Vaccination Covid : le partenariat avec Doctolib validé

Dans le cadre de la campagne de vaccination contre la covid-19, le ministère de la Santé a confié la gestion des rendez-vous de vaccination sur internet à différents prestataires dont la société Doctolib. Plusieurs associations ont contesté sans succès cette décision aux motifs que ce partenariat avec la société Doctolib en ce qu’il repose sur un hébergement des données de santé auprès d’une société américaine le rendant incompatible avec le règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 (RGDP). 

Hébergement des données de Doctolib par AWS

Pour les besoins de l’hébergement de ses données, la société Doctolib a recours aux prestations de la société de droit luxembourgeois AWS Sarl, filiale de la société américaine Amazon Web Services Inc. La société AWS est certifiée  » hébergeur de données de santé  » en application de l’article L. 1111-8 du code de la santé publique ; les données traitées par la société AWS sont hébergées dans des centres de données situés en France et en Allemagne. Le contrat conclu entre la société Doctolib et AWS ne prévoit pas le transfert de données pour des raisons techniques aux Etats-Unis.

En sa qualité de filiale d’une société de droit américain, la société AWS peut, en théorie, faire l’objet de demandes d’accès à certaines données de santé par les autorités américaines, dans le cadre de programmes de surveillance fondés sur l’article 702 du FISA ou sur l’EO 12333. Cet argument n’a toutefois pas emporté la conviction des juges. 

Appréciation du niveau de protection assuré

En faisant application aux relations entre responsable du traitement et sous-traitant des critères appliqués par la CJUE dans son arrêt du 16 juillet 2020, le Conseil d’Etat a vérifié  le niveau de protection assuré lors du traitement des données en prenant en considération non seulement les stipulations contractuelles convenues entre le responsable du traitement et son sous-traitant, mais aussi, en cas de soumission de ce sous-traitant au droit d’un Etat tiers, les éléments pertinents du système juridique de celui-ci.

Pour accélérer la campagne de vaccination contre la Covid-19, la gestion de prise de rendez-vous de vaccination est assurée par trois sociétés différentes, dont la société Doctolib. Les données litigieuses comprennent les données d’identification des personnes et les données relatives aux rendez-vous mais pas de données de santé sur les éventuels motifs médicaux d’éligibilité à la vaccination, les personnes intéressées se bornant, au moment de la prise de rendez-vous, à certifier sur l’honneur qu’elles entrent dans la priorité vaccinale, qui est susceptible de concerner des adultes de tous âges sans motif médical particulier. Ces données sont supprimées au plus tard à l’issue d’un délai de trois mois à compter de la date de rendez-vous, chaque personne concernée ayant créé un compte sur la plateforme pour les besoins de la vaccination pouvant le supprimer directement en ligne.

La société Doctolib et la société AWS ont conclu un addendum complémentaire sur le traitement des données instaurant une procédure précise en cas de demandes d’accès par une autorité publique aux données traitées pour le compte de Doctolib prévoyant notamment la contestation de toute demande générale ou ne respectant pas la règlementation européenne.

La société Doctolib a également mis en place un dispositif de sécurisation des données hébergées par la société AWS par le biais d’une procédure de chiffrement reposant sur un tiers de confiance situé en France afin d’empêcher la lecture des données par des tiers. Eu égard à ces garanties et aux données concernées, le niveau de protection des données de prise de rendez-vous dans le cadre de la campagne de vaccination contre la Covid-19 ne peut être regardé comme manifestement insuffisant au regard du risque de violation du règlement général de protection des données invoqué par les requérants.

Il n’apparaît donc pas, en l’état de l’instruction, que la décision du ministre de la santé de confier à la société Doctolib, parmi d’autres voies possibles de réservation de rendez-vous, la gestion de rendez-vous de vaccination contre la Covid-19 porte une atteinte grave et manifestement illégale au droit au respect de la vie privée et au droit à la protection des données personnelles.

