérer la conformité de votre site web, il suffit de faire comme dans la vraie vie.
Cybersécurité, données de santé et cookies, priorités de la CNIL en 2021
Maxime JAILLETLa CNIL a dévoilé son programme de contrôles pour 2021. Quels seront les thèmes prioritaires ? La sécurité IT des sites web ; le traitement des données de santé (ce qui concernera les acteursdu secteur de la santé mais pas seulement) et les cookies. On vous dit tout.