Partenariat-Doctolib

Partenariat Doctolib : les arguments contestables du Conseil d’État

 

Article rédigé le 22 mars 2021 par Me Laurence Huin

 

Bien que la décision lapidaire du Conseil d’État, en date du 12 mars, a rejeté la demande formulée par différentes associations et syndicats professionnels de suspendre en référé le partenariat conclu entre le Ministère de la santé et Doctolib, il est tentant de considérer cette décision comme un nouveau jalon vers une interdiction de recourir, en matière de données de santé, à des sous-traitants ne relevant pas des juridictions de l’Union européenne.

 

 

Dans cette affaire, les requérants reprochaient à Doctolib le choix d’héberger les données collectées pour la gestion de prise de rendez-vous de vaccination contre la Covid-19 auprès de la filiale luxembourgeoise de la société américaine Amazon Web Services.

Après une audience de plus de 2 heures et une instruction de 5 jours, le juge des référés a débouté les requérants estimant, dans un arrêt plus que succinct, d’une part, que des garanties avaient été mises en place pour faire face à une éventuelle demande d’accès par les autorités américaines et que d’autre part, les données collectées dans le cadre de la gestion des rendez-vous de vaccination sur internet ne concernaient pas des données de santé.

C’est ce dernier argument qui démontre a contrario l’absolue nécessité, en matière de données de santé, de recourir à des sous-traitants relevant des juridictions de l’Union européenne.

 

Des requérants s’inscrivant dans un courant jurisprudentiel de méfiance vis-à-vis des acteurs soumis au droit états-unien

 

À l’appui de leur demande, les requérants se plaçaient dans le sillage de deux décisions majeures rendues en matière de flux transfrontières de données à caractère personnel.

    • D’une part, l’arrêt Schrems II rendu par la Cour de Justice de l’Union européenne en juillet 2020 et qui avait estimé, au regard de deux réglementations américaines relatives à la sécurité nationale (la section 702 du FISA et l’Executive Order 12333) que le droit états-unien n’assure pas un niveau de protection essentiellement équivalent au droit européen relatif à la protection des données.

 

Cet arrêt, du nom de l’activiste autrichien militant pour la protection des données, à l’origine déjà de l’invalidation du Safe Harbor, a radicalement changé la situation du recours à des solutions d’hébergement fournies par des acteurs états-uniens en invalidant tout d’abord la décision d’adéquation 2016/1250 du Privacy Shield et en imposant également des mesures additionnelles au responsable de traitement recourant aux clauses contractuelles types pour assurer la légalité d’un transfert de données vers les États-Unis.

 

    • D’autre part, l’ordonnance de référé du Conseil d’État du 13 octobre 2020 relative au Health Data Hub qui a reconnu qu’il existait un risque que les services de renseignement américains demandent l’accès à des données hébergées sur des serveurs aux Pays Bas auprès d’acteurs soumis au droit américain, en l’espèce Microsoft, et ce, en contradiction avec les dispositions du RGPD (articles 28 et 48 notamment).

 

Le risque d’accès aux données par les autorités américaines écarté par le Conseil d’Etat

 

Rompant avec la dynamique instaurée par ces deux précédentes décisions, le Conseil d’État, saisi en référé, confirme le partenariat conclu par le Ministère de la santé avec Doctolib. Pour rejeter la demande des requérants, le Conseil d’État a justifié, dans un premier temps, qu’aucun transfert de données personnelles vers les États-Unis n’était prévu contractuellement.

En effet, les données traitées n’étaient ni hébergées sur des serveurs aux États-Unis, mais au contraire sur des serveurs en France et en Allemagne, et ni soumises à des opérations techniques aux États-Unis, contrairement à ce qui était prévu dans la version initiale du contrat conclu entre le Health Data Hub et Microsoft (Voir notre article sur le sujet). Si aucun flux transfrontalier de données personnelles n’était prévu contractuellement, le niveau de protection d’un traitement de données personnelles doit être vérifié non seulement au regard des stipulations contractuelles convenues entre le responsable de traitement et le sous-traitant mais aussi au regard des éléments pertinents du système juridique auquel est soumis le sous-traitant, en l’espèce ici le droit des États-Unis.

Afin d’écarter le risque d’accès aux données par les autorités américaines, l’ordonnance du Conseil d’État retient deux arguments qui nous laissent assurément pantois. D’une part, Doctolib et Amazon ont conclu un addendum complémentaire sur le traitement des données instaurant une procédure précise en cas de demande d’accès par une autorité publique aux données traitées « prévoyant notamment la contestation de toute demande générale ou ne respectant pas la réglementation européenne ». Là où dans la décision concernant le Health Data Hub un risque d’accès aux données était identifié, ici on reconnait à un simple document contractuel le pouvoir d’arrêter les autorités de renseignement américaines !

