Back to Blog

Vaccination – Le Conseil d’État préserve le partenariat Doctolib

Maxime JAILLET

Le fait d’avoir un hébergeur américain rend-il trop risquée la gestion des prises de rendez-vous de vaccination par Doctolib ? Le juge des référés du Conseil d’État a en tout cas refusé de suspendre le partenariat. Le niveau de protection des données en place ne justifie pas des mesures d’urgences. Quel est l’impact de cette décision pour vos propres activités ? On vous dit tout. C’est l’actualité juridique du jour.

Pourquoi le Partenariat Doctolib a-t-il été contesté ?

Le partenariat entre le Ministère de la Santé et Doctolib est-il possible dans un contexte post-Schrems II ?

Depuis l’arrêt de juillet 2020 par lequel la CJUE a fendu le Privacy Shield, recourir à des prestataires américains est devenu quelque peu compliqué.

Le sujet est encore plus sensible quand il s’agit d’externaliser l’hébergement de données médicales...

C’est ainsi que le Conseil d’État s’est penché en octobre 2020 sur l’hébergement du Health Data Hub par la société Microsoft. Si ce partenariat n’a pas été invalidé, le Conseil d’État a imposé de mettre en œuvre des mesures supplémentaires pour protéger les données... dans l’attente d’un changement d’hébergeur annoncé pour 2022. Le Conseil de la CNAM a audemeurant rendu un avis défavorable à Microsoft à ce sujet

Cette fois, le Conseil d’État a été saisi du cas Doctolib. LeMinistère de la Santé a en effet confié la gestion des rendez-vous de vaccination à divers acteurs dont cette société. Or l’hébergement de cette base de données est sous-traité à la société américaine AWS.

L’éventualité d’un accès par les autorités américaines à ces données a donc posé la question de la validité de ce choix de prestataire d’hébergement.

Le Partenariat Doctolib maintenu par le juge dans un contexte post-Schrems II

Le juge des référés a en l’occurrence refusé de suspendre le partenariat.

Il reste en effet possible de continuer de travailler avec des prestataires américains. A condition toutefois d’évaluer les risques inhérents notamment à un accès aux données par le prestataire ou par des instances publiques américaines. Et donc d’adopter en conséquence certaines mesures supplémentaires, détaillées par le régulateur européen de la protection des données, l’EDPB.

La situation qui nous concerne est un peu particulière parce qu’il n’y a pas de transfert de données hors de l’Union Européenne auprès du prestataire :

  • L’hébergement des données se fait sur des serveurs situés en France et en Allemagne ;
  • Il n’y a pas d’opération technique opérée depuis les Etats-Unis. La maison-mère américaine n’a donc pas accès à ces données.

Toutefois, que se passerait-il en cas de demande d’accès aux données par les autorités américaines ?

Le Conseil d’État a estimé, dans son ordonnance de référé du 12 mars 2021, que les mesures mises en œuvre n’étaient pas manifestement insuffisantes :

  • Les données concernées portent uniquement sur l’identification des personnes et la prise de rendez-vous. Il n’y a en revanche pas de motifs d’éligibilité à la vaccination. Elles sont par ailleurs supprimées 3 mois à compter de la date de rendez-vous ou à tout moment par la personne concernée.
  • Une procédure contractuelle permet de contester la conformité à la réglementation européenne d’une demande d’accès aux données par une autorité américaine.
  • Les données sont chiffrées, la clé de déchiffrement étant confiée à un tiers de confiance et non à AWS.

En conséquence, le Conseil d’État a maintenu le partenariat.

Pas manifestement insuffisant=suffisant ?

Il faut le rappeler, le juge des référés n’est pas là pour dire le droit.

Il n’a pas dit que les mesures prises sont suffisantes pour sécuriser le risque d’un accès hors Union Européenne aux données. C’est le juge du fond qui, lorsqu’il est saisi, peut trancher ce point.

On saisit par contre le juge des référés pour constater ou non un trouble manifeste et envisager des mesures d’urgence.

Dans le cas qui nous intéresse, les mesures prises n’ont pas été considérées comme manifestement insuffisantes. Il n’est donc pas nécessaire de prendre des mesures en urgence.

Et pour vous ? Qu’est-ce que cela change ?

Cette ordonnance montre que continuer de travailler avec des prestataires américains suppose de consentir des efforts non négligeables pour protéger et sécuriser les données.

Bien sûr, le problème se pose parce que le prestataire traite des données personnelles. Le mieux est donc de vous assurer qu’i lne manipule que des données anonymisées.

Si l’anonymisation est impossible, analyse de risque et mesures de protection renforcées seront des must have pour continuer de confier des données à vos prestataires américains.

Les recommandations de l’EDPB restent un document facultatif mais sur lequel les autorités de régulation s’appuieront pour estimer que le niveau de protection est ou non suffisant :

  • Privilégiez l’hébergement des données en France ou en Europe ;
  • Renseignez-vous sur les possibilités d’accès à distance aux données, hors Union Européenne. Le prestataire externalise-t-il des opérations techniques, maintenance par exemple, à une filiale ou sa maison-mère ? Est-ce indispensable ? Peut-il la confier à des acteurs européens ?
  • Limiter au maximum les accès aux données par le prestataire ou par tout tiers. Le chiffrement de la base en ayant recours à un tiers de confiance est à cet égard une méthode très intéressante.

Conclusion : Schrems II, Affaire à suivre

La jurisprudence va s’étoffer au fil du temps. De délibérations de la CNIL en décisions de justice, nous aurons de plus en plus d’exemples de pratiques considérées ou non comme suffisantes pour maintenir les transferts de données en place.

La portée de cette ordonnance de référé ne doit néanmoins pas être exagérée.

Le juge des référés n’a pas délivré un blanc seing à Doctolib. Il indique simplement que des mesures d’urgences ne sont pas nécessaires. Cette ordonnance reste intéressante pour les exemplesde mesure en place qu’elle met en lumière.

Share on social media: 

Ne partez pas si vite ... 

US – Qu’est-ce que le CCPA et le CPRA et comment s’y conformer grâce à Axeptio ?

Le module d’Axeptio vous permet de déployer une gestion des cookies conforme au CCPA et au CPRA. L’État Californien s’est en effet doté de normes reposant sur l’information du user et un droit à l’opt-out. Pourquoi s’intéresser à nous ? Parce que notre module étant RGPD-friendly, il passe haut la main le stress-test du CCPA. Pour vous, c’est une occasion de rendre fun vos cookies.

Lire la suite

Consentement, bandeau et cookies – La temporisation est la clé

Temporiser le dépôt de vos cookies ? A l’heure de la course aux opt-in perdus, il s’agit de se concentrer sur l’essentiel. En effet, déposer trop tôt vos traceurs signifie collecter de la donnée personnelle sur une audience non pertinente. La temporisation est donc un moyen appréciable de vous recentrer sur les users véritablement engagés...

Lire la suite

Romain Batigne, Aka Roro, rejoint Axeptio

Si les factures reviennent enfin dans le back-office, c'est grâce à lui : Romain Batigne, Aka RORO ! ALors, on s'est dit que c'était une chouette opportunité pour vous le présenter en quelques questions / réponses.

Lire la suite

Le mieux pour ne rien louper,
c'est surement notre super newsletter !

Un digest, 2 fois par mois, avec toutes les infos essentielles
sur la privacy et le permission marketing. Deal ? 
Dans ce contexte, nous utiliserons uniquement votre adresse email.
Notre routeur email  (Hubspot) aura accès à cette information.
Vous pourrez à tout moment vous désinscrire en cliquant sur les liens de désinscription présents dans chacun de nos e-mails.