Le partenariat entre le ministère de la Santé et Doctolib pour la gestion des rendez-vous de vaccination contre la Covid-19 a été validé, malgré les contestations concernant l’hébergement des données de santé par AWS, une filiale d’Amazon. Les juges ont estimé que les garanties contractuelles et les mesures de sécurité mises en place, telles que le chiffrement des données, assurent un niveau de protection suffisant. Les données personnelles, limitées à l’identification et aux rendez-vous, sont supprimées dans un délai de trois mois. Ainsi, la décision de confier cette gestion à Doctolib ne porte pas atteinte au droit à la vie privée.. Consulter la source documentaire.

Quel est le rôle de Doctolib dans la campagne de vaccination contre la Covid-19 ?

Doctolib a été désigné par le ministère de la Santé pour gérer la prise de rendez-vous de vaccination contre la Covid-19. Ce choix a été contesté par plusieurs associations, qui ont exprimé des préoccupations concernant la protection des données de santé, notamment en raison de l’hébergement de ces données par une société américaine, Amazon Web Services (AWS).

Les associations ont soutenu que ce partenariat était incompatible avec le règlement général sur la protection des données (RGPD) de l’Union européenne, qui impose des normes strictes pour le traitement des données personnelles. Malgré ces contestations, les juges n’ont pas été convaincus par ces arguments, permettant ainsi à Doctolib de continuer à gérer les rendez-vous de vaccination.

Comment Doctolib assure-t-il la protection des données de santé ?

Doctolib utilise les services d’AWS Sarl, une filiale de la société américaine Amazon, pour héberger ses données. AWS est certifiée comme « hébergeur de données de santé » selon le code de la santé publique français. Les données sont stockées dans des centres de données situés en France et en Allemagne, ce qui contribue à respecter les exigences du RGPD.

Le contrat entre Doctolib et AWS stipule qu’il n’y a pas de transfert de données vers les États-Unis pour des raisons techniques. De plus, Doctolib a mis en place des mesures de sécurité, telles que le chiffrement des données, pour protéger les informations sensibles contre tout accès non autorisé.

Quelles sont les implications du transfert de données personnelles hors de l’UE ?

Le RGPD impose des restrictions strictes sur le transfert de données personnelles vers des pays tiers. Selon l’article 44, un transfert ne peut avoir lieu que si les conditions du règlement sont respectées, garantissant ainsi un niveau de protection adéquat pour les personnes concernées.

L’article 45 précise que la Commission européenne peut reconnaître qu’un pays tiers offre un niveau de protection adéquat, ce qui permettrait des transferts sans autorisation spécifique. En l’absence d’une telle décision, des garanties appropriées doivent être mises en place, comme des clauses types de protection des données.

Quel est l’impact de la jurisprudence Schrems sur la protection des données ?

La jurisprudence Schrems, issue d’un arrêt de la CJUE en juillet 2020, a eu un impact significatif sur le transfert de données personnelles vers des pays tiers, notamment les États-Unis. La CJUE a jugé que les garanties offertes par les clauses types de protection des données doivent assurer un niveau de protection équivalent à celui du RGPD.

L’arrêt a également souligné que les programmes de surveillance américains, tels que le FISA et l’EO 12333, ne respectent pas les droits fondamentaux des personnes concernées, car ils permettent un accès non encadré aux données personnelles. Cela a conduit à une remise en question des mécanismes de transfert de données vers les États-Unis, rendant plus difficile la conformité avec le RGPD.

Quelles sont les garanties mises en place par Doctolib et AWS pour protéger les données ?

Doctolib et AWS ont établi un addendum qui précise les procédures à suivre en cas de demande d’accès aux données par une autorité publique. Cet addendum inclut des mesures pour contester toute demande qui ne respecte pas la réglementation européenne.

De plus, Doctolib a mis en œuvre un dispositif de sécurisation des données, incluant un chiffrement effectué par un tiers de confiance situé en France. Ces mesures visent à empêcher l’accès non autorisé aux données et à garantir que le traitement des données respecte les exigences du RGPD.