Le constructeur de maison individuelle avec plan doit s’assurer de la nature et de l’importance des travaux de raccordement de la construction aux réseaux publics ; dans le cadre de son devoir de conseil, il doit vérifier sur place l’existence de canalisations sur le terrain ou, à tout le moins, à proximité.

La Cour de Cassation précise en effet l’étendue de l’obligation du constructeur concernant ces travaux de raccordement et, par ricochet, de son obligation de conseil à l’égard du maître de l’ouvrage. Le constructeur aurait dû anticiper, au regard de la configuration matérielle du terrain, la création de servitudes de canalisation, générant un surcoût.

À noter : Le CCMI avec fourniture de plan doit comporter les énonciations relatives à la consistance et les caractéristiques techniques du bâtiment à construire comportant les raccordements aux réseaux divers (CCH art. L 231-2, c°). Est annexée à ce contrat une notice descriptive qui mentionne les raccordements de l’immeuble à l’égout et aux distributions assurées par les services publics, notamment aux distributions d’eau, de gaz, d’électricité ou de chauffage, en distinguant ceux qui sont inclus dans le prix et s’il y a lieu, ceux dont le coût reste à la charge du maître de l’ouvrage (CCH art. R 231-4).

Cour de cassation, 3^ème chambre civile, 11 février 2021, pourvoi n° 19-22.943 FS-P

Un Tribunal administratif ne commet pas d’erreur de droit en faisant application, par un second jugement, de l’article L. 600-5 du Code de l’urbanisme après avoir fait application, par un premier jugement, de l’article L. 600-5-1, en laissant ainsi au pétitionnaire un délai après le second jugement pour demander la régularisation d’un vice affectant le permis de régularisation qu’il avait obtenu, dans le délai imparti par le premier jugement, pour régulariser un autre vice qui affectait le permis de construire initial. Cette mise en œuvre successive par le juge des articles L. 600-5-1 et L. 600-5 du Code de l’urbanisme ne méconnaît pas le droit à un recours effectif garanti par les articles 6 et 13 de la convention EDH.

Le Conseil d’État précise également qu’« un vice entachant le bien-fondé de l’autorisation d’urbanisme est susceptible d’être régularisée en vertu de l’article L. 600-5-1 du Code de l’urbanisme, même si cette régularisation implique de revoir l’économie générale du projet en cause, dès lors que les règles d’urbanisme en vigueur à la date de laquelle le juge statue permettent une mesure de régularisation qui n’implique pas d’apporter à ce projet un bouleversement tel qu’il en changerait la nature même. A compter de la décision par laquelle le juge recourt à l’article L. 600-5-1, seuls des moyens dirigés contre la mesure de régularisation notifiée, le cas échéant, au juge peuvent être invoqués devant ce dernier ».

En l’espèce, le permis de régularisation, délivré au pétitionnaire à la suite de l’intervention du premier jugement du Tribunal administratif, avait apporté au projet des modifications qui, sans changer la nature même de ce projet, ne se bornaient pas à remédier au vice à régulariser, en particulier, concernant l’emplacement et la forme de l’implantation d’une des maisons individuelles, et sans que ces modifications n’aient toutefois d’incidence sur la surface au sol de cette maison, demeurée inchangée.

Le juge relève que « Si Mme V. faisait valoir, en contestant devant le tribunal administratif le permis de régularisation, que le projet de construction ainsi modifié n’était plus conforme aux règles relatives à l’ampleur de l’emprise au sol des constructions en vigueur à al date de la mesure de régularisation, résultant du nouveau règlement du plan local d’urbanisme et de l’habitat de la métropole de Lyon entrée en vigueur entre le permis initial et la mesure de régularisation, un tel moyen était, eu égard aux droits que le pétitionnaire tenait du permis initial à compter du jugement ayant eu recours à l’article L. 600-5-1, inopérant, dès lors que la surface d’emprise au sol de la construction n’était pas accrue par rapport au permis initial. »

Conseil d’état, 17 mars 2021, n° 436073

Par un arrêt du 12 mars dernier, le Conseil d’État a rappelé que le référé « mesures utiles » prévu à l’article L. 521-3 du Code de justice administrative pouvait notamment trouver à s’appliquer dans le cadre de l’expulsion d’occupants sans titre du domaine public.