Point sur le transfert de données personnelles hors UE

Aux termes de l’article 44 du RGDP :  » Un transfert, vers un pays tiers (…), de données à caractère personnel qui font ou sont destinées à faire l’objet d’un traitement après ce transfert ne peut avoir lieu que si, sous réserve des autres dispositions du présent règlement, les conditions définies dans le présent chapitre sont respectées par le responsable du traitement et le sous-traitant (…). Toutes les dispositions du présent chapitre sont appliquées de manière à ce que le niveau de protection des personnes physiques garanti par le présent règlement ne soit pas compromis « .

L’article 45 du règlement prévoit également que :  » 1. Un transfert de données à caractère personnel vers un pays tiers (…) peut avoir lieu lorsque la Commission a constaté par voie de décision que le pays tiers, un territoire ou un ou plusieurs secteurs déterminés dans ce pays tiers (…) assure un niveau de protection adéquat. Un tel transfert ne nécessite pas d’autorisation spécifique. 2. Lorsqu’elle évalue le caractère adéquat du niveau de protection, la Commission tient compte, en particulier, des éléments suivants : a) l’état de droit, le respect des droits de l’homme et des libertés fondamentales, (…) l’accès des autorités publiques aux données à caractère personnel, de même que la mise en oeuvre de ladite législation, les règles en matière de protection des données, (…) ainsi que les droits effectifs et opposables dont bénéficient les personnes concernées et les recours administratifs et judiciaires que peuvent effectivement introduire les personnes concernées dont les données à caractère personnel sont transférées; (…) 3. La Commission, après avoir évalué le caractère adéquat du niveau de protection, peut décider, par voie d’actes d’exécution, qu’un pays tiers, un territoire ou un ou plusieurs secteurs déterminés dans un pays tiers (…), assure un niveau de protection adéquat (…) « .

Aux termes de l’article 46  » 1. En l’absence de décision en vertu de l’article 45, paragraphe 3, le responsable du traitement ou le sous-traitant ne peut transférer des données à caractère personnel vers un pays tiers ou à une organisation internationale que s’il a prévu des garanties appropriées et à la condition que les personnes concernées disposent de droits opposables et de voies de droit effectives. 2. Les garanties appropriées visées au paragraphe 1 peuvent être fournies, sans que cela ne nécessite une autorisation particulière d’une autorité de contrôle, par : (…) c) des clauses types de protection des données adoptées par la Commission en conformité avec la procédure d’examen visée à l’article 93, paragraphe 2 (…) ».

En application de l’article 48 du RGDP  » Toute décision d’une juridiction ou d’une autorité administrative d’un pays tiers exigeant d’un responsable du traitement ou d’un sous-traitant qu’il transfère ou divulgue des données à caractère personnel ne peut être reconnue ou rendue exécutoire de quelque manière que ce soit qu’à la condition qu’elle soit fondée sur un accord international, tel qu’un traité d’entraide judiciaire, en vigueur entre le pays tiers demandeur et l’Union ou un État membre, sans préjudice d’autres motifs de transfert en vertu du présent chapitre « .

L’article 28 du RGDP pose le principe que  » 1. Lorsqu’un traitement doit être effectué pour le compte d’un responsable du traitement, celui-ci fait uniquement appel à des sous-traitants qui présentent des garanties suffisantes quant à la mise en oeuvre de mesures techniques et organisationnelles appropriées de manière à ce que le traitement réponde aux exigences du présent règlement et garantisse la protection des droits de la personne concernée. (…) 3. Le traitement par un sous-traitant est régi par un contrat ou un autre acte juridique au titre du droit de l’Union ou du droit d’un État membre, qui (…) prévoit, notamment, que le sous-traitant : a) ne traite les données à caractère personnel que sur instruction documentée du responsable du traitement, y compris en ce qui concerne les transferts de données à caractère personnel vers un pays tiers ou à une organisation internationale, à moins qu’il ne soit tenu d’y procéder en vertu du droit de l’Union ou du droit de l’État membre auquel le sous-traitant est soumis ; dans ce cas, le sous-traitant informe le responsable du traitement de cette obligation juridique avant le traitement, sauf si le droit concerné interdit une telle information pour des motifs importants d’intérêt public (…) « .