D’autre part, le Conseil d’État retient comme argument le chiffrement des données mis en œuvre.

D’après l’ordonnance, les données hébergées auprès d’Amazon sont chiffrées et la clé de chiffrement est générée et processée par un tiers de confiance, la société Atos. Or, d’après une enquête France Inter du 8 mars dernier, il a été constaté à la suite de tests que lors de la connexion par l’utilisateur à son compte Doctolib « les données étaient déjà en clair à ce niveau, donc qu’elles n’étaient plus chiffrées. Doctolib comme AWS semblent avoir accès à ces informations ».

Contacté par les journalistes, le PDG de Doctolib, Stanislas Niox-Château, réfute avoir jamais communiqué sur un chiffrement des données de bout en bout, indiquant « Le chiffrement de bout en bout ne peut pas se fabriquer sur l’ensemble des cas d’usage et la sécurité à 100% n’existe jamais, sur aucun système au monde ». Nous voilà, là encore, assurément convaincus par l’argument technique retenu par le Conseil d’État et développé sur 3 lignes dans son ordonnance.

 

Une définition litigieuse des données de santé

 

Mais l’argument majeur avancé par le Conseil d’État et qui achèvera de nous convaincre (ou pas) consiste dans la nature des données collectées pour la gestion de prise de rendez-vous dans le cadre de la campagne de vaccination contre la Covid-19.

Le juge des référés du Conseil d’État relève que les données litigieuses comprennent :

« les données d’identification des personnes et les données relatives aux rendez-vous mais pas de données de santé sur les éventuels motifs médicaux d’éligibilité à la vaccination, les personnes intéressées se bornant, au moment de la prise de rendez-vous, à certifier sur l’honneur qu’elles entrent dans la priorité vaccinale, qui est susceptible de concerner des adultes de tous âges sans motif médical particulier ».

Or, la définition donnée par le RGPD des données concernant la santé intègre la notion de prestation de services de soin :

« les données à caractère personnel relatives à la santé physique ou mentale d’une personne physique, y compris la prestation de services de soins de santé, qui révèlent des informations sur l’état de santé de cette personne ».

 

Par ailleurs, la CNIL adopte une définition large de la donnée de santé et distingue 3 catégories de données de santé :

    • celles qui sont des données de santé par nature : antécédents médicaux, maladies, prestations de soins réalisés, résultats d’examens, traitements, handicap, etc.
    • celles, qui du fait de leur croisement avec d’autres données, deviennent des données de santé en ce qu’elles permettent de tirer une conclusion sur l’état de santé ou le risque pour la santé d’une personne : croisement d’une mesure de poids avec d’autres données (nombre de pas, mesure des apports caloriques…), croisement de la tension avec la mesure de l’effort, etc.
    • celles qui deviennent des données de santé en raison de leur destination, c’est-à-dire de l’utilisation qui en est faite au plan médical.

 

Or, actuellement et d’après la stratégie vaccinale adoptée selon les recommandations de la HAS, les personnes concernées par la vaccination sont les personnes de 75 ans et plus ainsi que :

    • les personnes en situation de handicap, quel que soit leur âge, hébergées en maisons d’accueil spécialisées (MAS) et foyers d’accueil médicalisés (FAM) ;
    • Les personnes de 50 à 74 ans inclus souffrant d’une ou plusieurs des comorbidités dont une liste est établie incluant les pathologies cardio-vasculaires, cancer ou hémopathie maligne…

 

Bien qu’à terme le traitement pourra concerner des « adultes de tous âges sans motif médical particulier », nous sommes forcés de constater que cette ouverture à tous les publics n’est pas applicable à l’heure actuelle.

Dès lors, en croisant les données d’identification collectées (dont la date de naissance) et la certification sur l’honneur de rentrer dans les priorités vaccinales actuelles, il est tout à fait possible de tirer une conclusion sur l’état de santé ou le risque pour la santé de la personne prenant rendez-vous pour la vaccination et ainsi estimer que des données de santé sont traitées par Doctolib dans le cadre de la prise de rendez-vous de vaccination.

Une fois encore, la démonstration du Conseil d’État échoue à nous convaincre sur l’absence de risque de violation du RGPD concernant le partenariat entre le Ministère de la santé et Doctolib.

 

Toutefois, si nous ne retiendrons pas cette ordonnance pour sa rigueur juridique, nous conserverons sa conclusion, dans une interprétation a contrario, qui confirme ainsi l’obligation, en matière de données de santé, de recourir à des sous-traitants qui relèvent exclusivement des juridictions de l’Union européenne.