Il s’agissait en l’espèce d’un établissement de type hôtel-restaurant situé en Corse qui avait installé des chaises longues et parasols sur la plage à proximité immédiate de l’établissement ainsi qu’un ponton non démontable. Saisi du pourvoi formé par l’occupant à l’encontre de l’ordonnance du juge des référés, la juridiction suprême a rejeté la requête après avoir vérifié que les conditions d’urgence et d’utilité des mesures étaient bien réunies.

Conseil d’État, 12 mars 2021, n° 443392, Tables Lebon

Par une décision en date du 4 mars 2021, la Cour de cassation a apporté trois intéressantes précisions sur le régime applicable aux occupants d’un bien préempté sur lequel sont effectués des travaux nécessitant une évacuation définitive.

En premier lieu, elle juge qu’il appartient au bailleur initial, et non à l’autorité préemptrice, de restituer le dépôt de garantie. En deuxième lieu, l’existence d’une clause de nivellement, qui permet au bailleur d’exiger du locataire à l’expiration du bail qu’il démolisse les constructions qu’il a réalisées, ne fait pas obstacle au versement par l’autorité préemptrice d’une indemnité au titre des constructions régulièrement édifiées sur le terrain. En troisième lieu, l’autorité préemptrice doit reloger ou indemniser non seulement le locataire, mais également le sous-locataire autorisé par le bailleur.

Cour de cassation, 3^ème chambre civile, 4 mars 2021, pourvois n° 19-24.099 et 19-25.147

Le Décret n° 2021-286 du 16 mars 2021 désigne les pôles régionaux spécialisés en matière d’atteintes à l’environnement en application des articles 706-2-3 du Code de procédure pénale et L. 211-20 du Code de l’organisation judiciaire et portant adaptation du Code de procédure pénale à la création d’assistants spécialisés en matière environnementale.

Il détermine le siège et le ressort des Tribunaux judiciaires, prévus par les articles 706-2-3 du Code de procédure pénale et L. 211-20 du Code de l’organisation judiciaire créant des pôles régionaux spécialisés en matière d’atteintes à l’environnement, tribunaux qui seront compétents pour connaître des infractions les plus complexes en matière environnementale, ainsi que des actions relatives au préjudice écologique (art. 1246 à 1252 du Code civil), des actions en responsabilité civile prévues par le Code de l’environnement et des actions en responsabilité civile fondées sur les régimes spéciaux de responsabilité applicables en matière environnementale résultant de règlements européens, de conventions internationales et des lois prises pour l’application de ces conventions.

Cour de cassation – Chambre sociale – 31 mars 2021 (19-12.289)

Faits et procédure

1. Selon l’arrêt attaqué (Toulouse, 14 décembre 2018), M. C… a été engagé le 14 juin 1999 en qualité de directeur de développement des affaires pharmaceutiques par la société Ioltech. En 2005, cette société a été rachetée par la société Carl Zeiss Meditec. Le 4 février 2010, M. C… a été convoqué à un entretien préalable à un éventuel licenciement et a été licencié pour faute lourde le 18 février 2010.

2. Le 9 février 2010, il a saisi la juridiction prud’homale d’une demande de résiliation de son contrat de travail puis, à titre subsidiaire, a contesté la régularité et le bien-fondé de son licenciement.

