Dans le cadre de la campagne de vaccination contre le Covid-19, l’État a confié la gestion des prises de rendez-vous pour la vaccination à trois prestataires, dont la société Doctolib.

Pour l’hébergement de ses données, dont les données relatives à la prise de rendez-vous liés au Covid-19, Doctolib a recours à la société AWS Sarl, société de droit luxembourgeois. Cette dernière est certifiée « hébergeur de données de santé » et promet à cet égard des garanties supplémentaires. Ainsi, les données de santé sont hébergées dans des datacenters situés en Europe et sont ainsi soumises à la protection issue du RGPD.

Or, la société AWS Sarl est une filiale de la société américaine Amazon Web Services Inc.

C’est à ce titre que plusieurs associations ont demandé au juge des référés du Conseil d’État notamment, de suspendre le partenariat avec la société Doctolib, en ce qu’il reposerait sur un hébergement des données de santé auprès d’une société américaine, le rendant, selon les associations, incompatible avec le RGPD.

En effet, les associations en cause craignaient que, bien que les données de santé soient hébergées en Europe, en raison de la qualité de filiale d’une société de droit américain, la société AWS pourrait faire l’objet d’une demande d’accès à certaines données par les autorités américaines.

Les données de santé auraient ainsi été insuffisamment protégées.

Néanmoins, le Conseil d’État, par Ordonnance du 12 mars 2021, a fait valoir que la protection des données de santé dans le cadre de la prise de rendez-vous liés au Covid-19 était suffisante.

En effet, l’instruction du Conseil d’État démontre que :

• Les personnes intéressées ne complètent aucune donnée personnelle liée à leur état de santé, si ce n’est les informations liées au groupe de priorité de vaccination auquel les personnes prétendent appartenir ;
• Les données sont supprimées au plus tard dans un délai de 3 mois à compter de la date de rendez-vous ;
• Doctolib et AWS ont conclu un addendum complémentaire sur le traitement des données, instaurant une procédure précise en cas de demandes d’accès par une autorité publique aux données et prévoyant notamment la contestation de toute demande générale ou ne respectant pas la réglementation européenne ;
• Pour finir, Doctolib a mis en place une procédure de chiffrement reposant sur un tiers de confiance situé en France, prévenant ainsi toute lecture des données par un tiers.

Dès lors, le recours des associations est donc rejeté. En effet, face à l’ensemble des mesures prises par Doctolib et AWS, le Conseil d’État déclare que le niveau de protection des données ne peut pas être regardé comme insuffisant. Pas d’inquiétude, vos données semblent bien gardées !