Impact de la jurisprudence Schrems

Pour  rappel, par un arrêt de grande chambre du 16 juillet 2020, Data Protection Commissioner contre Facebook Ireland Ltd et Maximillian Schrems, C-311/18, la CJUE a considéré que l’article 46 du RGDP doit être interprété en ce sens que les garanties appropriées, les droits opposables et les voies de droit effectives requis par ces dispositions doivent assurer que les droits des personnes dont les données à caractère personnel sont transférées vers un pays tiers sur le fondement de clauses types de protection des données bénéficient d’un niveau de protection substantiellement équivalent à celui garanti au sein de l’Union européenne par ce règlement, lu à la lumière de la charte des droits fondamentaux de l’Union européenne.

A cet effet, l’évaluation du niveau de protection assuré doit, notamment, prendre en considération tant les stipulations contractuelles convenues entre le responsable du traitement ou son sous-traitant établis dans l’Union européenne et le destinataire du transfert établi dans le pays tiers concerné que, en ce qui concerne un éventuel accès des autorités publiques de ce pays tiers aux données à caractère personnel ainsi transférées, les éléments pertinents du système juridique de celui-ci, notamment ceux énoncés à l’article 45, paragraphe 2, du règlement.

Par cet arrêt, la CJUE a aussi jugé que la décision d’exécution (UE) 2016/1250 de la Commission du 12 juillet 2016 relative à l’adéquation de la protection assurée par le bouclier de protection des données Union européenne – Etats-Unis, n’assurait pas un niveau adéquat de protection des données à caractère personnel transférées depuis l’Union vers des organisations établies dans ce pays. Elle a, en effet, relevé des ingérences dans les droits fondamentaux des personnes dont les données à caractère personnel sont ainsi transférées, du fait des possibilités d’accès à ces données et d’utilisation de celles-ci par les autorités publiques américaines, dans le cadre de programmes de surveillance fondés sur l’article 702 du  » Foreign Intelligence Surveillance Act  » (FISA) ou loi sur la surveillance en matière de renseignement extérieur et, d’autre part, de l' » Executive Order (EO) 12333  » ou décret présidentiel n° 12333, qui ne sont pas limitées au strict nécessaire.

L’article 702 du FISA ne limite pas l’habilitation qu’il comporte et le tribunal de surveillance du renseignement extérieur des Etats-Unis vérifie seulement si ces programmes correspondent à l’objectif d’obtention d’informations en matière de renseignement extérieur, mais non si les personnes sont correctement ciblées à cette fin. Quant à l’EO 12333, il doit être mis en oeuvre dans le respect de la  » Presidential Policy Directive 28  » (PPD-28), qui permet toutefois de procéder à une collecte  » en vrac  » d’un volume relativement important d’informations ou de données lorsque les services de renseignement ne peuvent pas utiliser d’identifiant associé à une cible spécifique pour orienter la collecte, rendant possible un accès à des données en transit vers les Etats-Unis sans surveillance judiciaire ni encadrement suffisant.

Enfin, pour ces différents programmes de surveillance, il n’existe pas de texte conférant aux personnes concernées des droits opposables aux autorités américaines devant les tribunaux, leur permettant de bénéficier d’un droit de recours effectif. Dans ces conditions, les limitations de la protection des données à caractère personnel qui découlent de la réglementation interne des Etats-Unis ne sont pas encadrées de façon à répondre à des exigences substantiellement équivalentes à celles requises par la charte des droits fondamentaux de l’Union européenne, dont l’article 52 ne permet des limitations de l’exercice des droits et libertés qu’elle reconnaît que si elles sont nécessaires et répondent effectivement à des objectifs d’intérêt général reconnus par l’Union ou au besoin de protection des droits et libertés d’autrui.