Examen des moyens

[…]

Mais sur le premier moyen, pris en sa deuxième branche

Énoncé du moyen

4. L’employeur fait grief à l’arrêt de déclarer le licenciement sans cause réelle et sérieuse et de le condamner à payer au salarié diverses sommes à titre de rappel de salaire fixe de février 2010, de dommages-intérêts pour licenciement sans cause réelle et sérieuse, d’indemnité de préavis et congés payés afférents, d’indemnité conventionnelle de licenciement, et d’indemnité de congés payés, alors « que le règlement intérieur applicable aux salariés avant le transfert de leurs contrats de travail en application de l’article L. 1224-1 du code du travail n’est pas transféré avec ces contrats de travail et n’est donc pas opposable au nouvel employeur ; qu’en l’espèce, la cour d’appel a constaté que le salarié avait été initialement engagé par la société Ioltech qui avait été rachetée par la société Carl Zeiss Meditec en 2005 ; qu’en considérant néanmoins que le règlement intérieur de la société Ioltech était opposable à la société Carl Zeiss Meditec qui aurait dû respecter la procédure disciplinaire prévue par ce règlement et en en déduisant que le licenciement du salarié prononcé en violation des dispositions de ce règlement était privé de cause réelle et sérieuse, la cour d’appel a violé les dispositions des articles L. 1224-1 et L. 1321-1 du code du travail. »

Réponse de la Cour

Vu l’article L. 1224-1 du code du travail :

5. Dès lors que le règlement intérieur constitue un acte réglementaire de droit privé, dont les conditions d’élaboration sont encadrées par la loi, le règlement intérieur s’imposant à l’employeur et aux salariés avant le transfert de plein droit des contrats de travail de ces derniers en application de l’article L. 1224-1 du code du travail n’est pas transféré avec ces contrats de travail.

6. Pour juger le licenciement dépourvu de cause réelle et sérieuse, l’arrêt retient que la société Carl Zeiss Meditec n’a pas respecté les dispositions du règlement intérieur de la société Ioltech, qu’elle avait rachetée en 2005, prévoyant que tout salarié à l’égard duquel est envisagée une sanction disciplinaire est convoqué au moyen d’une lettre l’informant des griefs retenus contre lui.

7. En statuant ainsi, alors que la société Carl Zeiss Meditec n’était pas tenue d’appliquer le règlement intérieur de la société Ioltech qui ne lui avait pas été transmis en application de l’article L. 1224-1 du code du travail, la cour d’appel a violé le texte susvisé.

Portée et conséquences de la cassation

8. Il résulte de l’article L. 3141-26 du code du travail, dans sa rédaction résultant de la décision n° 2015-523 QPC du 2 mars 2016 du Conseil constitutionnel, que, lorsque le contrat de travail est rompu avant que le salarié ait pu bénéficier de la totalité du congé auquel il avait droit, il reçoit, pour la fraction de congé dont il n’a pas bénéficié, une indemnité compensatrice de congé déterminée d’après les dispositions des articles L. 3141-22 à L. 3141-25 du même code. Cette indemnité est due, que cette rupture résulte du fait du salarié ou du fait de l’employeur.

9. Il s’ensuit que la cassation à intervenir sur le premier moyen n’entraîne pas la cassation du chef de l’arrêt ayant condamné l’employeur à payer au salarié la somme de 14 827, 09 euros à titre d’indemnité de congés payés.

10. Par ailleurs, elle n’emporte pas cassation des chefs de dispositif de l’arrêt relatifs aux dépens et aux demandes formées sur le fondement de l’article 700 du code de procédure civile.

PAR CES MOTIFS, et sans qu’il y ait lieu de statuer sur les autres griefs du premier moyen, la Cour :

CASSE ET ANNULE, mais seulement en ce qu’il déclare le licenciement sans cause réelle et sérieuse et condamne la société Carl Zeiss Meditec à verser à M. C… 5 620,40 euros à titre de rappel de salaire fixe de février 2010, 85 000 euros à titre de dommages-intérêts pour licenciement sans cause réelle et sérieuse, 33 697,95 euros d’indemnité de préavis et 3 369,79 euros de congés payés afférents et 39 875,90 euros à titre d’indemnité conventionnelle de licenciement, l’arrêt rendu le 14 décembre 2018, entre les parties, par la cour d’appel de Toulouse ;

Le Tribunal de commerce de Vienne, par jugement du 21 janvier 2021, a rappelé la nécessité de la démonstration de la gravité des manquements pour justifier la résolution d’un contrat.

