Dans le cadre de la campagne de vaccination contre la Covid-19, le ministère de la Santé a confié la gestion des rendez-vous à la société Doctolib, malgré les contestations d’associations sur la conformité de ce partenariat avec le RGPD. Doctolib utilise AWS pour l’hébergement des données, garantissant que celles-ci restent en France et en Allemagne, sans transfert vers les États-Unis. Le Conseil d’État a évalué le niveau de protection des données, concluant que les mesures mises en place par Doctolib et AWS ne compromettent pas les droits des personnes concernées, validant ainsi la décision ministérielle.. Consulter la source documentaire.

Quel est le rôle de Doctolib dans la campagne de vaccination contre la Covid-19 ?

Doctolib a été désignée par le ministère de la Santé pour gérer les rendez-vous de vaccination contre la Covid-19. Cette décision a été prise dans le cadre d’une campagne visant à faciliter l’accès à la vaccination pour la population.

Le choix de Doctolib repose sur sa plateforme numérique qui permet aux utilisateurs de prendre des rendez-vous en ligne de manière simple et efficace.

Cependant, ce partenariat a suscité des controverses, notamment en raison de l’hébergement des données de santé auprès d’une société américaine, ce qui a été jugé incompatible avec le règlement général sur la protection des données (RGPD).

Quelles sont les préoccupations concernant l’hébergement des données par Doctolib ?

Les préoccupations principales concernent le fait que Doctolib utilise les services d’AWS Sarl, une filiale d’Amazon, pour héberger les données de santé. Bien que AWS soit certifiée comme hébergeur de données de santé, le fait qu’elle soit une filiale d’une société américaine soulève des inquiétudes quant à la possibilité d’accès aux données par les autorités américaines.

Ces inquiétudes sont renforcées par des programmes de surveillance tels que l’article 702 du FISA et l’EO 12333, qui permettent aux autorités américaines d’accéder à certaines données.

Malgré ces préoccupations, les juges n’ont pas été convaincus par cet argument lors des contestations juridiques.

Comment le Conseil d’État a-t-il évalué le niveau de protection des données ?

Le Conseil d’État a appliqué les critères établis par la Cour de justice de l’Union européenne (CJUE) pour évaluer le niveau de protection des données. Cela inclut l’examen des stipulations contractuelles entre Doctolib et AWS, ainsi que l’analyse du système juridique américain.

Il a été déterminé que les données traitées par AWS ne comprennent pas d’informations sensibles sur les motifs médicaux d’éligibilité à la vaccination.

De plus, les données sont supprimées dans un délai de trois mois après le rendez-vous, et les utilisateurs peuvent supprimer leur compte à tout moment, ce qui contribue à la protection des données personnelles.

Quelles sont les implications du transfert de données personnelles hors de l’UE ?

Le RGPD impose des conditions strictes pour le transfert de données personnelles vers des pays tiers. Selon l’article 44, un transfert ne peut avoir lieu que si le niveau de protection des données est garanti.

L’article 45 stipule que la Commission européenne peut reconnaître un pays tiers comme offrant un niveau de protection adéquat. En l’absence d’une telle décision, l’article 46 exige que des garanties appropriées soient mises en place.

Ces garanties peuvent inclure des clauses types de protection des données. En cas de demandes d’accès par des autorités d’un pays tiers, le RGPD impose également des conditions strictes pour protéger les droits des personnes concernées.

Quel est l’impact de la jurisprudence Schrems sur le transfert de données ?

La jurisprudence Schrems, issue de l’arrêt de la CJUE du 16 juillet 2020, a eu un impact significatif sur le transfert de données personnelles vers des pays tiers. Cet arrêt a établi que les garanties appropriées doivent assurer un niveau de protection équivalent à celui de l’UE.

La CJUE a également invalidé le bouclier de protection des données entre l’UE et les États-Unis, en raison des ingérences potentielles des autorités américaines dans les droits fondamentaux des personnes.

Cela signifie que les transferts de données vers les États-Unis doivent être soigneusement évalués pour garantir que les droits des personnes concernées sont protégés de manière adéquate, ce qui complique les relations commerciales entre l’UE et les entreprises américaines.