Le partenariat avec Doctolib n’est finalement pas suspendu par le Conseil d’État
Doctolib est dans le collimateur de la CNIL.geralt / Pixabay
Le recours mené par les associations et syndicats professionnels contre le partenariat entre l’Etat et Doctolib vient d’être rejeté par le Conseil d’État.
Plateforme permettant de prendre rendez-vous avec des médecins, Doctolib est depuis quelque temps sous le feu des projecteurs. Selon de multiples associations et syndicats professionnels de la santé, la plateforme porterait « une atteinte grave au droit au respect de la vie privée ». Après avoir lancé un recours auprès du Conseil d’État, l’institution publique s’est aujourd’hui exprimée en déclarant la non-suspension du « partenariat entre le ministère de la Santé et Doctolib pour la gestion des rendez-vous de vaccination contre la Covid-19 ».
Des inquiétudes sur la gestion des données personnelles des Français
Le 11 janvier 2021, l’État français signait un contrat avec la plateforme Doctolib afin de permettre les prises de rendez-vous des vaccinations contre la Covid-19 sur le site Sante.fr. Face à l’annonce de ce partenariat, les associations et syndicats professionnels de la santé ont soumis leurs inquiétudes concernant la protection des données médicales stockées sur les serveurs de l’hébergeur Amazon Web Services (AWS). Ces derniers estimaient en effet que la protection des informations de santé des Français n’était pas suffisante et avaient peur que le droit américain puisse sous certaines conditions laisser des entreprises américaines utiliser ces données.
Suite à un recours de leur part, le Conseil d’État a statué sur la situation le 12 mars 2021. L’institution a ainsi déclaré dans un communiqué que « les données recueillies dans le cadre des rendez-vous de vaccination ne comprennent pas de données de santé sur les motifs médicaux d’éligibilité à la vaccination et que des garanties ont été mises en place pour faire face à une éventuelle demande d’accès par les autorités américaines ». Il est ensuite précisé que « ces données sont supprimées au plus tard à l’issue d’un délai de trois mois à compter de la date de rendez-vous, les personnes concernées pouvant en outre les supprimer directement en ligne ».
Des protocoles renforcés pour garantir une protection des données
Concernant l’hébergement des données, le juge explique que Doctolib a mis en place « un dispositif de sécurisation des données hébergées par la société AWS Sarl reposant sur un tiers de confiance situé en France afin d’empêcher la lecture des données par des tiers », mais aussi qu’un « contrat conclu entre la société Doctolib et la société AWS Sarl prévoit une procédure spécifique en cas de demandes d’accès par une autorité étrangère prévoyant la contestation de toute demande ne respectant pas la réglementation européenne ».
Le Conseil d’État juge ainsi que « le niveau de protection des données concernées n’est pas manifestement insuffisant au regard du risque invoqué par les associations et syndicats requérants, et compte tenu de la nature des données en cause ». Le partenariat signé entre l’État et Doctolib n’a donc pas lieu d’être suspendu ou annulé.