En l’espèce, la société PREP’SERVICES exerce une activité de gestion et de préparation de parc de véhicules automobiles pour des sociétés spécialisées dans la location de véhicules légers. De son côté, la société DESIRADE est une SSI spécialisée dans la conception et le développement de logiciels informatiques spécifiques pour des applications de proximité.

La société PREP’SERVICES souhaitant dématérialiser son activité, elle s’est rapprochée de la société DESIRADE et lui a communiqué un cahier des charges. Par contrat, la société DESIRADE s’est engagée à livrer le logiciel le 15 septembre 2016 ; la recette de l’application était, quant à elle, prévue le 25 septembre 2016.

Selon la société PREP’SERVICES la version effectivement livrée en septembre 2016 comportait des dysfonctionnements et des incohérences de fonctionnement. Dès lors, la société PREP’SERVICES a commandé des développements de fonctionnalités complémentaires pour la somme forfaitaire de 6.300 euros HT. Selon le nouveau planning, le projet devait être finalisé pour la fin du mois de mars 2017.

Le calendrier n’a pas été respecté du fait de dysfonctionnements ainsi que de nouvelles réclamations et les relations entre les parties se sont dégradées. La société DESIRADE, constatant sa difficulté à satisfaire son client et après avoir corrigé l’essentiel des erreurs, lui a recommandé de s’adresser à un nouveau prestataire plus adapté. La société a ainsi exigé le paiement du forfait de 6.300 euros HT avant de transmettre les codes sources nécessaires.

La société PREP’SERVICES s’est exécutée et a réglé la somme due afin de s’adresser à un nouveau prestataire. Le logiciel et l’application mobile livrés par le nouveau prestataire lui donnèrent entière satisfaction.

La société PREP’SERVICE a alors assigné la société DESIRADE afin de voir prononcer la résolution judiciaire des contrats avec la société DESIRADE, de la voir condamner à des dommages et intérêt.

Le Tribunal de commerce a commencé par reconnaître que la société DESIRADE avait manqué à son obligation de délivrance d’un produit conforme et que la recette n’avait pas été acquise par le paiement des factures, la recette devant être non équivoque et prononcée contradictoirement.

Toutefois, le Tribunal rappelle que la résolution d’un contrat ne peut être prononcée que si la preuve est rapportée de l’existence de manquements suffisamment graves pour justifier ladite résolution.

Or, le Tribunal constate que la société DESIRADE n’a pas ménagé ses efforts pour corriger les anomalies signalées et qu’une partie des difficultés résultait d’une coopération insuffisante des parties, ainsi que de l’évolution des demandes et atermoiements de la société PREP’SERVICES.

Ainsi, le Tribunal conclut dans son jugement que si les manquements dénoncés ont porté préjudice à la société PREP’SERVICES, ces manquements ne sont pas suffisamment graves pour justifier une résolution des contrats liant les parties. Dès lors, la restitution des factures payées n’est pas prononcée.

Le Tribunal a donc accordé alors à la société PREP’SERVICE uniquement la somme de 8000 euros au titre du préjudice causé par les manquements de la société DESIRADE et de non-respect de son obligation de résultat.

Ce jugement rappelle que si des manquements du prestataire peuvent être démontrés et des préjudices octroyés, le prononcé d’une résolution judiciaire nécessite des manquements d’une gravité suffisante pour pouvoir être prononcée. Une hiérarchie des manquements et des sanctions est toujours à prendre en compte avant toute décision.

