L’hébergement des données de vaccination sur une filiale d’AWS est-il incompatible avec le RGPD ? [Affaire DOCTOLIB]

Le 12 mars 2021, le juge des référés du Conseil d’Etat a estimé que la plateforme Doctolib, en hébergeant des données de vaccination sur un serveur américain, ne contrevenait pas au Règlement général sur la protection des données (RGPD).

Doctolib, la plateforme numérique sur laquelle vous pouvez prendre des rendez-vous médicaux, a été une nouvelle fois sous le feu des projecteurs : dans la campagne de vaccination contre le coronavirus, le ministère de la santé a confié la gestion des RDV de vaccination sur internet à plusieurs prestataires, dont Doctolib. Cette annonce a fait grincer quelques dents, car Doctolib héberge les données des rendez-vous de vaccination sur une filiale d’AWS (société américaine) située au Luxembourg ce qui pose la question des risques de transfert des données aux Etats-Unis et notamment du risque de demandes d’accès par les autorités américaines. On pense notamment à la décision de la Cour de justice de l’Union Européenne (CJUE) qui, dans son célèbre arrêt « SCHREMS II » a invalidé le privacy shield des Etats-Unis et a soumis la conclusion de clauses contractuelles types (CCT) à la mise en place de garantie supplémentaires aux Etats-Unis, notamment à cause de ce potentiel accès général des autorités américaines. Pour rappel, le privacy shield ou bouclier de protection était l’un des mécanismes les plus utilisés pour encadrer le transfert/stockage des données personnelles aux Etats-Unis, depuis l’Europe. Or, le 16 juillet 2020, la CJUE déclara les clauses contractuelles types valides, mais annule le privacy shield en estimant qu’il ne fournissait pas un niveau adéquat de protection des données. Une des principales raisons était les limitations du privacy shield qui rendaient possible des ingérences des services de renseignements américains, sans garantie assortie.

Ainsi, en choisissant une filiale d’un serveur américain pour héberger des données relatives à la vaccination des Français, plusieurs associations, et syndicaux ont saisi le juge des référés du Conseil d’Etat sur le fondement de l’article L521-2 du code de justice administrative, qui dispose que : « Saisi d'une demande en ce sens justifiée par l'urgence, le juge des référés peut ordonner toutes mesures nécessaires à la sauvegarde d'une liberté fondamentale à laquelle une personne morale de droit public ou un organisme de droit privé chargé de la gestion d'un service public aurait porté, dans l'exercice d'un de ses pouvoirs, une atteinte grave et manifestement illégale. Le juge des référés se prononce dans un délai de quarante-huit heures. » Il était demandé au juge des référés d’ordonner la suspension du partenariat du ministère de la Santé avec Doctolib en ce qu’il repose sur un hébergement des données de santé auprès d’une société américaine, le rendant incompatible avec le Règlement général pour la protection des données.

En sus des principes exposés dans l’arrêt SCHREMS II, le juge a analysé le niveau de protection assuré lors du traitement des données en se fondant sur l’article 44 et l’article 48 du RGPD. Il rappelle que la société AWS (Amazon Web Services) est certifiée « hébergeur de données de santé » en application de l’article L. 1111-8 du code de la santé publique, et que les données sont hébergées dans des DATA CENTER situés en Europe.

Mais surtout, le contrat liant Doctolib à AWS Sarl ne prévoit pas le transfert des données aux EU. Le juge des référés a étudié le contrat RGPD liant le responsable de traitement (doctolib) avec le sous-traitant (AWS Sarl) afin de vérifier le niveau de protection assuré lors du traitement des données.

- Tout d’abord, les données litigieuses comprennent les données d’identification des personnes et les données relatives aux rendez-vous mais pas de données de santé sur les éventuels motifs médicaux d’éligibilité à la vaccination.

- Ensuite, la société Doctolib et la société AWS ont conclu un addendum complémentaire sur le traitement des données instaurant une procédure précise en cas de demandes d’accès par une autorité publique aux données traitées pour le compte de Doctolib prévoyant notamment la contestation de toute demande générale ou ne respectant pas la règlementation européenne.

- De plus, la société Doctolib a également mis en place un dispositif de sécurisation des données hébergées par la société AWS par le biais d’une procédure de chiffrement reposant sur un tiers de confiance situé en France afin d’empêcher la lecture des données par des tiers.

Eu égard à ces garanties et aux données concernées, le niveau de protection des données de prise de rendez-vous dans le cadre de la campagne de vaccination contre la Covid-19 ne peut être regardé comme manifestement insuffisant au regard du risque de violation du RGPD

Si cette décision nous parait justifiée, il est fort probable qu’elle aurait été différente si des données de santé avaient été transmises sur un serveur américain sur la seule base de clauses contractuelles types, sans inclure de garantie supplémentaire de protection.

En effet, les données de santés sont des données « sensibles » qui nécessitent des garanties supplémentaires d’une part. D’autre part, les lois sécuritaires des Etats-Unis permettent une ingérence incompatible avec le Règlement général pour la protection des données qui obligent les entités à encadrer d’avantage leurs transferts des données.

Aurélie PUIG