Rechercher
Fermer ce champ de recherche.

Le Conseil d’Etat valide le partenariat conclu entre l’État et Doctolib

08 avril 2021

Par une ordonnance du 12 mars 2021, le juge des référés du Conseil d’Etat a validé la légalité du partenariat conclu entre l’État et la société Doctolib, au titre de la campagne de vaccination contre la covid-19, au regard des règles en matière de protection des données à caractère personnel.

Pour mémoire, dans le cadre de cette campagne de vaccination, le ministère des solidarités et de la Santé a confié la gestion des rendez-vous de vaccination sur internet à différents prestataires dont la société Doctolib. Diverses associations ont demandé au juge du référé-liberté de suspendre le partenariat avec la société Doctolib, en ce qu’il repose sur un hébergement des données de santé auprès d’une société américaine le rendant, d’après les requérantes, incompatible avec le RGPD.

La légalité de ce partenariat est donc appréciée par le juge des référés au regard des dispositions du RGPD, telles qu’interprétées par la Cour de justice de l’Union européenne, notamment dans un arrêt de grande chambre du 16 juillet 2020, Data Protection Commissioner contre Facebook Ireland Ltd et Maximillian Schrems, C-311/18 (expressément mentionné dans l’ordonnance). Le Conseil d’Etat reprend à son compte l’idée selon laquelle les conditions de transfert de données à caractère personnel hors Union européenne doivent assurer que les droits des personnes intéressées « bénéficient d’un niveau de protection substantiellement équivalent à celui garanti au sein de l’Union européenne par ce règlement, lu à la lumière de la charte des droits fondamentaux de l’Union européenne », et d’ajouter que « l’évaluation du niveau de protection assuré doit, notamment, prendre en considération tant les stipulations contractuelles convenues entre le responsable du traitement ou son sous-traitant établis dans l’Union européenne et le destinataire du transfert établi dans le pays tiers concerné que, en ce qui concerne un éventuel accès des autorités publiques de ce pays tiers aux données à caractère personnel ainsi transférées, les éléments pertinents du système juridique de celui-ci ». Or, en se fondant sur le même arrêt, le juge des référés retient que « les limitations de la protection des données à caractère personnel qui découlent de la réglementation interne des Etats-Unis ne sont pas encadrées de façon à répondre à des exigences substantiellement équivalentes à celles requises par la charte des droits fondamentaux de l’Union européenne ».

Cependant, en l’espèce, le juge des référés observe également que si les données collectées par la société Amazon sont hébergées par une filiale d’une société américaine (la société AWS Sarl), celle-ci est une société de droit luxembourgeois hébergeant ses données dans des data centers situés en France et en Allemagne, et certifiée « hébergeur de données de santé » en application de l’article L. 1111-8 du code de la santé publique. Qui plus est, le contrat conclu avec la société Doctolib ne prévoit aucun transfert de données à caractère personnel hors du territoire de l’Union européenne. Enfin, ce contrat comporte un addendum complémentaire instaurant une procédure précise en cas de demandes d’accès par une autorité publique aux données traitées pour le compte de Doctolib, prévoyant notamment la contestation de toute demande générale ou ne respectant pas la règlementation européenne, et prévoit également un dispositif de sécurisation des données par le biais d’une procédure de chiffrement reposant sur un tiers de confiance situé en France. Au total, l’ordonnance conclut que « le niveau de protection des données de prise de rendez-vous dans le cadre de la campagne de vaccination contre la Covid-19 ne peut être regardé comme manifestement insuffisant au regard du risque de violation du règlement général de protection des données invoqué par les requérants ».

Par suite, le juge des référés rejette le recours en référé-liberté engagé par les associations requérantes, et ce faisant, valide le partenariat conclu avec la société Doctolib (sans préjudice néanmoins d’un hypothétique recours au fond).

CE ord. 12 mars 2021, Association InterHop et autres, req. n° 450163

Newsletter