Le délai pour mettre en conformité les sites et applications mobiles aux règles en matière de cookies a pris fin le 31 mars 2021.

C’est l’occasion de revenir sur quelques règles que l’éditeur d’un site ou d’une application doit respecter :

• Les internautes doivent être clairement informés des finalités des cookies ; l’ensemble des usages liés aux cookies doit être présenté à l’utilisateur au moment où celui-ci doit faire son choix ; pour des raisons de clarté et de concision, une première description peut être limitée à une brève présentation des objectifs poursuivis par les cookies suivis par une description plus détaillée ;
• Refuser les cookies doit être aussi simple que les accepter : le consentement doit être donné par un acte positif clair ; comme le fait de cliquer sur « j’accepte » dans une bannière cookie ; le silence de l’utilisateur, qui peut passer par la simple poursuite de la navigation, doit dorénavant s’interpréter comme un refus ; la CNIL a également estimé que l’intégration d’un bouton « Tout refuser » sur le même niveau et sur le même format que le bouton « Tout accepter » permet d’offrir un choix clair et simple pour l’internaute ;
• La pratique des cookies walls n’est pas interdite, mais la Cnil sera très attentive à l’existence d’alternatives réelles et satisfaisantes, notamment fournies par le même éditeur, lorsque le refus des traceurs non nécessaires bloque l’accès au service proposé.

Ces règles sont contraignantes lorsque l’on souhaite générer des revenus avec son site internet ou son application mobile puisque l’utilisateur peut naviguer sur le site, sans que des cookies tiers ne soient déposés (Les cookies tiers sont ceux qui permettent à des tiers d’afficher dans les pages internet leur service : exemple YouTube, Facebook, Amazon, Fnac ou toutes autre marque qui présenterait dans une bannière directement une publicité de son produit, ou indirectement par le biais d’un mandataire qui dispose de l’espace publicitaire du site) ; rendant ainsi impossible à un éditeur tiers de proposer des publicités adaptées, et à l’éditeur du site sur lequel l’utilisateur navigue de générer un revenu lié à cette navigation.

C’est pourquoi certains grands groupes essaient de développer de nouvelles technologies pour une alternative aux cookies tiers. Google a développé une API dénommée « Federated Learning of Cohorts » ou “FLoC” dans ce but.

Google qualifie cette API comme un mécanisme permettant de préserver la vie privée et de permettre d’activer la publicité basée sur les centres d’intérêt. Cette API se fonde sur la notion de cohorts qui est un groupe d’utilisateur avec des intérêts similaires (Le livre blanc de Google est disponible sur internet à l’adresse suivante : https://github.com/google/ads-privacy/blob/master/proposals/FLoC/FLOC-Whitepaper-Google.pdf) Plusieurs méthodes sont mises en œuvre dont celles de tenir compte de l’historique des navigateurs pour créer des profils.

Or, l’historiques des navigateurs, s’ils sont anonymisés, ne sont pas des données à caractère personnel, en revanche, l’anonymisation sur la base d’un élément permettant d’identifier le navigateur d’un utilisateur pourrait être considéré comme des données à caractère personnel.

C’est pourquoi une analyse de conformité aux réglementations RGPD très précise de cette alternative devra être effectuée avant de l’utiliser afin d’éviter tout risque de sanction et avant de définitivement abandonner les cookies tiers dont le cadre juridique est aujourd’hui clair et dont les risques d’utilisation sont identifiés.

Lorsque deux personnes décident par contrat de prévoir des conditions d’exécution et de prévoir ce qu’il se passerait en cas d’inexécution de leurs prévisions, alors il convient de juger les manquements à ces prévisions en tenant compte du cadre contractuel ainsi défini. Dans le cas contraire, autoriser deux personnes à former un contrat aurait peu d’utilité.

Ce principe fondamental, qui permet de respecter la volonté des parties, est protégé en droit français par le principe dit de « non-option » qui interdit au créancier contractuel de se prévaloir des règles de la responsabilité délictuelle en cas de manquement du débiteur à ses obligations contractuelles.

