Le 8 mars prochain, le ministère des Solidarités et de la Santé devra défendre devant le Conseil d’Etat le choix d’intégrer la société Doctolib, qui utilise les services d’hébergement d’Amazon, à son système de prise de rendez-vous en ligne pour la vaccination contre la Covid-19.
La semaine dernière, plusieurs collectifs et associations de professionnels de santé ont déposé une requête en référé liberté pour «atteinte grave et manifestement illégale au droit à la protection des données à caractère personnel» selon des informations confirmées à EURACTIV.
Il est reproché au ministère des Solidarités et de la Santé d’utiliser les services de Doctolib pour son site Sante.fr, alors que l’entreprise franco-allemande délègue elle-même l’hébergement de ses données au géant Amazon et sa filiale Amazon Web Services (AWS).
Les requérants considèrent ce choix dangereux puisque les services d’Amazon, dont la maison mère se situe sur le sol américain, peuvent échapper au droit européen en matière de protection des données privées.
Le Cloud Act américain, par exemple, prévoit que les forces de police et le renseignement puissent avoir accès aux informations stockées sur les serveurs des opérateurs de télécommunications et les fournisseurs de services tels que le cloud, aux Etats-Unis comme à l’étranger.
En France, dans le dossier du Health Data Hub (HDH), le Conseil d’Etat avait déjà estimé qu’un tel «risque (…) ne peut pas être totalement écarté» après que la Commission Nationale de l’informatique et des libertés (CNIL) avait elle-même demandé au gouvernement de trouver une solution alternative à l’hébergement des données de santé par Microsoft.
«L’idée c’est de créer de la jurisprudence faisant suite à l’arrêt Schrems II», précise l’avocate qui défendra ce recours, Me Juliette Alibert, à EURACTIV. Cet arrêt, pris par la Cour de justice de l’Union européenne (CUEJ), a estimé que la législation actuellement en vigueur aux Etats-Unis ne permet pas d’assurer un niveau de protection adéquat pour les Européens dont les données passeraient par les Etats-Unis.
«La lutte contre la Covid est importante, mais elle ne peut pas se faire à tout prix», souligne Me Alibert en précisant que les requérants qu’elle représente ne sont pas du tout opposés au principe mais plutôt soucieux du bon respect de la protection des données de santé, particulièrement sensibles par définition.
Par ailleurs, Doctolib n’est pas la seule société avec laquelle l’Etat s’est associée pour la mise en place des rendez-vous en ligne pour la vaccination contre la Covid-19. Les français Maiia et Keldoc sont également de la partie même si Doctolib se taille la part du lion.
Contacté par EURACTIV, Doctolib souligne que « AWS respecte l’ensemble des réglementations françaises et européennes dont le RGPD » et que, par ailleurs, des mesures supplémentaires ont été prises, notamment l’hébergement des clés de chiffrement et déchiffrement en France chez un hébergeur français. Au moment de l’échange, la société était toujours dans l’attente des éléments de la requête.
L’audience est prévue lundi 8 mars à 10h. Lors d’un référé liberté, le juge dispose en théorie d’un délai de 48h pour statuer. En revanche, au regard de la complexité technique et juridique du dossier, il paraît invraisemblable que le Conseil d’Etat demande la suspension immédiate de ce partenariat — sauf s’il juge qu’il y a une atteinte grave et imminente aux libertés fondamentales, ce que vont plaider les requérants.