Or, ce principe de non-cumul paraît parfois difficile à mettre en œuvre en pratique, notamment :

• Parce qu’il arrive fréquemment que le dommage dont est victime le cocontractant ne se rattache pas clairement au contrat ; les juges sont donc amenés à étendre le périmètre de prévisibilité des parties en y insérant notamment des obligations qualifiées d’accessoires : obligation de sécurité, d’information, de conseil ;
• Ou encore parce qu’il serait parfois « injuste » pour la victime d’un dommage d’appliquer le contrat, moins favorable à celle-ci.

En matière de contrat de licence de logiciel, depuis plusieurs années, ce thème pose des difficultés. En effet, la Cour de justice de l’Union européenne avait déjà estimé que la violation d’une clause d’un contrat de licence d’un logiciel, portant sur des droits de propriété intellectuelle du titulaire du droit d’auteur, relève de la notion d’atteinte aux droits de la propriété intellectuelle et constitue donc une contrefaçon indépendamment du régime de responsabilité applicable selon le droit national (CJUE, 3^ème ch., 18 déc. 2019, IT Development c/ Free Mobile, aff. C-666/18).

La Cour d’appel de Paris du 19 mars 2021 rappelle ce qu’il convient de comprendre de l’analyse de l’arrêt de la CJUE précité, en revenant sur cette question de la plus haute importance ; elle applique la règle de non-option dans le cadre d’une affaire au sujet d’une utilisation de licence de logiciel libre non autorisée.

Dans cette affaire, la société Entr’ouvert est propriétaire d’un logiciel dénommé Lasso, qu’elle met à disposition sous licence libre GNU GPL V.2.

La société Orange Business Services a mis à disposition d’un de ses clients un logiciel comprenant l’interfaçage d’une plateforme avec la bibliothèque logicielle Lasso de la société Entr’ouvert.

Entr’ouvert a estimé que la mise à disposition de la bibliothèque libre Lasso au client de Orange Business Services n’était pas conforme aux conditions des articles 1 et 2 de la licence GNU GPL V.2.

En première instance, la société Entr’ouvert a été déboutée de ses demandes, le Tribunal de Grande instance de Paris, le 21 juin 2019, ayant considéré qu’elle n’était pas légitime à réclamer une indemnisation pour atteinte à ses droits sur la base d’une contrefaçon. Entr’ouvert poursuivant en réalité la réparation d’un dommage généré par l’inexécution des obligations contractuelles résultant de la licence, qu’ainsi en application du principe de non-cumul de responsabilités, seul le fondement de la responsabilité contractuelle était susceptible d’être invoqué.

La Cour d’appel confirme ce jugement en confirmant les clés d’interprétation de l’arrêt de la CJUE cité ci-dessus. Pour la Cour d’appel, la CJUE n’autorise pas les parties à choisir entre la responsabilité contractuelle et la responsabilité délictuelle ; la CJUE souhaite protéger la possibilité dont dispose tout éditeur d’agir en contrefaçon et de protéger ses droits, tout en admettant qu’il soit possible en fonction du droit des États membres, dès lors qu’un contrat est conclu entre le licencié et l’éditeur, d’obliger l’éditeur à se fonder sur la responsabilité contractuelle du licencié en cas de mauvaise exécution du contrat.

Selon la Cour d’appel, le choix dépend du fait générateur de l’atteinte aux droits de propriété intellectuelle, si celui-ci résulte :

• D’un acte de contrefaçon, l’action doit être engagée sur le fondement de la responsabilité prévue à l’article L. 335-3 du Code de la propriété intellectuelle ;
• D’un manquement contractuel, le titulaire du droit ayant consenti par contrat à son utilisation sous certaines réserves, alors seule la responsabilité contractuelle est recevable par application du principe de non-cumul.

Entr’ouvert est donc irrecevable à agir sur le fondement délictuel de la contrefaçon (ce qui ne l’empêchera pas d’obtenir un droit à être indemnisée de 150 000 euros par Orange, la Cour d’appel de Paris ayant accédé à sa demande en responsabilité délictuelle pour parasitisme).

En somme, cet arrêt confirme l’application en matière de licence de logiciel du principe de non-option. Nonobstant l’existence d’un contrat et donc d’un cadre de prévisibilité, cette décision pourrait être jugée défavorable aux éditeurs.

Afin de rééquilibrer la situation, il peut être précisé dans les contrats que :

• Le calcul des dommages causés par un manquement contractuel du licencié sera calculé en tenant compte des règles de calcul applicables en matière de contrefaçon ;
• La limite de responsabilité du licencié en cas d’inexécution contractuelle qui causerait un dommage à l’éditeur est élevée au montant d’un cas de contrefaçon ;
• Ou encore, que toute atteinte à un droit de propriété intellectuelle de l’éditeur par le licencié est constitutive d’une faute lourde donnant droit à réparation au-delà de la limite de responsabilité du licencié.

Il apparaît aujourd’hui important pour les éditeurs de revoir leurs politiques contractuelles et tenir compte du principe de non-option pour éviter les atteintes portées à leurs droits par leurs propres clients.

Dans le cadre de la campagne de vaccination contre le Covid-19, l’État a confié la gestion des prises de rendez-vous pour la vaccination à trois prestataires, dont la société Doctolib.

Pour l’hébergement de ses données, dont les données relatives à la prise de rendez-vous liés au Covid-19, Doctolib a recours à la société AWS Sarl, société de droit luxembourgeois. Cette dernière est certifiée « hébergeur de données de santé » et promet à cet égard des garanties supplémentaires. Ainsi, les données de santé sont hébergées dans des datacenters situés en Europe et sont ainsi soumises à la protection issue du RGPD.

Or, la société AWS Sarl est une filiale de la société américaine Amazon Web Services Inc.

C’est à ce titre que plusieurs associations ont demandé au juge des référés du Conseil d’État notamment, de suspendre le partenariat avec la société Doctolib, en ce qu’il reposerait sur un hébergement des données de santé auprès d’une société américaine, le rendant, selon les associations, incompatible avec le RGPD.

En effet, les associations en cause craignaient que, bien que les données de santé soient hébergées en Europe, en raison de la qualité de filiale d’une société de droit américain, la société AWS pourrait faire l’objet d’une demande d’accès à certaines données par les autorités américaines.

Les données de santé auraient ainsi été insuffisamment protégées.

Néanmoins, le Conseil d’État, par Ordonnance du 12 mars 2021, a fait valoir que la protection des données de santé dans le cadre de la prise de rendez-vous liés au Covid-19 était suffisante.

En effet, l’instruction du Conseil d’État démontre que :

• Les personnes intéressées ne complètent aucune donnée personnelle liée à leur état de santé, si ce n’est les informations liées au groupe de priorité de vaccination auquel les personnes prétendent appartenir ;
• Les données sont supprimées au plus tard dans un délai de 3 mois à compter de la date de rendez-vous ;
• Doctolib et AWS ont conclu un addendum complémentaire sur le traitement des données, instaurant une procédure précise en cas de demandes d’accès par une autorité publique aux données et prévoyant notamment la contestation de toute demande générale ou ne respectant pas la réglementation européenne ;
• Pour finir, Doctolib a mis en place une procédure de chiffrement reposant sur un tiers de confiance situé en France, prévenant ainsi toute lecture des données par un tiers.

Dès lors, le recours des associations est donc rejeté. En effet, face à l’ensemble des mesures prises par Doctolib et AWS, le Conseil d’État déclare que le niveau de protection des données ne peut pas être regardé comme insuffisant. Pas d’inquiétude, vos données semblent bien gardées !